guÍa para el entrenamiento del talento humano...

GUÍA PARA EL ENTRENAMIENTO DEL TALENTO

HUMANO TENIENDO EN CUENTA EL NIVEL DE

MADUREZ DE LA ORGANIZACIÓN EN

SEGURIDAD DE LA INFORMACIÓN

MARÍA ALEJANDRA SARMIENTO PARDO

PONTIFICIA UNIVERSIDAD JAVERIANA

FACULTAD DE INGENIERÍA

CARRERA DE INGENIERÍA DE SISTEMAS

BOGOTÁ D.C.

DICIEMBRE 2009

Ingeniería de Sistemas CIS0910SD04

Página ii

GUÍA PARA EL ENTRENAMIENTO DEL TALENTO HUMANO TENIENDO EN

CUENTA EL NIVEL DE MADUREZ DE LA ORGANIZACIÓN EN SEGURIDAD

DE LA INFORMACIÓN

http://pegasus.javeriana.edu.co/~CIS0910SD04

MARÍA ALEJANDRA SARMIENTO PARDO

MEMORIA DEL TRABAJO DE GRADO REALIZADO PARA CUMPLIR UNO DE

LOS REQUISITOS PARA OPTAR AL TITULO DE INGENIERO DE SISTEMAS

Directora:

Ingeniera Gloria P. Arenas M. M.Sc.


FACULTAD DE INGENIERÍA

CARRERA DE INGENIERÍA DE SISTEMAS

BOGOTÁ D.C.

DICIEMBRE 2009

Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación

Página iii


FACULTAD DE INGENIERIA

CARRERA DE INGENIERIA DE SISTEMAS

Rector Magnífico

Joaquín Emilio Sánchez García S.J.

Decano Académico Facultad de Ingeniería

Ingeniero Francisco Javier Rebolledo Muñoz

Decano del Medio Universitario Facultad de Ingeniería

Padre Sergio Bernal Restrepo S.J.

Directora de la Carrera de Ingeniería de Sistemas

Ingeniero Luis Carlos Díaz Chaparro

Director Departamento de Ingeniería de Sistemas

Ingeniero Germán Alberto Chavarro Flórez


Página iv

Jurados

Enrique Ruíz

Profesor de planta Pontificia Universidad Javeriana

Fabián Cárdenas

Experto en Seguridad de la Información


Página v

Artículo 23 de la Resolución No. 1 de Junio de 1946

“La Universidad no se hace responsable de los conceptos emitidos por sus alumnos en sus

proyectos de grado. Sólo velará porque no se publique nada contrario al dogma y la moral católica

y porque no contengan ataques o polémicas puramente personales. Antes bien, que se vean en ellos

el anhelo de buscar la verdad y la Justicia”


Página vi

AGRADECIMIENTOS

Quiero resaltar la ayuda y apoyo de mis padres, ya que sin ellos no hubiera podido tener la

oportunidad de comenzar y culminar mis estudios, ni la posibilidad de la realización de este

trabajo de grado.

A los profesores que me motivaron semestre a semestre para seguir adelante y me enseñaron que

no solo hay que saber lo necesario, a ir siempre más allá de lo que se ve en un salón de clases,

además del compromiso de un ingeniero con el país y su desarrollo, lo cual motivo mi interés por el

tema escogido para la investigación.

A mi directora de trabajo de grado Gloria Arenas que me colaboro en todo cuanto necesite para el

desarrollo de este proyecto.

Y para finalizar a todas aquellas personas que durante mis estudios y la realización de este trabajo

me apoyaron en los buenos y en los malos momentos, que supieron motivarme con un buen consejo

o uno abrazo para seguir adelante a pesar de los problemas y dificultades, para así lograr alcanzar

mi meta de culminar mis estudios y la investigación que comenzó hace unos meses.


Página vii

Contenido

Introducción .................................................................................................................................. 1

1. Descripción general del trabajo de grado ............................................................................... 2

1.1 Descripción del contexto ................................................................................................ 2

1.2 Formulación ................................................................................................................... 3

2. Descripción del proyecto ........................................................................................................ 4

2.1 Justificación .................................................................................................................... 4

2.2 Objetivo general ............................................................................................................. 5

2.3 Objetivos específicos ...................................................................................................... 5

3. Estado del arte ....................................................................................................................... 7

3.1 Seguridad de la información ........................................................................................... 7

3.1.1 Gestión de la seguridad de la información ............................................................... 7

3.2 Entrenamiento del talento humano como recurso en la seguridad de la información ... 11

3.2.1 Gestión del talento humano .................................................................................. 11

3.2.2 El recurso humano como gestor clave del conocimiento de seguridad de la

información en las organizaciones. ....................................................................................... 12

3.2.3 La motivación........................................................................................................ 12

3.2.4 Las herramientas y los medios de comunicación en el entrenamiento ................... 13

4. Proceso ................................................................................................................................ 14

4.1 Metodología propuesta ................................................................................................ 14

4.2 Desarrollo del proyecto ................................................................................................ 16

4.3 Reflexión metodológica ................................................................................................ 18

5. Modelo de Madurez en Seguridad de la Información (MMSI) ............................................... 20

5.1 Niveles de madurez ...................................................................................................... 21

5.2 Áreas de proceso para el escalonamiento ..................................................................... 23

6. Clasificación y niveles para el proceso de entrenamiento ..................................................... 28

6.1 Clasificación del talento humano por el nivel de competencia, responsabilidades y

autonomía en la organización .................................................................................................. 28

6.2 Niveles de sensibilidad y receptividad hacia la seguridad de la información .................. 30

6.3 Niveles de acceso a la información................................................................................ 31

7. Medios para la obtención del conocimiento y colaboración en seguridad de la información . 33

7.1 Motivación para el talento humano .............................................................................. 33


Página viii

7.2 Actividades colaborativas por parte de los grupos por competencias ............................ 34

8. Estructura del entrenamiento .............................................................................................. 37

8.1 Estrategia de entrenamiento por niveles de madurez ................................................... 37

8.2 Herramientas para el diseño del entrenamiento ........................................................... 40

8.3 Método de distribución de la información .................................................................... 45

8.4 Evaluación del entrenamiento ...................................................................................... 50

9. Guía ..................................................................................................................................... 54

9.1 Introducción ................................................................................................................. 54

9.2 Guía para el entrenamiento en seguridad de la información teniendo en cuenta su nivel

de madurez .............................................................................................................................. 54

9.2.1 Paso 1: Análisis del nivel de madurez de la organización ....................................... 55

9.2.2 Paso 2: Definición de audiencias para el entrenamiento en seguridad de la

información .......................................................................................................................... 58

9.2.3 Paso 3: Definición de estrategias para obtener del talento humano colaboración

hacia los procesos en seguridad de la información ............................................................... 60

9.2.4 Paso 4: Diseño estructural del entrenamiento en seguridad de la información ...... 65

9.2.5 Paso 5: Evaluación del progreso del talento humano y de la organización en

seguridad de la información ................................................................................................. 69

10. Conclusiones .................................................................................................................... 72

11. Trabajos futuros ............................................................................................................... 73

12. Bibliografía ....................................................................................................................... 74

13. Anexos ............................................................................................................................. 77


Página ix

Lista de tablas

Tabla 1 Nivel de madurez ............................................................................................................ 27

Tabla 2 Actividad colaborativa ..................................................................................................... 36

Tabla 3 Actividad estratégica de entrenamiento ............................................................................ 40

Tabla 4 Herramienta Gráfica ........................................................................................................ 42

Tabla 5 Herramienta tecnológica .................................................................................................. 44

Tabla 6 Herramienta guía organizacional y/o por expertos ............................................................ 45

Tabla 7 Método de comunicación y distribución ........................................................................... 50

Tabla 8 Formato de evaluación..................................................................................................... 53


Página x

Lista de ilustraciones

Ilustración 1 Niveles de madurez.................................................................................................. 58

Ilustración 2 Clasificación del talento humano.............................................................................. 59

Ilustración 3 Obtención de conocimiento y colaboración .............................................................. 60

Ilustración 4 Proceso de diseño del entrenamiento ........................................................................ 66

Ilustración 5 Evaluación ............................................................................................................... 70


Página xi

Abstract

An organization, either is public or private, will always had to handle people that will be the key of

the success. Due to the fact that they are who make up the human talent and provide their

knowledge, effort and performance to achieve prosperity and quality of the organization,

nevertheless, should also consider the management of information security, because it achieves to

provide the added value of the reliability, availability and integrity of the organization.

For this reason I see the need of developing a guide having the objective of information security

training to human talent, to allow organizations to have management mechanisms and making

individual knowledge and then improve the information security level.


Página xii

Resumen

Una organización, sin importar si es pública o privada, siempre tendrá que manejar personas que

serán la clave del éxito, ya que estas son las que conforman el talento humano y brindan su

conocimiento, esfuerzo y desempeño para lograr la prosperidad y calidad de la organización, sin

embargo, se debe tener en cuenta también el manejo de la seguridad de la información, pues esta

logra dar el valor agregado de la confiabilidad, disponibilidad e integridad a la organización.

Por esta razón se ve la necesidad de desarrollar una guía teniendo como objetivo el entrenamiento

en seguridad de la información al talento humano, para permitir a las organizaciones tener

mecanismos de gestión y toma de conocimiento individual y con esto la mejora del nivel de

seguridad de la información.


Página xiii

Resumen Ejecutivo

La guía que se presenta en este trabajo de grado tiene como título “GUÍA PARA EL

ENTRENAMIENTO DEL TALENTO HUMANO TENIENDO EN CUENTA EL NIVEL DE

MADUREZ DE LA ORGANIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN”. Como

primera instancia se realiza un modelo de niveles de madurez, para luego enfatizar en la evolución

del entrenamiento que se debe ir llevando según el nivel al que pertenezca la organización, como lo

son la clasificación de audiencias, estrategias de la gerencia para la motivación y logro de la

conversión de conocimientos individuales en conocimiento de la organización y el diseño y

mantenimiento de la distribución, comunicación y divulgación del entrenamiento.

El conocimiento, perspectiva y comportamiento del talento humano sobre los aspectos de seguridad

de la información deben ser manejados por la organización, ya que estos son los encargados

directos del manejo de toda la información. Pero, ¿Cómo se puede guiar una organización pública o

privada hacia la mejora en la seguridad de su información a través de sus empleados? Esta pregunta

lleva a concluir que la implementación de un entrenamiento en seguridad de la información es un

paso esencial para lograr el cumplimiento de las características de seguridad que debe tener la

información (capital de mayor valor en la organización).

Para lograr que las organizaciones tengan en cuenta la seguridad de la información, estas deben

concientizarse en primer lugar en el hecho que la información es una herramienta básica de su

negocio que al igual que los bienes materiales que posee debe ser cuidada y tenida en cuenta dentro

de los procesos y estándares que maneja.

En este orden de ideas, el manejo de la seguridad de la información debe sostenerse en el talento

humano y su capacidad de respuesta frente a las amenazas que pueda afectar la información a la que

están a cargo, manteniendo de forma aceptable la capacidad colaborativa, brindando espacios y

desarrollo de conocimiento dentro del campo de trabajo, permitiendo además que colaboren con el

grupo designado para el mantenimiento de la seguridad y dando cierta independencia en el manejo

de responsabilidades con la información, siempre que se cumplan.


Página xiv

Debido a esto se proporciona un modelo de madurez que permite orientar a la organización para que

alcance un nivel óptimo en seguridad de la información, teniendo definido como base el talento

humano, su conocimiento y entrenamiento. Además da a los gerentes, directivos o encargados de la

seguridad en la organización, pautas a tener en cuenta dentro de la estructuración del entrenamiento

en seguridad de la información, mostrando paso a paso como identificar audiencias, motivar y

lograr una actividad conjunta en toda la organización, para finalmente tener un diseño apropiado de

la herramientas que se utilizarán para obtener y entregar conocimiento al talento humano.


Página xv


Página 1

Introducción

El siguiente documento de memorias de trabajo de grado está dirigido al análisis y desarrollo de una

guía para el entrenamiento en seguridad de la información, esto según el nivel de madurez en el que

se encuentre la organización en temas de seguridad.

Basándose en modelos como CMMI [3], Cobit [2] e ISM3 [4] se realizó un modelo de madurez en

seguridad de la información, teniendo en cuenta dentro de este, aspectos como: el talento humano y

su entrenamiento. Finalizando con la descripción de los aspectos más generales y relevantes de un

proceso de entrenamiento en seguridad de la información dentro de una organización, durante el

escalonamiento en los niveles de madurez propuestos en este trabajo.

Mediante la guía diseñada, aplicable a las organizaciones que quieran mejorar su sistema de

seguridad de la información, se proveen herramientas que permiten una estructura coherente y

lógica del entrenamiento a realizar en la organización, esto con el fin de lograr el éxito en la

colaboración y concientización del talento humano y el asenso en niveles de madurez en seguridad

de la información, que le darán a la organización mayor confiabilidad interna y externa.


Página 2

1. Descripción general del trabajo de grado

1.1 Descripción del contexto

El área de conocimiento en la cual se enmarca el proyecto es la seguridad de la información,

debido a que en esta se ve la oportunidad de mejorar los procesos que tienen en el manejo de la

información los dueño(s) o encargado(s), garantizando el cumplimiento de las propiedades

principales de la información: confidencialidad, integridad y disponibilidad [1].

A pesar de que las organizaciones varían en su tamaño [11], estilo y estructura organizacional,

capital intelectual y material y el tipo de industria, se puede observar un factor común y es la

necesidad del manejo seguro de los activos de información, proveniente ya sea interna o

externamente [16].

Por esto, en la situación menos complicada la gerencia o el personal encargado del manejo de la

seguridad de la información, sólo debe preguntarse cómo puede mantener o mejorar el nivel

actual de seguridad en su organización, pero en otras situaciones más complejas, debe pensarse

en qué tan segura se encuentra la información dentro de la organización y realizar una revisión

sobre la inversión que realiza esta para evitar que las amenazas en contra de su información se

materialicen.

En este planteamiento resulta de manera importante ver en primer lugar el cómo conseguir y

mantener una gestión adecuada para la información dentro de la organización, ya que de esto

depende el éxito del sistema de seguridad que se tome como base, y así dar garantías y

confiabilidad a quienes la organización preste servicios.


Página 3

1.2 Formulación

¿Cómo se puede guiar una organización pública o privada hacia la mejora en la seguridad de su

información a través de sus empleados?


Página 4

2. Descripción del proyecto

2.1 Justificación

Numerosas organizaciones se encuentran en un ambiente de crecimiento competitivo y

condicionado, como es el caso de la industria de mercado y las entidades gubernamentales que

se fundamentan en el servicio al país.

En consecuencia, el crecimiento hace que tengan como reto una mejora continua en

productividad, disponibilidad, integridad y la garantía de la confidencialidad tanto para sus

usuarios como la información interna del negocio, haciendo necesario que las organizaciones

busquen métodos que den soluciones y garantías para mantenerse en el mercado o en la oferta

de servicios, según sea el caso.

El surgimiento y la supervivencia de la organización se ven envueltas en la necesidad de

revisiones constantes en la operativa empresarial, en cambiar funciones tradicionales por

servicios de apoyo y en la gestión del talento humano en las estrategias para el desarrollo,

seguimiento y mantenimiento del sistema de seguridad de la información escogido por la misma

[6].

Con esta guía se ayuda de manera formal a que las organizaciones, sin importar si su situación

en cuanto a seguridad de la información es crítica (no se tienen procedimientos en seguridad de

la información), media (se llevan algunos de los procedimientos en seguridad de la

información) o excelente (se tiene un sistema de gestión de seguridad de la información y se

sigue correctamente), difundan y mantengan la seguridad de la información.

Dentro de la guía se hace referencia a como cambiar la mentalidad sobre la visión del talento

humano como algo secundario paso a paso, primero formándolos en la ejecución correcta de las

operaciones de seguridad y logrando la optimización de su perfil, para luego dar


Página 5

responsabilidades de seguridad de la información dentro de la organización como parte del

trabajo diario, esto debido a que el talento humano es el que permite dar un valor agregado para

el incremento en el éxito y mantenimiento de la organización [6]. Esto entonces permitirá de

una forma más organizada y coherente lograr mejorar el sistema de gestión de seguridad de la

información escogido por la organización, garantizando mantener la posibilidad de

materialización de los riesgos en un nivel bajo y su competitividad y buen nombre en alto.

2.2 Objetivo general

Desarrollar y validar por expertos una guía en seguridad de la información para el

entrenamiento del talento humano, que permita tener mecanismos de gestión y mejora,

teniendo como base el nivel de madurez en seguridad de la información y como gestor clave el

conocimiento y la colaboración del talento humano.

2.3 Objetivos específicos

1. Identificar y analizar los elementos que determinan el nivel de madurez en la seguridad de

la información por parte del talento humano en una organización.

2. Definir las características del talento humano que administra información en las

organizaciones, según su nivel de competencia, para cumplir con los requerimientos de

entrenamiento en seguridad de la información a utilizar según el nivel de madurez

identificado en la organización.

3. Determinar los niveles generales de sensibilidad en seguridad de la información y acceso

para ser tratados en el proceso de entrenamiento al talento humano.

4. Determinar los requerimientos principales, para obtener del talento humano el conocimiento

organizacional y su colaboración, por medio del entrenamiento, en los aspectos

concernientes a la seguridad de la información.


Página 6

5. Diseñar una guía de entrenamiento para los empleados de una organización, que ayude a

estos a seguir un lineamiento de seguridad de la información de forma exitosa, basado en

los aportes de mejora dado por el talento humano y la forma de dar mantenimiento a la

misma, para lograr mayor competitividad en seguridad de la información en la

organización.

6. Validación de la guía propuesta por expertos en el tema de seguridad de la información,

para la obtención de críticas constructivas a la misma.


Página 7

3. Estado del arte

3.1 Seguridad de la información

La seguridad de la información es la protección de la información contra las diferentes

amenazas, esto con el fin de asegurar la continuidad, minimizar el riesgo y maximizar el retorno

de inversión y oportunidades del negocio [21].

Se encarga de la preservación de otras propiedades de la información, como: autenticidad,

responsabilidad con obligación de reportar, no repudio y fiabilidad [1].

3.1.1 Gestión de la seguridad de la información

La seguridad de la información se consigue implementando un conjunto de controles, políticas,

procesos, procedimientos, funciones de software y hardware y estructuras organizacionales, las

cuales llevan a la gestión de la seguridad de la información [21].

Este aspecto se refiere a operar, hacer seguimiento, revisar, mantener y mejorar la seguridad de

la información [1], para asegurar que se cumplen los objetivos de la seguridad de la

información y el negocio de la organización [21].

Para una mejor explicación de los conceptos manejados en seguridad de la información y su

gestión se verán varios factores importantes: El valor de la información, estándares, amenaza,

modelo de madurez de seguridad y el éxito y ventaja competitiva por medio de la seguridad de

la información y su capital humano.


Página 8

3.1.1.1 El valor de la información

Existen diferentes tipos de activos, según la NTC-ISO-IEC 27002 [21], los cuales son:

información, activos de software, activos físicos, servicios, personas y sus calificaciones,

habilidades y experiencia e intangibles tales como reputación e imagen de la organización.

El primero de estos, la información, son datos procesados de los cuales las organizaciones

dependen ampliamente de lo que esto pueda ofrecerle y costarle [8]. Siendo este uno de los

activos más importantes y el hecho de que cualquier propósito que se tenga no se puede llevar a

cabo de manera exitosa sin datos confiables [20], se deben tener leyes y regulaciones que se

aplican en la jurisdicción correspondiente [21], para dar a la información la importancia que

implica para una organización, protección y hacerla objeto de estudio dentro de la seguridad.

Para determinar la seguridad de la información necesaria, deben tenerse en cuenta tres

propiedades principales que la caracterizan: confidencialidad, la información no debe estar

disponible ni ser revelada a individuos, entidades o procesos no autorizados; integridad,

salvaguarda la exactitud y estado completo de los activos y; disponibilidad, información

accesible y utilizable por autorizados [1], [20].

3.1.1.2 Amenazas

Las amenazas se definen como las causantes de un evento adverso que puede hacer daño a los

activos de información [13]. Existen diferentes niveles de amenaza, ya que en algunos casos

unas pueden llegar a ser más perjudiciales que otras. Por esto es importante definir y dar valor,

ya sea cualitativo o cuantitativo, a las amenazas que puedan presentarse, teniendo en cuenta el

valor previo que se den a los activos que estas afectan [21].

En esta investigación se tratan entre otras aquellas amenazas que involucran el talento humano

dentro de la organización, para lograr un mayor control en la posibilidad del riesgo de una

amenaza materializada [14].


Página 9

3.1.1.3 La importancia de la seguridad de la información

Toda organización maneja activos importantes, como lo es la información, lo cual hace

necesario que esta logre la definición de objetivos, mantenimiento y mejora de la seguridad de

la información. Esto para conservar y perfeccionar la competitividad, rentabilidad,

cumplimiento legal y la imagen comercial de la organización [21].

Entre otros aspectos se encuentra que debido a la cantidad de amenazas y desastres que puede

afrontar una organización tanto privada como pública, la seguridad de la información actuará

como un elemento facilitador y de control y evitará o reducirá los riesgos que se puedan

presentar [21].

3.1.1.4 Estándar

Existen estándares, como el ISO 27002, que se han elaborado cuidadosamente para el manejo

de la seguridad de la información dentro de una organización, debido a que cosas como una

excelente y moderna sala de cómputo no indica que la organización esté informada y sea

inteligente con respecto a los factores de seguridad [8], [21].

Otro de los estándares es el ISO 27001 que tiene su origen en la BS 7799-2:2002 y fue

publicada el 15 de Octubre de 2005, haciendo de esta la norma principal de la serie 27000. La

cual contiene los requisitos del sistema de gestión de seguridad de la información y es la norma

con la cual se certifican los sistemas de gestión de seguridad de la información de las

organizaciones [8].

Estos estándares pueden guiar a las organizaciones como una forma de buenas prácticas en

seguridad de la información; sin embargo no es una camisa de fuerza, ya que cada organización

maneja políticas, culturas y talento humano diferente. Lo fundamental para lograr un nivel de

madurez en seguridad de la información es necesario tener buenas políticas y estrategias para su

control (siendo los estándares ya elaborados muy buena fuente para el inicio de este proceso),

pues de otra manera no se tendrán bases que soporten un nivel de madurez alto u óptimo.


Página 10

3.1.1.5 Modelo de madurez de seguridad

Es importante que tanto las organizaciones ya establecidas como las que se están formando

sepan en qué nivel se encuentran y a qué nivel de seguridad quieren llegar, con el fin de evitar

materialización de amenazas, problemas con sus activos de información y llevar un proceso

continuo hacia el éxito en el progreso de la seguridad de la información dentro de la

organización y la confiabilidad para sus usuarios.

Es primordial tener una guía que permita partir de un punto y llegar con facilidad a otro, para la

mejora de la competitividad de la organización por el manejo adecuado que se le da a la


Por lo anterior, se realizó una descripción completa de un Modelo de Madurez de Seguridad de

la Información (MMSI), basado en el manejo dado por los modelos CMMI (áreas de proceso)

[3], Cobit (procesos de TI) [2] e ISM3 (requisitos del negocio, tecnología y controles) [4]. Los

cuales se extrapolaron hacia la seguridad de la información, lo que permitió proveer a la guía de

la facilidad de dar a la organización procesos con los que lograrán escalar en los niveles y

competencia en seguridad utilizando buenas prácticas.

De igual manera el MMSI tiene un enfoque hacia el talento humano para el manejo del

entrenamiento en seguridad de la información, según el nivel en el que se encuentre la

organización.

3.1.1.6 Éxito y ventaja competitiva de la organización por medio de la seguridad

de la información y su talento humano

Una buena gerencia del personal debe motivar y dar importancia a cada cargo dentro de la

organización, permitiendo que el talento humano tome decisiones y estableciendo una jerarquía

lineal para que participe activamente en los procesos de generación de seguridad de la

información [6].


Página 11

Esto dará a la organización mayor éxito en la implementación de sistemas de seguridad, además

de mejorar el nivel competitivo de forma tal que sus clientes o con quienes manejen prestación

de servicio, incluso las personas dentro de la organización, se sientan más seguros [10], [15].

3.2 Entrenamiento del talento humano como recurso en la

seguridad de la información

El capital intelectual es la sabiduría colectiva total de una organización con el poder para dar el

éxito o fracaso a la misma. La valorización del conocimiento se ha dado como consecuencia de

la tecnología de información, pues ha conducido al interés en el capital intelectual y a la

aceptación de su importancia [16].

El talento humano es entonces dentro del capital intelectual el conjunto de conocimientos y

destrezas especializadas, con capacidades creativas y de liderazgo, ya sea individual o

colectivo, que dan valor a la organización [16].

Debido a lo anterior se convierte en un hecho primordial para la organización lograr el máximo

aprovechamiento de las capacidades del talento humano, guiándolos de forma tal que

contribuyan en su trabajo diario a la seguridad de la información y su mejora; de aquí nace el

objetivo de la creación de un entrenamiento que dé como resultado un talento humano más

informado y colaborador con la organización y un avance en la competitividad empresarial,

debido a la realización de buenas prácticas de seguridad de la información.

3.2.1 Gestión del talento humano

Para la gestión del talento humano es trascendental que se dé por parte de la gerencia cierto tipo

de apoderamiento, es decir otorgar poder (administración de información) pero sin que se

pierda el control del mismo, esto va mas allá de simples autorizaciones, si no de delegar

verdaderamente, dando rienda suelta al personal, pues de este modo la organización puede

ganar fácilmente control del conocimiento individual del talento humano.


Página 12

Para que la gestión tenga éxito, los funcionarios deben mantenerse motivados, informados y

capacitados, con respecto a la seguridad que deben mantener para garantizar las propiedades de

la información y lograr mejores aportes para la mejora de la seguridad; de esta forma la

organización no conseguirá un efecto contrario de desorganización y malos hábitos de trabajo,

sino resultados efectivos con el cuidado y respeto por la información de la cual cada uno de los

empleados es responsable [6], [16], [17].

3.2.2 El recurso humano como gestor clave del conocimiento de seguridad de la

información en las organizaciones.

La organización debe realizar algunos pasos importantes para la generación de interés por parte

del talento humano hacia la colaboración para mantener excelentes niveles de seguridad de la

información y fortalecer el crecimiento y éxito de la misma, como lo son; el despertar un mayor

sentido de pertenencia hacia la organización, motivar el personal, dar importancia a cada cargo

dentro de la organización, permitir la toma de decisiones, pensar en una compensación salarial

según los resultados mostrados, implementar una gerencia personalizada, es decir que no

existan impedimentos de comunicación entre el personal y el gerente e innovar para generar

cambios positivos [6], [10], [15], [18].

3.2.3 La motivación

“Todos estamos motivados a hacer aquello que creemos que más nos conviene [12],” esto lleva

a pensar en cómo el talento humano de una organización puede comportarse en su trabajo

diario, si un gerente logra hacer que su equipo de trabajo se motive hacia aspectos de seguridad,

dando recompensas monetarias o no monetarias; el elogiar un trabajo realizado de forma

correcta, ciertamente logrará que los empleados vean conveniente el hecho de colaborar con la

seguridad de la información de la organización y querrán aprender sobre temas relacionados a

esta.

Seguido a esto debe tenerse en cuenta que un gerente o el grupo directivo de la organización no

puede motivar al talento humano. Sólo puede influir en las cosas que están motivados a hacer,


Página 13

es decir ayudar a que los empleados encuentren la necesidad de ayudar a su organización para

lograr su bienestar.

Para poder influenciar de forma positiva al talento humano se debe tener en cuenta la conexión

entre dos tipos de motivación existentes: la intrínseca y la extrínseca. Es intrínseca cuando está

dentro de la persona, es decir, el deseo de hacer algo y buscar la forma de lograrlo; es extrínseca

cuando se relaciona con todos aquellos factores externos que influyen en los deseos propios,

como lo es una recompensa por algo que se hace bien, esto da como consecuencia el querer

seguir haciéndolo bien, por el contrario si no se recibe nada a cambio da lugar a dudas de si se

debe o no seguir haciendo [12].

Lo anterior con el objetivo de que las recompensas dadas logren que el talento humano este

constantemente involucrado con el proceso del entrenamiento y no solo mientras logra

conseguirlas [12].

3.2.4 Las herramientas y los medios de comunicación en el entrenamiento

Las herramientas y medios por los cuales se realiza la distribución de la información son un

factor a tener en cuenta dentro de un entrenamiento, pues quien la recibirá será el talento

humano que se convertirá en audiencia en el momento de iniciar el mismo. Por lo que los

encargados de la realización del diseño del entrenamiento deben considerar llegar a la audiencia

de forma tal que quiera conocer el proceso que está llevando la organización para la mejora en


Existen para esto diferentes herramientas como las gráficas, las tecnológicas y las guiadas por

expertos y sus medios de distribución como lo son espacios dentro de la estructura física de la

organización, el internet y espacios físicos y de tiempo exteriores al laboral, los cuales deben

ser utilizados según el tipo de audiencia que se logre identificar dentro del talento humano en el

proceso de diseño de la estrategia del entrenamiento [22], [23].


Página 14

4. Proceso

4.1 Metodología propuesta



o Levantamiento de información y diseño:

Se quiere identificar elementos que permitan el conocimiento de los problemas de la

seguridad de la información en la organización por parte del talento humano, además de

definir la formalidad de los procedimientos de gestión de seguridad de la información,

para cada nivel que será definido en el trabajo.





o Levantamiento de información:

Se buscarán y definirán patrones que identifiquen el nivel de conocimiento o

experiencia de los empleados de la organización, permitiendo un mayor éxito en el

proceso de concientización, ya que con esto se logra como resultado una mayor

facilidad para un mejor aprovechamiento de los temas y métodos de distribución que se

van a utilizar durante el entrenamiento.




Página 15


Es necesario tener claro según el conjunto de características definidas para el

conocimiento o experiencia del talento humano definido que acceso pueden tener y la

sensibilidad de la información que podrían manejar, logrando la obtención de grupos

más específicos para dar un mejor enfoque a la guía de entrenamiento.




o Diseño:

Se quiere lograr la identificación y proposición de elementos potenciales que permitan

obtener el conocimiento organizacional del talento humano en seguridad de la

información, problemas, ventajas, desventajas, mejoras, entre otras opiniones

importantes sobre el proceso de gestión de seguridad de la información que lleva la

organización, esto dentro del proceso de entrenamiento, lo cual permitirá lograr una

mejora y mantenimiento de la seguridad en el nivel deseado.





organización.

o Diseño:

Se diseña una guía de entrenamiento en seguridad de la información administrada en

parte por el talento humano, pero de manejo gerencial, para ser implementada de

manera formal en las organizaciones.




Página 16

o Evaluación:

Al término de la elaboración de la guía propuesta se desarrollará un proceso de

evaluación por expertos en seguridad de la información que permitirá una

retroalimentación de lo elaborado para su refinamiento.

4.2 Desarrollo del proyecto




Para la definición de cada uno de los niveles de madurez para seguridad de la

información se utilizaron los establecidos por Cobit 4.1 [2]; debido a que abarca un

nivel más de madurez y por ende permite una división más granular.

Por otra parte, las áreas de proceso involucradas con los problemas en seguridad de la

información y el talento humano para cada nivel de madurez se establecieron con base

en el ISM3 [4] y CMMI [3].






Se tomaron como base clasificaciones dadas por Javier Fernández [6] y las del artículo

Concientización en seguridad de la información [5] sobre las posibles audiencias para

un entrenamiento en concientización y de esta forma llegar a una clasificación por

competencias y estudios realizados.


Página 17




Se tomo como base la clasificación empleada en el artículo Concientización en

seguridad de la información [5] sobre las posibles audiencias para un entrenamiento en

concientización y de esta forma llegar a una clasificación por sensibilidad al

aprendizaje en seguridad y el acceso a los activos de información.




o Levantamiento de información y Diseño:

Para esta parte se investigaron aspectos de motivación para ser aplicados al talento

humano para que responda positivamente, pero también se diseñaron actividades que

cada miembro de la organización debe seguir para el aprendizaje y colaboración.

Para la definición de los métodos de motivación y las actividades propuestas se

utilizaron algunas de las descritas por J. Fernandez [6], E. Van Den Berghe [10] y

A.Bruce y J. Pepitone [12], las cuales dan una forma adecuada de crear y gestionar el

conocimiento del talento humano.





organización.


Para este caso se busco información sobre actividades para la realización y compromiso

con el entrenamiento, además de métodos publicitarios para campañas entre otros para


Página 18

la realización del mismo. Se encontraron referencias de publicidad como las de W.

Arens [22], O. Aprile [23] y D. Parra y C. Herrera [24] y temas de metodologías de

aprendizaje H. Aebli [25], J.M. Serrano [26].



o Evaluación:

En este proceso se escogieron 3 expertos en seguridad de la información:

Ingeniero Andrés González.

Ingeniera Sandra M. Gómez R.

Ingeniero Jaime Zuluaga.

Esta evaluación se encuentra en el Anexo B.

4.3 Reflexión metodológica



o La metodología propuesta se realizó tal como se había planteado, ya que era

necesario basarse en información veraz que permitiera la extrapolación para el

diseño de un modelo de madurez para la seguridad de la información.






Página 19

o La metodología propuesta se desarrollo con éxito, ya que se encontró información

que permitió la clasificación del talento humano de forma general para cualquier

organización.



o La metodología propuesta se desarrolló como se había planteado, ya que se

encontró información que permitió la clasificación del talento humano de forma

general para cualquier organización.




o La metodología propuesta fue acertada pero para la realización de este diseño era

necesario tener información sobre métodos para obtener la atención del talento

humano, por esto se agregó la metodología de levantamiento de información.





organización.

o La metodología propuesta fue acertada pero para la realización de este diseño era

necesario tener información sobre aspectos publicitarios, de comunicación y

métodos que permitan el desarrollo del entrenamiento y las campañas previas al

entrenamiento.




Página 20

o La metodología propuesta para la evaluación fue acertada, pues la revisión de

expertos era necesaria y fue de gran aporte para tener claridad sobre los errores, lo

que falta por tratar y la validación como trabajo de grado, para antes de la entrega

final.

5. Modelo de Madurez en Seguridad de la Información (MMSI)

Se entiende por madurez la superación de etapas de desarrollo de una organización, a si mismo

se encuentra fundamentada en su potencial para desarrollar y administrar sus proyectos1de

forma consistente y proactiva y tiene la capacidad de mantener y mejorar sus procesos [34].

Para la construcción y explicación de los niveles de madurez en seguridad de la información se

tomaron como referencia los modelos de escalonamiento por niveles Cobit 4.1 [2] y CMMI [3],

estos van del nivel 0 al 5 y del nivel 1 al 5 respectivamente.

Dentro de la definición de cada uno de los niveles de madurez para seguridad de la información

se utilizaron los establecidos por Cobit 4.1 [2]; debido a que abarca un nivel más de madurez y

por ende permite una división más granular.

Para cada uno de los niveles se tomaron como base las características ya definidas por los

modelos y se agregaron otros procesos que debe alcanzar la organización para el

escalonamiento, conseguir un manejo adecuado de las estrategias y políticas de seguridad de la

información y su comunicación con la ayuda del talento humano de la organización.

Por otra parte, las áreas de proceso involucradas con los problemas en seguridad de la

información y el talento humano para cada nivel de madurez se establecieron con base en el

ISM3 [4] y CMMI [3].

1 Para este caso los proyectos que tienen que ver con seguridad de la información.


Página 21

5.1 Niveles de madurez

Para llevar a cabo un proceso de mejoramiento de seguridad de la información en la

organización se hace necesaria la realización de una evaluación dentro de la misma para lograr

establecer en qué nivel de madurez se encuentra y los aspectos a tener en cuenta para escalar al

siguiente nivel.

Se presentan en este modelo las características tanto generales como específicas que debe estar

llevando a cabo la organización para pertenecer a uno de los siguientes niveles:

Nivel 0:

No existe

No hay un proceso identificable de seguridad de la información dentro de la organización. No

se ha reconocido un problema a resolver [2]; y por ende no existe una comunicación del tema

hacia el talento humano.

Nivel 1:

Inicial

Se reconoce la necesidad de la seguridad de la información dentro de la organización, pero no

se ha realizado una evaluación para establecer las falencias existentes, por lo que los controles

establecidos son informales y no cubren todos los posibles riesgos. Se depende únicamente del

conocimiento y pertinencia de las personas encargadas del sostenimiento de los activos de

información y se tiene una comunicación esporádica sobre los temas y enfoques para darles

solución [2].

Nivel 2:

Intuitivo


Página 22

Existe conciencia y gestión sobre algunos temas de seguridad de la información, donde se

incluyen procesos de planeación y supervisión, que permiten identificar posibles incidentes de

seguridad; sin embargo estos procesos no han sido adoptado totalmente dentro de la

organización, por lo que la comunicación de estándares y responsabilidades pertenece solo a

las personas encargadas y es probable que los demás empleados de la organización y la gerencia

no se sientan totalmente involucrados, dando como resultado que los procesos y herramientas

no se usen adecuadamente [2].

Nivel 3:

Definido

La importancia de un buen manejo de seguridad de la información se reconoce por parte de la

gerencia y es comunicado hacia la organización teniendo en cuenta la mayoría de temas y

soluciones planteados en sistemas de gestión de la seguridad de la información (SGSI) como el

ISO/IEC 27001 [1]. Los procesos de control se encuentran estandarizados y se documentan,

prueban y aprueban. El proceso de entrenamiento se encuentra establecido pero aun está

limitado a auto aprendizaje en temas genéricos, por lo que dificulta la buena comunicación de

los posibles problemas de seguridad en la organización y la participación completa de la misma

[2].

Nivel 4:

Gestionado y medible

La organización tiene un entendimiento completo del manejo de la seguridad por medio de un

modelo que ha sido definido y desarrollado siguiendo las mejores prácticas; se realizan pruebas

constantes para la recolección de métricas [2], para de esta manera evaluar la efectividad del

sistema de gestión dentro de la organización. Las responsabilidades de los empleados son claras

y se tiene conciencia de los riesgos y de la importancia de la seguridad en la organización.

Todas las actividades que se realizan son registradas para la medición del desempeño del

modelo de seguridad [2].

Nivel 5:

Óptimo


Página 23

La organización tiene una comprensión total, avanzada y a futuro de los temas y soluciones de

seguridad de la información. Además de lo alcanzado en el nivel anterior el entrenamiento y la

comunicación se realizan periódicamente con conceptos y técnicas avanzadas. Con base en

resultados cuantitativos y cualitativos se mantiene una mejora y control continuo del modelo de

seguridad y la gerencia participa activamente brindando herramientas para mejorar calidad,

monitoreo, auto-evaluación y la comunicación completa del modelo de seguridad hacia la

organización, contando con la colaboración cercana del talento humano en la utilización de

estas herramientas [2].

5.2 Áreas de proceso para el escalonamiento

Las áreas de proceso definidas por CMMI son un grupo de prácticas relacionadas que al

realizarse en conjunto satisfacen determinados objetivos [3].

Como parte de su caracterización, cada nivel establece una serie de áreas de proceso que deben

ser cumplidas en su totalidad para que la organización pueda iniciar un escalonamiento hacia el

siguiente nivel, cada una de las áreas debe ser llevada y controlada de forma continua ya sea por

el ingreso de nuevos activos, cambio de políticas, realimentación, escalabilidad, y evaluación,

entre otros.

Algunas de estas áreas involucran al talento humano y su concientización en seguridad de la

información, lo cual permitirá la creación de un entrenamiento paso a paso; que contendrá las

características y actividades a tener en cuenta para cada nivel como se presenta a continuación:

Nivel de Madurez Áreas de proceso

Inicial

6 Áreas de proceso

Identificación de activos de información

organizacionales físicos y digitales [1].

Documentación de los activos de información.

Evaluación de la seguridad existente en la


Página 24

organización.

Metas de seguridad de la información

establecidas [4].

Asignación de recursos específicos para la

gestión de seguridad de la información [4].

Inexistencia o niveles muy bajos de

conciencia en seguridad de la información en

el talento humano.

Intuitivo

8 Áreas de proceso

Clasificación de los activos de información en

cuanto a su valor, requisitos legales,

sensibilidad y criticidad dentro de la

organización [1], [21].

Inicio del proceso de identificación, junto al

talento humano, de posibles amenazas para

los activos de información de la organización

[1].

Identificación del impacto provocado por las

amenazas encontradas que atentan contra los

activos de información [1].

Inicio de la creación de un grupo

especializado en seguridad de la información

[4].

Creación de políticas para la seguridad de la

información [1].

Control de cambios en políticas de seguridad

de la información [4].

Control de acceso a la información física o


Página 25

digital de la organización [4].

Creación de un plan de entrenamiento para la

seguridad de la información en la


Definido

9 Áreas de proceso

Existencia de un grupo especializado en

seguridad de la información con roles y

actividades formalmente definidas [4].

Administración de riesgos para los activos de

información organizacionales [1], [3].

Proceso de monitoreo y control [3] de los

activos de información organizacionales [1],

[3].

Creación del plan de respuesta a incidentes

y/o plan de contingencia [1].

Administración del proceso de integración y

operación de las políticas de seguridad de la

información en toda la organización [1], [3].

Creación de indicadores para el cumplimiento

de las políticas de seguridad de la información

[2].

Definición y divulgación de procesos

disciplinarios asociados a violaciones de

seguridad de la información [2].

Emulación de ataques, accidentes y errores

contra los activos de información ya sean

humanos o del sistema [4].

Desarrollo del programa establecido para el

entrenamiento formal al talento humano de la


Página 26

organización.


8 Áreas de proceso

Proceso de implementación de indicadores

para la evaluación de la eficacia de las

políticas de seguridad de la información en la

organización [1].

Desarrollo de pruebas a la seguridad que

implementa el talento humano a los activos de

información

Simulacros de incidentes a los activos de

información [4].

Desarrollo de informes sobre incidentes de

seguridad.

Los incidentes de seguridad son detectados y

manejados por el talento humano o los

sistemas de la organización [2].

Existe un método de evaluación constante

para obtener información sobre el

comportamiento del talento humano de la

organización con respecto a la seguridad, es

decir, entiende y colabora de manera continua

sobre los aspectos de seguridad de la

información.

Implantación total de entrenamiento continuo

en la organización para el talento humano.

Óptimo

5 Áreas de proceso

Procesos de auto-evaluación por parte del

talento humano de la organización para la

realimentación en el desempeño de los

controles de seguridad.

Todas las áreas de la organización conocen el


Página 27

modelo de seguridad de la información

implementado y lo siguen correctamente [1].

Innovación y desarrollo en procesos de

seguridad con el acompañamiento del talento

humano [3].

Realimentación continua por parte del talento

humano de la organización.

Tabla 1 Nivel de madurez


Página 28

6. Clasificación y niveles para el proceso de entrenamiento

Es importante, que para cualquier proceso de entrenamiento se tengan en cuenta los diferentes

niveles de competencia (tanto educativos, como habilidades que una persona posea), la

sensibilidad, es decir el compromiso, confiabilidad y disposición del talento humano, frente al

aprendizaje de la seguridad de la información, y el acceso a los activos de información de la


A partir de estos aspectos, se puede realizar un entrenamiento según los intereses y la división

del talento humano existente en la organización, por ejemplo, se podrían clasificar por sus

competencias y según la sensibilidad que tengan hacia adquirir y transmitir el conocimiento en


6.1 Clasificación del talento humano por el nivel de competencia,

responsabilidades y autonomía en la organización

Para llevar a cabo un buen manejo del talento humano y lograr el éxito en el entrenamiento en

seguridad de la información, es importante contemplar el tipo de audiencia a quien irá dirigida,

así como una motivación según sus conocimientos [5], [10]. Ya que cada persona dentro de una

organización tiene la facultad de dirigirse hacia el objetivo de la competitividad para alcanzar

sus metas y ser mejor en su competencia, siendo responsable y autónomo, es importante

encauzar esto a la mejora en seguridad de la información para el beneficio de él y el éxito en la

toma de conciencia en la organización [19].

Por esto se tomaron como base clasificaciones dadas por Javier Fernández [6] y las del artículo

Concientización en seguridad de la información [5] sobre las posibles audiencias para un

entrenamiento en seguridad y de esta forma llegar a una clasificación por competencias,

responsabilidades y autonomía de la siguiente manera:


Página 29

Ejecutivo

En este grupo se encuentran cargos con el más alto grado de autonomía, iniciativa y

compromiso debido a su alto nivel de competencia y son quienes ocupan la primera línea

jerárquica de la organización. Estos cargos tienen la responsabilidad de planificar, coordinar,

ejecutar y controlar las políticas, estrategias y directrices corporativas, además de aprobar los

proyectos de la organización a corto y largo plazo. [5][6]

Esto debido a que en su mayoría como mínimo tienen un título Universitario, estudios formales

de posgrado y con alta experiencia en el ejercicio de su profesión en el sector laboral, dentro de

su alta competencia, sin embargo, puede presentarse que alguien perteneciente a este grupo

tenga algunos conocimientos y experiencia o la iniciativa de negocio, pero maneje la

organización con grupos especializados en la actividad que desarrolla esta.

Directivo

Este grupo comprende un grado medio de autonomía y la responsabilidad de fijar y controlar el

cumplimiento de las políticas, estrategias y directrices corporativas, además de la

administración del presupuesto, sin embargo se mantiene un nivel de competencia alto. [5]

En cuanto a la parte de competencia se tienen personas con alta habilidad en su profesión,

además de un título Universitario, estudios formales de posgrado y experiencia en el ejercicio

de su profesión, lo cual permite el apoyo de este grupo al ejecutivo.

Administrativo

Este grupo se encuentra en una posición organizacional intermedia, que tiene un cierto grado de

autonomía y responsabilidad. Son quienes desarrollan tareas complejas y brindan apoyo para la

integración, supervisión y realización de los planes, funciones y proyectos del talento humano y

los recursos técnicos de la organización. [6]

La competencia para este grupo es de nivel intermedio que incluye un título universitario, con

experiencia en el ejercicio de su profesión o con formación especializada en el desempeño de

su función y en algunos casos en gran parte de su labor será el intermediario entre la gerencia y

operativos.

Operativo


Página 30

Son aquellos cargos que pueden o no tener responsabilidades de mando, con un alto grado de

supervisión y dependencia de los otros grupos. Encargados de realizar las labores relacionadas

con el funcionamiento de la organización y la logística del negocio. [5][6]

Para este grupo se tiene un nivel básico o bajo de competencia, por lo que se tiene en cuenta los

estudios técnicos especializados, educación secundaria (Bachiller) o básica primaria.

6.2 Niveles de sensibilidad y receptividad hacia la seguridad de la

información

Después del análisis de las áreas de proceso para cada nivel y la división por competencias del

talento humano de la organización, podría realizarse una clasificación de acuerdo a su interés

por el entrenamiento [5], esto puede lograrse mediante encuestas sobre el interés por la

seguridad de la información en la organización diseñadas por los encargados de la creación del

plan de entrenamiento y contestadas por el talento humano y así con esto definir el método de

distribución de información que se expondrá más adelante.

Muy sensibles y dispuestos al cambio

Son aquellas personas dispuestas a colaborar a partir de sus conocimientos en la mejora de la

seguridad de la información en la organización, tienen mayor conocimiento sobre esta área y

alguna experiencia asociada. Además son los más receptivos al cambio y al aprendizaje sobre

aspectos de seguridad.

Nivel medio de sensibilidad

En este nivel las personas están dispuestas a aprender sobre la gestión y las políticas que se van

a llevar a cabo para la seguridad de la información en la organización. Estas personas también

son receptivas al cambio y al aprendizaje.

Apatía, desinterés o rechazo


Página 31

Las personas son reacias al cambio y al nuevo aprendizaje organizacional, no son dadas a la

colaboración entre el personal y al manejo de temas de seguridad de la información.

6.3 Niveles de acceso a la información

Es importante tener en cuenta que para el manejo de un entrenamiento puede realizarse énfasis

en quienes poseen un mayor manejo de información a quienes ocasionalmente tienen acceso a

ella, debido a que “el control de acceso incluye también la necesidad de mantener la seguridad

en las comunicaciones y la integridad de los datos” [7], esto se maneja dependiendo de la

cultura y políticas de seguridad de la organización, pues puede presentarse combinaciones

dentro de esta misma categoría (niveles de acceso a la información), es decir un espectador

puede tener en algunos casos acceso a la información como privilegiado, lo cual implicaría que

para este aplicarían las normas de ambos niveles.

Administrador

Es quien tiene prácticamente el control total para poder crear, modificar y eliminar información

de la organización, además puede asignar los permisos requeridos para cualquier otro nivel de

acceso y su asignación [5].

Usuario privilegiado

Los usuarios privilegiados tienen permisos especiales debido a su posición dentro de la

organización, tales como crear o modificar información sensible de la organización. Dichos

permisos dependen de lo definido por el administrador [5].

Espectador o Visor


Página 32

En este nivel se encuentran todos los demás usuarios [5] con alguna posibilidad de acceso a la

información de la organización. El espectador solo puede visualizar la información sin la

posibilidad de algún privilegio sin una estricta autorización de un nivel de acceso superior.


Página 33

7. Medios para la obtención del conocimiento y colaboración en


El objeto de crear una conciencia en seguridad, es el hecho de dar al talento humano de la

organización el conocimiento necesario para obtener de él un buen manejo de las políticas de

seguridad [1] y una colaboración en la reducción de riesgos en la organización [9].

Para el cumplimento de lo anterior debe tenerse claridad sobre los procedimientos que deben

llevarse a cabo para la orientación del talento humano en cuanto a las vulnerabilidades

organizacionales y la forma como puede colaborar a la organización.

7.1 Motivación para el talento humano

Motivación se define como el motor que mueve a las personas a hacer lo que hacen [12]. En

este sentido y partiendo de que la disposición del talento humano es la que llevará al éxito o

fracaso de los esfuerzos para avanzar y mantener los niveles de seguridad, la promoción de la

motivación debe ser la primera meta a alcanzar como parte de un programa de entrenamiento en

seguridad de la información en la organización, para así obtener la colaboración y el

conocimiento de cada uno de los integrantes del talento humano.

Los métodos de motivación pueden ser monetarios y no monetarios [10] como forma de

incentivo [12], donde los primeros son recompensas en dinero por una buena labor y los

segundos se encargan de subir el ego profesional y dar reconocimiento al compromiso con la

seguridad.

Como ejemplo para los no monetarios está el elogiar públicamente un buen desempeño o de lo

contrario decir la falla de forma personal y dando corrección al resultado, mostrando paciencia


Página 34

y sin repetir constantemente algo relacionado con el error cometido, a menos que sea necesario,

para no afectar la confianza y la disposición a la colaboración [10], [12].

Existen otros tipos de motivación tales como miedo y desarrollo personal; el primero podría

darse por problemas económicos en la organización o por la llegada de personal más calificado

que amenaza la permanencia de la persona en el cargo y podría afectar el nivel de sensibilidad y

receptividad; el segundo, que es el más recomendado y al cual se hace mayor referencia en este

trabajo, se deriva de una política organizacional y permite que el talento humano se motive al

saber que está adquiriendo nuevos conocimientos gracias a su trabajo y la organización [12].

Es importante tener en cuenta que los logros de una organización no son de uno solo si no de

todo el grupo de personas que trabajan en ella [10], por esto el reconocimiento de su labor y

contribución es una forma de mantener un talento humano motivado y con la certeza de que

colaborará en lo que sea necesario para que su organización prospere.

7.2 Actividades colaborativas por parte de los grupos por

competencias

Es importante que durante el entrenamiento en seguridad de la información en la organización

se establezcan las actividades que realizará cada uno de los grupos propuestos en la división por

competencias para la colaboración en su realización y éxito.

El método propuesto consiste entonces en que cada uno de estos grupos ayudará a otros grupos

o personas, convirtiéndose en gestores de conocimiento en seguridad de la información,

asegurando a su vez la colaboración en este aspecto dentro de la organización, ventajas

competitivas y el crecimiento personal [6].

Para la definición de las actividades propuestas se utilizaron algunas de las descritas por J.

Fernandez [6], E. Van Den Berghe [10] y A.Bruce y J. Pepitone [12], las cuales dan una forma

adecuada de crear y gestionar el conocimiento del talento humano.


Página 35

Grupo Actividad

Ejecutivo

Crear incentivos [10] para lograr la

colaboración de los demás grupos.

Involucrar al talento humano de la

organización en la planificación y el

desarrollo [12] de las políticas de seguridad de

la información.

Dar facultad al talento humano para que

participe activamente [12] reportando fallos y

dando sugerencias para el modelo de

seguridad [1].

Dar confianza e importancia a cada cargo en

la organización [10].

Permitir que cada grupo desarrolle el potencial

de los demás [12].

Aprender de todo cuanto sucede en la

organización y transformarlo en nuevas

estrategias para el control de la seguridad [10]

[12].

Directivo

Crear una cultura de colaboración en la

organización [6].

Despertar el sentido de pertenencia a la

organización [10].

Tener una relación directivo-empleado que

influya positivamente en la motivación [12].

Dar participación al talento humano [12] para


Página 36

el evaluar los procedimientos que se están

llevando a cabo en seguridad.



Cumplir con los incentivos fijados por los

ejecutivos para el talento humano.

Administrativo

Difundir la cultura de colaboración en toda la

organización [6].

Escuchar o atender sugerencias [12] por parte

de todo el talento humano, para la mejora en




Mantener informados a los directivos sobre la

colaboración, manejo y errores del talento

humano para el control y cumplimiento de las

actividades de motivación.

Operativo

Ser consientes de sus responsabilidades dentro

del proceso y colaborar siempre que sea

necesario [6] [12].

Ser generadores de conocimiento en seguridad

para la organización y sus compañeros [12].



Tabla 2 Actividad colaborativa


Página 37

8. Estructura del entrenamiento

Teniendo clara la división que puede hacerse del talento humano para la organización del

entrenamiento, seguido de un método de motivación y repartición de tareas asociadas a cada

uno de los grupos como regla base para la comunicación de los diferentes problemas en

seguridad de la información, se pueden ahora desarrollar paso a paso las actividades de

organización, realización, divulgación y evaluación del entrenamiento en seguridad de la

información.

8.1 Estrategia de entrenamiento por niveles de madurez

Como se estableció, para cada nivel de madurez existe un área de proceso que describe la

evolución del entrenamiento, lo que conlleva a la creación de un método.

Este método consta de actividades, basadas en el libro de A. Bruce y J. Pepitone [12] y

complementadas por Javier Fernández [6] y E. Van Den Berghe [10], que deben tenerse en

cuenta para la organización de las estrategias de entrenamiento según el nivel de madurez en el

que se encuentre la organización.

En el siguiente cuadro se encuentran las actividades a realizar dentro del entrenamiento de

seguridad de la información al talento humano de la organización para cada uno de los niveles

de madurez:


Página 38

Nivel de madurez Actividad

Inicial Pueden existir personas encargadas de algunos aspectos de seguridad

ya sea física o digital, en este caso:

Existen controles mínimos e informales por parte de algunos

empleados de la organización preocupados por la seguridad

de la información que manejan en su trabajo.

Iniciar diálogos con el talento humano para identificar

posibles estrategias de entrenamiento y toma de conciencia

[10].

Intuitivo De acuerdo con las políticas establecidas y los recursos

asignados :

Permitir que el talento humano exprese sus ideas,

necesidades y problemas respecto a la seguridad de la

información [12].

Generar necesidad de aprendizaje por medio del

entrenamiento a diseñar [12].

En el caso de contratación de un formador para el

entrenamiento se le debe informar de las ideas y necesidades

de la organización [12].

Incluir el aprendizaje por experiencia apoyado por prácticas

en el entrenamiento [12].

Identificar que los factores motivan al talento humano de la

organización [10].

El gerente debe tener la capacidad de formar un equipo de

colaboradores para la asignación de responsabilidades y

delegar funciones para el desarrollo y mantenimiento del

entrenamiento en seguridad de la información [10].

Elegir las herramientas y los medios que se ajusten mejor a

los objetivos del entrenamiento y su audiencia.

Mejorar la comunicación entre los niveles, rompiendo

barreras jerárquicas [10].


Página 39

Definido Inicio del entrenamiento en seguridad de la información para el

talento humano:

Informar con exactitud al talento humano los objetivos del


Iniciar el entrenamiento y la distribución de información

justo a tiempo [12].

Los gerentes y directivos deben ser participativos, flexibles y

tolerantes con el talento humano al momento de dar

motivación y transmitir información [6], [12].

La gerencia y directivos deben ponerse a disposición para el

desarrollo del entrenamiento.

Conseguir que el talento humano sea coherente, dinámico y

decisorio [10].

Implantación sistemática del entrenamiento en seguridad de

la información [6].

Formación del personal en los aspectos más importantes de

seguridad en la organización [6].

Permitir al talento humano desarrollar planes de acción para

poner su conocimiento en práctica [12].

Hacer que el talento humano olvide los métodos intuitivos o

informales que no funcionan [12].

Gestionado y medible El entrenamiento está implementado totalmente en la organización:

Las herramientas utilizadas para el entrenamiento deben

permanecer almacenadas y disponibles para el talento

humano [6].

Se deben generar constantemente deseos de participación en

los entrenamientos ya sea como instructores o asistentes [6].

Revisar los planes de acción tomados por el talento humano

para la implementación de su nuevo conocimiento en

seguridad [12].

Generar una cultura de colaboración en distribución de la


Página 40

información convertida en conocimiento [6].

Realización de encuestas o evaluaciones al talento humano,

para tener medición cualitativa de la calidad del

entrenamiento, transmisión de conocimientos y la

aplicabilidad en el espacio de trabajo.

Óptimo El entrenamiento para el talento humano es continuo y lleva un

proceso de mejora permanente:

Los gerentes y directivos se preocupan por la generación de

un estado mental de aprendizaje continuo en el talento

humano [6].

Existe una dinámica de gestión de cambio continuo en

técnicas, tecnologías y políticas de seguridad de la

organización [6].

Se seleccionan los mejores planes de acción creados por el

talento humano como punto de partida dentro de la

organización (benchmarking) [10], [12].

Tabla 3 Actividad estratégica de entrenamiento

8.2 Herramientas para el diseño del entrenamiento

En el momento de iniciar el diseño de la campaña que se realizará dentro del entrenamiento

debe tenerse en cuenta qué presupuesto ha sido asignado para este fin y con este elegir la mejor

manera de llegar al talento humano por medio de herramientas informativas, que les brindarán

conocimiento sobre el modelo de seguridad de la información y sus políticas.

Considerar esta parte del entrenamiento como una inversión y no como un gasto es relevante

para la organización puesto que será lo que permitirá realizar un entrenamiento con los

estándares necesarios para el éxito y no uno que llegará a unos pocos o fracasará por minimizar

en costos. Además permitirá tener una nueva situación en nivel de seguridad, generando

utilidades, participación, sensibilización y conocimiento, entre otras [24].


Página 41

Otro elemento a tener en cuenta antes de escoger las herramientas que se utilizarán para el

entrenamiento es la de evitar generar frustración [24], pues un logotipo, un mensaje mal

diseñado o un conferencista inadecuado para la audiencia, puede causar efectos contrarios en el

talento humano o la no receptividad del mensaje que realmente se quiere trasmitir. Para que

esto no ocurra, se debe tener en cuenta los objetivos del entrenamiento y el tipo de audiencia

que se está manejando [22].

Existen diferentes herramientas que permitirán lograr el éxito del entrenamiento según la

división de la audiencia que se haya realizado, los objetivos planteados y la realidad que vive la

empresa económicamente y en su interés por la seguridad de la información. Teniendo esto

claro puede entonces escogerse la mejor forma de llegar a la audiencia objetivo, optando por

una o mezclando diferentes herramientas.

En los siguientes cuadros se encuentran las posibles herramientas a usar para el entrenamiento y

algunos materiales que las representan, junto a una breve descripción de ventajas y desventajas

que se obtendrá con su utilización, basado en los libros de publicidad de W. Arens [22], O.

Aprile [23] y D. Parra y C. Herrera [24] y temas de metodologías de aprendizaje H. Aebli [25],

J.M. Serrano [26].

Herramienta Gráfica

Materiales Anuncios

Folletos

Afiches

Carteles

Manuales

Circulares

Boletines

Descripción Ventajas

Estas herramientas tienen la capacidad de ser más selectivas para

las diferentes audiencias y de lograr una máxima exhibición y

despliegue de la información [22], [23].

Da flexibilidad a la publicidad y manejo de información [22].


Página 42

Permite ofrecer una mayor credibilidad al dar la profundidad

necesaria para que el talento humano logre la comprensión de los

mensajes [22], [23].

Ofrecen una mayor disponibilidad ante el talento humano a

diferencia de otros medios [23].

Brinda toda una gama de opciones que le dan adaptabilidad a la

herramienta dentro del entrenamiento, relacionando tamaño,

ubicación y costo [23].

Es una de las herramientas que permite mayor cobertura en el área

geográfica de la organización [23].

Con esta puede presentarse de forma clara las características y

atributos del tema de entrenamiento [28].

Puede presentarse la información junto a objetos o personajes que

le da un significado o cualidad especial que causará un efecto de

interés y curiosidad a la audiencia [28].

Permite manejar contextos reales, situaciones, personajes y objetos

con semejanza a la vida real o el irreal, manejando situaciones

fantásticas, imaginarias que le dan creatividad y originalidad a la

información presentada por esta herramienta [28].

Desventajas

Estas herramientas pueden no ser inmediatas cuando se requiera dar

una información importante en el menor tiempo posible [22].

Existe cierta incapacidad de un manejo masivo a bajo costo en

algunos de los materiales [22].

Puede presentarse zapping, lo cual se refiere a que el talento

humano puede no fijarse en alguna información puesta en esta

herramienta [23].

A veces las imágenes son limitadas en cuanto a comunicación y

transmisión de la información, por lo que siempre debe

complementarse por un elemento verbal, es decir texto [28].

Tabla 4 Herramienta Gráfica


Página 43

Herramienta Tecnológica

Materiales e-mail

Multimedia

Banner

Página Web

Foros web

Redes sociales


Permite interactividad entre la gerencia y los demás grupos de la

división del talento humano [22].

Se tiene un total cubrimiento de la audiencia objetivo [22].

Brinda inmediatez de envío, actualización y corrección a los

mensajes informativos o de publicidad del entrenamiento [22], [23].

Da una mayor y precisa selectividad de audiencia y control según el

material que se utilice, alcanzando mayores niveles de eficacia [22],

[28].

Comunicación de la información de forma completa y exhaustiva

[22].

La información puede llegar en horarios fuera del laboral [22].

Ofrece una combinación entre artes, comunicación y técnicas [23].

Gran capacidad multimedia: texto, imagen, video, animación y

audio. Permitiendo de forma dinámica que el talento humano tenga

una mayor posibilidad de impacto y receptividad del mensaje [23].

Personalización: permite adaptar la información a la audiencia,

según su competitividad, sensibilidad y acceso a la información de la

organización [28].

Desventajas

Las descargas lentas pueden desmotivar a que la audiencia vea la

información [22], [23].

Pueden existir problemas en la entrega de la información al talento

humano debido a correos llenos o fallas en el momento de envío

[22].


Página 44

En horarios fuera del laboral puede no ser accesible para todo el

talento humano de la organización [23].

Puede presentarse que el talento humano no se fije en alguna

información puesta en esta herramienta por encabezados poco

interesantes o equivocados [22].

Tabla 5 Herramienta tecnológica

Herramienta Guía organizacional y/o por expertos

Materiales

Congresos

Conferencias

Seminarios

Foros

Talleres

Cursos

Reuniones de grupo


Esta herramienta permite dar una evaluación cuantitativa de lo

logrado en cuanto a conocimiento y curiosidad generado en el

talento humano, durante el entrenamiento en seguridad de la

información.

Se obtiene la enseñanza masiva con métodos didácticos que

permiten encontrarse con experiencias cotidianas en seguridad de la

información [25].

Permite la realización de ejercicios en tiempo real sobre problemas

de seguridad que pueden presentarse en la organización, para

construir una solución conjunta a este [25].

Logra enfocar y guiar a la audiencia hacia la comprensión del tema

objetivo [25].

Consigue ligar a la audiencia de tal forma que se logre un

aprendizaje colaborativo [26].

Permite la utilización de motivación personal y directa entre


Página 45

compañeros y de gerente a empleado [26].

Solución de dudas de la audiencia en tiempo real [27].

Desventajas

Puede no ser tan inmediata con respecto a otras herramientas en el

momento de dar información [23].

Es una herramienta que puede ser en algunas ocasiones poco

interactiva por falta de motivación, temor de la audiencia a participar

o desinterés [27].

En caso de no manejar el tiempo puede perderse la opinión de

algunas personas de la audiencia.

Tabla 6 Herramienta guía organizacional y/o por expertos

8.3 Método de distribución de la información

Tener en cuenta la comunicación como una parte estructurada del entrenamiento llevará a la

organización al logro de los objetivos específicos y la concientización del talento humano en los

aspectos de la seguridad de la información [22].

Teniendo definida(s) la(s) herramienta(s) y el o los materiales a utilizar para el entrenamiento se

debe establecer el método por el cual esto será distribuido y la ejecución de la comunicación de

la información pertinente de seguridad de la información al talento humano [23].

La gerencia puede escoger entre diferentes tipos de distribución como los son: la selectiva,

donde cada material incluido en el entrenamiento depende del tipo de división de audiencia

seleccionado; la intensiva, la cual se presenta de forma continua en la organización dando

disponibilidad completa a los materiales utilizados; por último, la exclusiva, es decir, se le dará

la información solo a ciertos individuos pertenecientes al talento humano de la organización

[22].

En el siguiente cuadro se dan algunos de los métodos a tener en cuenta para la distribución y

comunicación del entrenamiento; sin embargo la organización, según su capacidad creativa y

monetaria, es libre de incluir tantas actividades como lo considere adecuado:


Página 46

Herramienta Método de comunicación y distribución

Gráfica Según el material diseñado para esta herramienta:

Ser visible para la audiencia a la que va

dirigida.

Prestar atención que la herramienta empleada

sea del conocimiento de todo el talento humano

en la organización.

Buscar los lugares más concurridos de la

organización para colocar las carteleras,

afiches, entre otros, sin saturar de información

por medio de esta herramienta ya que podría

tener efectos negativos en la audiencia [12],

[23].

Para lograr la mayor capacidad de impacto,

estos deben mantenerse en una misma

ubicación durante un periodo largo, ya que

permite un contacto visual repetido incluso

durante el mismo día [28].

Mucha de esta información puede terminar en la

basura [22], por esto es importante que el

mensaje quede en la mente de su receptor

enfatizándolo en otros materiales que sean de

mayor permanencia o requiriéndolos para

utilización posterior [23].

Esta herramienta puede utilizarse como un

medio troncal o de apoyo para las demás

herramientas, es decir como un complemento

de información o refuerzo de conocimiento

[23].

Pueden tenerse anunciantes que ayuden a la

motivación de la lectura de la herramienta

grafica que invita al talento humano al


Página 47

aprendizaje de temas de seguridad de la

información [22].

Debe tenerse en cuenta que para una buena

distribución del material debe mostrarse el

título de la información a presentar y sus

características más significativas [28].

Aprovechar este medio para que el material

utilizado tenga circulación mano en mano y no

sea necesario realizar impresiones para cada

uno de los empleados [28].

Tecnológica Según el material diseñado para esta herramienta:

Deben realizarse páginas atractivas pero que no

tarden en cargarse [23].

Para una mejor comunicación de la información

mediante esta herramienta la navegación debe

ser intuitiva [23].

En caso de realizarse una página esta debe

promocionarse por otras herramientas o utilizar

otros materiales de este tipo como banners [23].

Se debe potenciar con esta herramienta la

interactividad mediante juegos, música y todo

tipo de recursos disponibles para el

entendimiento e interés del talento humano

[23].

Los mensajes deben orientarse al máximo para

evitar posibles distracciones o dispersión de la

información allí presentada y el talento humano

[23].

La información contenida en esta herramienta

debe ser actualizada periódicamente y ser

atractiva y original para el talento humano [23].

Al brindar información por algunos de los

materiales de esta herramienta debe tenerse en


Página 48

cuenta que mucha información sin creatividad

puede aburrir a la audiencia, por lo que debe

realizarse de forma breve, dando a conocer el

tema, destacar la ventaja y desventaja más

importante y las formas de solución a este [28].

Los mensajes deben construirse con base en la

información de seguridad y los conocimientos

que allí se destacan, para transmitir un concepto

claro y que atraiga el interés de la audiencia

[28].

Se debe garantizar por esta herramienta una

comunicación que incluya veracidad,

credibilidad y estimulación sobre la relevancia

y significancia de la seguridad de la

información para el talento humano y la

organización [29].

Debe tenerse un método de control de la

comunicación y distribución de la información

sobre estos medios para garantizar la integridad

de la información allí colocada [29].

Guía organizacional y/o por expertos Según el material diseñado para esta herramienta:

Algunos de estos necesitan anuncios gráficos

base como: boletines, afiches o circulares o

tecnológicos como banners o e-mails.

Para esta herramienta debe tenerse en cuenta los

aspectos de motivación planteados que tendrá la

organización para los empleados.

Dentro de la comunicación debe tenerse en

cuenta como primer paso una explicación de la

organización a todo el talento humano, un

segundo paso es mostrar la importancia de ellos

dentro de la organización, es decir cómo estará

generando beneficios para él y la organización,


Página 49

y el tercero, animar al talento humano para

intente hacer su trabajo diferente, a realizar

aportes de mejora y toma de riesgos que den

beneficios a la seguridad de la información

[12].

Todo aquello que se hable, como la solución de

problemas, aportes para la mejora de las

estrategias, acuerdos entre la gerencia y demás

talento humano, entre otros, debe ser

documentada y tenida en cuenta [12].

Para la comunicación de información por esta

herramienta los encargados deben asegurarse de

que el talento humano está involucrado y

sintonizado con el tema [12].

Para una buena distribución de información por

esta herramienta es necesario fijarse en una sola

línea de acción para así poder brindar la

información correcta a la audiencia correcta

[12].

La comunicación puede ser personal, es decir,

el receptor se puede comportar como emisor y

viceversa, dando la capacidad de interactuar

[29].

Debe garantizarse la interiorización, es decir, la

persona encargada de la comunicación debe

permitir que su conocimiento se convierta en el

de los demás [30].

El aprendizaje debe realizarse por medio de la

repetición, imitación, la aplicación de

recompensas [30].

Debe tratarse en lo posible, que por medio de

esta herramienta el trabajo sea grupal, para

obtener mejores resultados y una mayor


Página 50

participación de la audiencia [12], [30].

Debe asegurarse de que el emisor se comunique

y se exprese perfectamente, para asegurase que

el receptor tiene una excelente comprensión de


Tabla 7 Método de comunicación y distribución

8.4 Evaluación del entrenamiento

Debido a que el entrenamiento es un proceso constante para el talento humano, es relevante que

la gerencia se encuentre informada sobre el éxito o fracaso que esté significando los esfuerzos,

herramientas de comunicación y distribución, motivación entre otras, para lograr, la

colaboración, buen desempeño de las tareas y el conocimiento del sistema de seguridad de la

información de la organización, por parte del talento humano.

Existen muchas posibilidades de conocer este tipo de situaciones dentro de una organización,

como son encuestas, evaluaciones de conocimiento, de desempeño, entre otras, las cuales deben

ser escogidas antes del inicio del entrenamiento, para ser aplicadas en el momento en que se

concluyan procesos, se comiencen a ver resultados, se requieran mejoras o no se vean

resultados del entrenamiento por parte del talento humano.

Dentro de esta sección se da un posible formato de evaluación para ser utilizado después de un

tiempo de estar llevando a cabo el entrenamiento, para el cual se tomó como guía el “Formato

de evaluación del desempeño [31]”.

En el formato se tienen en cuenta diferentes aspectos del evaluado (audiencia del proceso de

entrenamiento) como lo son: conocimiento, cantidad de trabajo, calidad del trabajo, iniciativa

y cooperación; es posible que según la organización, sus intereses y creatividad puedan

agregarse o modificarse.

Conocimiento: Se considera el conocimiento del empleado adquirido mediante el

entrenamiento en seguridad de la información.


Página 51

Cantidad de trabajo: Cantidad de trabajo producido y colaboración en condiciones normales,

para el mejoramiento de la seguridad de la información.

Calidad del trabajo: Se tienen en cuenta la pulcritud, confiabilidad y resultados obtenidos al

aplicar el conocimiento y responsabilidades de seguridad de la información.

Iniciativa: Tendencia del empleado a contribuir, desarrollar y generar nuevas ideas para la


Cooperación: Considere la manera de relacionarse y prestación de ayuda y apoyo a sus

compañeros del trabajo.

Nombre Apellido

Cargo

Fecha última

evaluación

Departamento Periodo evaluado

Programa(s) de

entrenamiento

asistido(s)

Nombre del evaluador

Instrucciones Evaluación

Para las siguientes preguntas responda con

el número indicado entre 1 y 5, de forma

sincera y según el trabajo realizado

Escriba 1 : Lo cumple 2: Ha mejorado 3: Ha

cambiado poco 4: No ha cambiado y 5: Ha

desmejorado

Aspectos Preguntas Eval. Observaciones

Conocimiento

¿Está bien informado sobre las políticas de

seguridad del a información de la organización?

¿El conocimiento en seguridad de la

información es suficiente para realizar sólo las

labores que le corresponden?

¿Tiene dominio de las políticas, los planes de

acción y soluciones a los problemas de

seguridad?


Página 52

Cantidad de

trabajo

¿Produce un buen volumen de ideas para las

mejoras en seguridad de la información?

Comparado con el promedio.

¿Participa activamente en los eventos

programados para el entrenamiento en

seguridad de la información?

¿Ayuda de forma permanente a sus compañeros

para mejorar el conocimiento en seguridad de

la información en la organización?

¿Lleva a cabo las actividades que le

corresponden para la guía de la organización en

la mejora de la seguridad de la información?

Calidad del

trabajo

¿No comete errores en los procesos guía para la

organización en la mejora de la seguridad de la

información?

¿Tiene en cuenta las políticas de seguridad de

la información en su trabajo cotidiano?

¿Cumple con las actividades de seguridad de la

información asignadas sin necesidad de ser

revisadas por un superior o ayudante?

Iniciativa

¿La iniciativa hacia la producción de ideas para

el control de seguridad de la información ha

sido relevante para la organización?

¿Ha participado de las actividades programadas

para el entrenamiento sin problemas o sin la

presión de un superior?

¿Necesita de gran motivación para realizar sus

responsabilidades con la seguridad de la

información?

Cooperación

¿Colabora esmeradamente a su equipo de

trabajo en el conocimiento de la seguridad de la

información? Sin reparo de tiempo ni por lo

que tiene que hacer.


Página 53

¿Ayuda a definir nuevas políticas, procesos,

soluciones entre otras para mejorar el sistema

de seguridad de la información?

¿Informa de errores o posibles deficiencias del

sistema de seguridad de la información de

forma continua?

Tabla 8 Formato de evaluación


Página 54

9. Guía

9.1 Introducción

El diseño de esta guía, parte de la búsqueda de información y el análisis sobre la seguridad de la

información en las organizaciones, esto permitió crear un cuerpo base de la guía haciendo

énfasis en el nivel de madurez de seguridad de la información y el entrenamiento para generar

conciencia en el talento humano.

Así mismo se presenta en la guía unos lineamientos que permiten el diseño exitoso de un

programa de entrenamiento en seguridad de la información, finalizando con una evaluación

periódica que debe realizarse para lograr alcanzar o mantener un nivel de madurez y

entrenamiento óptimo. Sin embargo estos lineamientos no son un procedimiento detallado ni

estricto, la organización puede realizar los cambios que crea conveniente según su cultura y

políticas.

9.2 Guía para el entrenamiento en seguridad de la información

teniendo en cuenta su nivel de madurez

Dentro de esta sección se encontrarán los pasos a seguir para la utilización de la guía en el

proceso de inclusión de la seguridad de la información en la organización.

La guía se compone de los siguientes pasos:

1: Análisis del nivel de madurez de la organización.

2: Definición de audiencias para el entrenamiento en seguridad de la información.


Página 55

3: Definición de estrategias para obtener del talento humano colaboración hacia los procesos en


4: Diseño estructural del entrenamiento en seguridad de la información.

5: Evaluación del progreso del talento humano y la organización en seguridad de la

información.

9.2.1 Paso 1: Análisis del nivel de madurez de la organización

Una organización interesada en obtener buenos resultados en seguridad de la información

teniendo en cuenta el talento humano, debe definir como primer paso en la estrategia de

concientización y entrenamiento la identificación de su estado inicial, es decir, el

reconocimiento que se tiene en cuanto a objetivos, procedimientos, asignación de recursos

económicos, capacidad informativa hacia el talento humano de la organización, entre otros

aspectos caracterizados en los diferentes niveles de madurez.

A continuación se describen cada uno de los niveles de madurez en seguridad de la

información:

Nivel 0:

No existe

No hay un proceso identificable de seguridad de la información dentro de la organización.

No se ha reconocido un problema a resolver [2]; y por ende no existe una comunicación del

tema hacia el talento humano.

Nivel 1:

Inicial

Se reconoce la necesidad de la seguridad de la información dentro de la organización, pero

no se ha realizado una evaluación para establecer las falencias existentes, por lo que los

controles establecidos son informales y no cubren todos los posibles riesgos. Se depende


Página 56

únicamente del conocimiento y pertinencia de las personas encargadas del sostenimiento de

los activos de información y se tiene una comunicación esporádica sobre los temas y

enfoques para darles solución [2].

Nivel 2:

Intuitivo

Existe conciencia y gestión sobre algunos temas de seguridad de la información, donde se

incluyen procesos de planeación y supervisión, que permiten identificar posibles incidentes

de seguridad; sin embargo estos procesos no han sido adoptado totalmente dentro de la

organización, por lo que la comunicación de estándares y responsabilidades pertenece solo

a las personas encargadas y es probable que los demás empleados de la organización y la

gerencia no se sientan totalmente involucrados, dando como resultado que los procesos y

herramientas no se usen adecuadamente [2].

Nivel 3:

Definido

La importancia de un buen manejo de seguridad de la información se reconoce por parte de

la gerencia y es comunicado hacia la organización teniendo en cuenta la mayoría de temas y

soluciones planteados en sistemas de gestión de la seguridad de la información (SGSI)

como el ISO/IEC 27001 [1]. Los procesos de control se encuentran estandarizados y se

documentan, prueban y aprueban. El proceso de entrenamiento se encuentra establecido

pero aun está limitado a auto aprendizaje en temas genéricos, por lo que dificulta la buena

comunicación de los posibles problemas de seguridad en la organización y la participación

completa de la misma [2].

Nivel 4:


La organización tiene un entendimiento completo del manejo de la seguridad por medio de

un modelo que ha sido definido y desarrollado siguiendo las mejores prácticas; se realizan

pruebas constantes para la recolección de métricas [2], para de esta manera evaluar la

efectividad del sistema de gestión dentro de la organización. Las responsabilidades de los

empleados son claras y se tiene conciencia de los riesgos y de la importancia de la


Página 57

seguridad en la organización. Todas las actividades que se realizan son registradas para la

medición del desempeño del modelo de seguridad [2].

Nivel 5:

Óptimo

La organización tiene una comprensión total, avanzada y a futuro de los temas y soluciones

de seguridad de la información. Además de lo alcanzado en el nivel anterior el

entrenamiento y la comunicación se realizan periódicamente con conceptos y técnicas

avanzadas. Con base en resultados cuantitativos y cualitativos se mantiene una mejora y

control continuo del modelo de seguridad y la gerencia participa activamente brindando

herramientas para mejorar calidad, monitoreo, auto-evaluación y la comunicación completa

del modelo de seguridad hacia la organización, contando con la colaboración cercana del

talento humano en la utilización de estas herramientas [2].

El proceso de identificación del nivel de madurez en el cual se encuentra la organización debe

llevarse a cabo con base en las descripciones anteriores y las áreas de proceso correspondientes

a cada nivel que se encuentran en el Anexo 1G.

Para que la organización se encuentre en alguno de los niveles presentados en la ilustración 1,

es necesario que cumpla exactamente cada una de las especificaciones contenidas dentro de

cada nivel, junto a las áreas de proceso de niveles anteriores y las especificadas en el nivel que

se encuentra.


Página 58

Ilustración 1 Niveles de madurez

Se sugiere la realización de evaluaciones internas frecuentes a cada una de las áreas de proceso,

por lo que la guía cuenta con algunos parámetros a tener en cuenta dentro de las evaluaciones y

una especificación de preguntas para el plan de entrenamiento, ver Anexo 2G.

9.2.2 Paso 2: Definición de audiencias para el entrenamiento en seguridad de la

información

Este paso debe realizarse con el fin de tener una división correcta del talento humano de la

organización, para convertirlo en la audiencia durante el proceso de entrenamiento, logrando así

que se capte mejor la información que se dará a conocer, se escoja un mejor método de

distribución de información, se motive positivamente y se mantenga la pro actividad dentro de

cada grupo de audiencia.


Página 59

Después de realizar un análisis exhaustivo dentro de la organización sobre las necesidades

existentes en seguridad de la información y un posicionamiento en los niveles de madurez se

tiene el objetivo de encontrar las diferentes audiencias que existen en una organización y el

diseño de un plan de entrenamiento, los encargados de realizar este paso deben clasificarlas

según sus políticas y cultura organizacional.

Sin embargo en esta guía se presentan posibles divisiones del talento humano, dando prioridad a

las competencias, responsabilidades y autonomía de decisión en la organización ya que este es

un aspecto relevante dentro del proceso de entrenamiento, como se muestra en la ilustración 2 y

se explica en el Anexo 3G.

Ilustración 2 Clasificación del talento humano

Es posible para este aspecto combinar la competencia del talento humano con las demás

clasificaciones dadas en esta guía o las que la organización desee manejar, siempre y cuando

contribuya al éxito del entrenamiento.

Después del análisis de las áreas de proceso para cada nivel y la división por competencias del

talento humano de la organización, podría por ejemplo realizarse una clasificación de acuerdo a


Página 60

su interés por el entrenamiento o por los permisos que tiene cada uno de los grupos contenidos

en esta para acceder a la información.

9.2.3 Paso 3: Definición de estrategias para obtener del talento humano

colaboración hacia los procesos en seguridad de la información

Para obtener del talento humano el conocimiento que tiene sobre seguridad de la información y

a través de esto conseguir el mejoramiento y nuevas propuestas para escalar en los niveles de

madurez de la organización, es necesario que la gerencia, directivas y encargados diseñen

estrategias que faciliten este hecho, esto teniendo en cuenta la división realizada en el paso 2.

En este paso se muestran algunas posibilidades (ilustración 3), para que la gerencia y directivas

las analicen y apliquen antes, durante y después del entrenamiento.

Ilustración 3 Obtención de conocimiento y colaboración [32], [33].


Página 61

La motivación como primer aspecto permitirá que los ejecutivos, directivos y jefes de área de

la organización tengan un encuentro más cercano con sus empleados o personas a cargo,

dándoles mayor confianza y seguridad, para obtener de ellos mejores resultados en cuanto al

trabajo que deben realizar para la comunicación, mantenimiento y mejora de la seguridad de la

información y generando interés por estos aspectos de forma continua, es decir, lograr el

aumento del nivel de sensibilidad2 en el talento humano.

Por otra parte las actividades colaborativas permiten una integración total del talento humano en

pro de alcanzar el nivel óptimo en seguridad de la información y una estructura de actividades

específicas para cada grupo de la audiencia construido en el paso 2, dándoles un papel

importante dentro del proceso de escalonamiento y mantenimiento de los niveles de madurez.

A continuación se describen las actividades de motivación y de colaboración sugeridas para el

entrenamiento en seguridad de la información:

9.2.3.1 Motivación para el talento humano

Motivación se define como el motor que mueve a las personas a hacer lo que hacen [12]. En

este sentido y partiendo de que la disposición del talento humano es la que llevará al éxito o

fracaso de los esfuerzos para avanzar y mantener los niveles de seguridad, la promoción de la

motivación debe ser la primera meta a alcanzar como parte de un programa de entrenamiento en

seguridad de la información en la organización, para así obtener la colaboración y el

conocimiento de cada uno de los integrantes del talento humano.

Los métodos de motivación pueden ser monetarios y no monetarios [10] como forma de

incentivo [12], donde los primeros son recompensas en dinero por una buena labor y los

segundos se encargan de subir el ego profesional y dar reconocimiento al compromiso con la

seguridad.

Como ejemplo para los no monetarios está el elogiar públicamente un buen desempeño o de lo

contrario decir la falla de forma personal y dando corrección al resultado, mostrando paciencia

y sin repetir constantemente algo relacionado con el error cometido, a menos que sea necesario,

para no afectar la confianza y la disposición a la colaboración [10], [12].

2 Por conseguir seguridad de la información en la organización.


Página 62

Existen otros tipos de motivación tales como miedo y desarrollo personal; el primero podría

darse por problemas económicos en la organización o por la llegada de personal más calificado

que amenaza la permanencia de la persona en el cargo y podría afectar el nivel de sensibilidad y

receptividad; el segundo, que es el más recomendado y al cual se hace mayor referencia en este

trabajo, se deriva de una política organizacional y permite que el talento humano se motive al

saber que está adquiriendo nuevos conocimientos gracias a su trabajo y la organización [12].

Es importante tener en cuenta que los logros de una organización no son de uno solo si no de

todo el grupo de personas que trabajan en ella [10], por esto el reconocimiento de su labor y

contribución es una forma de mantener un talento humano motivado y con la certeza de que

colaborará en lo que sea necesario para que su organización prospere.

9.2.3.2 Actividades colaborativas por parte de los grupos por competencias,

responsabilidad y autonomía.

Es importante que durante el entrenamiento en seguridad de la información en la organización

se establezcan las actividades que realizará cada uno de los grupos propuestos en la división por

competencias para la colaboración en su realización y éxito.

El método propuesto consiste entonces en que cada uno de estos grupos ayudará a otros grupos

o personas, convirtiéndose en gestores de conocimiento en seguridad de la información,

asegurando a su vez la colaboración en este aspecto dentro de la organización, ventajas

competitivas y el crecimiento personal [6].


Página 63

Grupo Actividad

Ejecutivo

Crear incentivos [10] para lograr la

colaboración de los demás grupos.

Involucrar al talento humano de la

organización en la planificación y el

desarrollo [12] de las políticas de seguridad de

la información.

Dar facultad al talento humano para que

participe activamente [12] reportando fallos y

dando sugerencias para el modelo de

seguridad [1].



Permitir que cada grupo desarrolle el potencial

de los demás [12].

Aprender de todo cuanto sucede en la

organización y transformarlo en nuevas

estrategias para el control de la seguridad [10]

[12].

Directivo

Crear una cultura de colaboración en la

organización [6].

Despertar el sentido de pertenencia a la

organización [10].

Tener una relación directivo-empleado que

influya positivamente en la motivación [12].

Dar participación al talento humano [12] para

el evaluar los procedimientos que se están


Página 64

llevando a cabo en seguridad.



Cumplir con los incentivos fijados por los

ejecutivos para el talento humano.

Administrativo

Difundir la cultura de colaboración en toda la

organización [6].

Escuchar o atender sugerencias [12] por parte

de todo el talento humano, para la mejora en




Mantener informados a los directivos sobre la

colaboración, manejo y errores del talento

humano para el control y cumplimiento de las

actividades de motivación.

Operativo

Ser consientes de sus responsabilidades dentro

del proceso y colaborar siempre que sea

necesario [6] [12].

Ser generadores de conocimiento en seguridad

para la organización y sus compañeros [12].




Página 65

9.2.4 Paso 4: Diseño estructural del entrenamiento en seguridad de la

información

Tener los aspectos establecidos dentro del paso 3, como una estrategia para mantener el interés

y la colaboración del talento humano frente al proceso de mejoramiento en seguridad de la

información no es suficiente, pues la idea principal es dar a conocer las políticas generadas para

la seguridad de la información, la importancia de estas y como conseguirlas, por lo que debe

entonces plantearse un paso más para la contribución a las estrategias ya definidas por la

organización.

Ya que este paso debe enfocarse en cómo llegarle de manera más formal y dinámica al talento

humano, la organización debe conseguir un buen diseño y desarrollo del entrenamiento en

seguridad de la información, por lo que se hace necesario tener un proceso organizado y

coherente.

En primer lugar, la gerencia3 debe definir los objetivos, personal que se encargará de llevar a

cabo el diseño y desarrollo del entrenamiento y todas las actividades necesarias para un manejo

coordinado, formal y exitoso.

En la guía se presentan algunas pautas a tener en cuenta para el diseño de la campaña, como lo

son: las actividades gerenciales según el nivel de madurez, las herramientas y por último

aspectos sobre la utilización de estas para el desarrollo del entrenamiento en la organización,

como lo muestra la ilustración 4.

3 Ejecutivos y/o directivos.


Página 66

Ilustración 4 Proceso de diseño del entrenamiento

Dentro de la estrategia gerencial se desarrollan las siguientes actividades:

Nivel de madurez Actividad

Inicial Pueden existir personas encargadas de algunos aspectos de seguridad

ya sea física o digital, en este caso:

Existen controles mínimos e informales por parte de algunos

empleados de la organización preocupados por la seguridad

de la información que manejan en su trabajo.

Iniciar diálogos con el talento humano para identificar

posibles estrategias de entrenamiento y toma de conciencia

[10].

Intuitivo De acuerdo con las políticas establecidas y los recursos

asignados :

Permitir que el talento humano exprese sus ideas,


Página 67

necesidades y problemas respecto a la seguridad de la

información [12].

Generar necesidad de aprendizaje por medio del

entrenamiento a diseñar [12].

En el caso de contratación de un formador para el

entrenamiento se le debe informar de las ideas y necesidades

de la organización [12].

Incluir el aprendizaje por experiencia apoyado por prácticas

en el entrenamiento [12].

Identificar que los factores motivan al talento humano de la

organización [10].

El gerente debe tener la capacidad de formar un equipo de

colaboradores para la asignación de responsabilidades y

delegar funciones para el desarrollo y mantenimiento del


Elegir las herramientas y los medios que se ajusten mejor a

los objetivos del entrenamiento y su audiencia.

Mejorar la comunicación entre los niveles, rompiendo

barreras jerárquicas [10].

Definido Inicio del entrenamiento en seguridad de la información para el

talento humano:

Informar con exactitud al talento humano los objetivos del


Iniciar el entrenamiento y la distribución de información

justo a tiempo [12].

Los gerentes y directivos deben ser participativos, flexibles y

tolerantes con el talento humano al momento de dar

motivación y transmitir información [6], [12].

La gerencia y directivos deben ponerse a disposición para el

desarrollo del entrenamiento.

Conseguir que el talento humano sea coherente, dinámico y

decisorio [10].


Página 68

Implantación sistemática del entrenamiento en seguridad de


Formación del personal en los aspectos más importantes de

seguridad en la organización [6].

Permitir al talento humano desarrollar planes de acción para

poner su conocimiento en práctica [12].

Hacer que el talento humano olvide los métodos intuitivos o

informales que no funcionan [12].

Gestionado y medible El entrenamiento está implementado totalmente en la organización:

Las herramientas utilizadas para el entrenamiento deben

permanecer almacenadas y disponibles para el talento

humano [6].

Se deben generar constantemente deseos de participación en

los entrenamientos ya sea como instructores o asistentes [6].

Revisar los planes de acción tomados por el talento humano

para la implementación de su nuevo conocimiento en

seguridad [12].

Generar una cultura de colaboración en distribución de la

información convertida en conocimiento [6].

Realización de encuestas o evaluaciones al talento humano,

para tener medición cualitativa de la calidad del

entrenamiento, transmisión de conocimientos y la

aplicabilidad en el espacio de trabajo.

Óptimo El entrenamiento para el talento humano es continuo y lleva un

proceso de mejora permanente:

Los gerentes y directivos se preocupan por la generación de

un estado mental de aprendizaje continuo en el talento

humano [6].

Existe una dinámica de gestión de cambio continuo en

técnicas, tecnologías y políticas de seguridad de la

organización [6].


Página 69

Se seleccionan los mejores planes de acción creados por el

talento humano como punto de partida dentro de la

organización (benchmarking) [10], [12].

Después de tener definidas formalmente todas las actividades que debe realizar el talento humano,

se deben definir los instrumentos que se utilizarán dentro del entrenamiento para la distribución y

comunicación de la información. La guía sugiere algunas herramientas como lo son las gráficas,

tecnológicas o guía y algunos métodos distribución, ver el Anexo 4G.

Una vez definidos estos aspectos y realizado un cronograma de actividades relacionadas con las

diferentes herramientas de comunicación de la información, la organización puede iniciar el proceso

de entrenamiento; sin embargo, se recomienda que este proceso sea lento, para verificar que lo

planteado si esté funcionando realmente con la ayuda de la evaluación constante que se presenta en

el paso 1 y paso 5 o de lo contrario estas estrategias deben ser cambiadas o mejoradas, según las

falencias que se presenten.

Para cada nivel deben realizarse constantes cambios a las estrategias, esto en caso de que alguno de

los métodos o herramientas no estén funcionando adecuadamente o ya no causen impacto al talento

humano, es decir, que estos no contribuyan al cumplimiento de los objetivos de seguridad de la

información planteados en el inicio del proceso de mejora, obligando entonces a la organización a

cambiarlos o mejorarlos, tal como lo plantean los niveles de madurez, y así alcanzar el éxito del

entrenamiento.

9.2.5 Paso 5: Evaluación del progreso del talento humano y de la organización en


Es indispensable que una vez puesto en marcha el entrenamiento en seguridad de la

información al talento humano en la organización se manejen métodos de evaluación para saber

en qué estado se encuentran los procesos de seguridad de la información; entre estos si el

entrenamiento está funcionando y siendo interiorizado por el talento humano.

En la guía se sugieren algunos aspectos como muestra la ilustración 5.


Página 70

Ilustración 5 Evaluación

Conocimiento: Se considera el conocimiento del empleado adquirido mediante el

entrenamiento en seguridad de la información.

Cantidad de trabajo: Cantidad de trabajo producido y colaboración en condiciones normales,

para el mejoramiento de la seguridad de la información.

Calidad del trabajo: Se tienen en cuenta la pulcritud, confiabilidad y resultados obtenidos al

aplicar el conocimiento y responsabilidades de seguridad de la información.

Iniciativa: Tendencia del empleado a contribuir, desarrollar y generar nuevas ideas para la


Cooperación: Considere la manera de relacionarse y prestación de ayuda y apoyo a sus

compañeros del trabajo.

Sin embargo este es solo un modelo de evaluación opcional (Anexo 5G) que la organización

puede tomar bien sea completo o como base para tener su propio método, esto según las

estrategias definidas desde el paso 2 hasta el 4.


Página 71

Para finalizar, se espera que al tener un manejo constante de cada uno de los pasos de la guía la

organización logre mejorar su nivel de madurez en seguridad de la información y que el talento

humano se sensibilice y concientice sobre la importancia de manejar correctamente la

información.


Página 72

10. Conclusiones

La utilización de un modelo de madurez permitió a la guía dar un proceso ordenado,

lógico y coherente, para avanzar en cada uno de los aspectos tratados y relacionados a

la seguridad de la información.

El talento humano de una organización es el eslabón más débil en el mantenimiento de

la seguridad de la información, por lo que debe tenerse en cuenta en el proceso de

mejoramiento del sistema de seguridad.

Los niveles de competencia del talento humano juegan un papel importante dentro del

entrenamiento, ya que con esta clasificación se obtienen mejores resultados en el

momento de proveer conocimiento y que este sea captado correctamente.

Para tener una mayor aceptabilidad del entrenamiento en el talento humano, es preciso

realizar procesos de motivación que mejoren sus niveles de sensibilidad hacia la


El diseño de un entrenamiento donde se fomente el auto aprendizaje y la colaboración,

facilita la distribución de información, el mantenimiento y éxito en el logro de los

objetivos que tiene una organización para conseguir tener su información segura.


Página 73

11. Trabajos futuros

Dentro de esta guía podrían agregarse temas de seguridad informática en términos técnicos y

forenses, auditoria para la seguridad de la información de las organizaciones, evaluaciones

aplicables para cada nivel de madurez y aumentar el énfasis en gestión del conocimiento.

Sería interesante aplicar la guía en una organización donde el nivel de seguridad fuera inexistente o

inicial, para monitorear los resultados obtenidos al seguirla paso a paso.

Se debe incluir un análisis inicial en la organización para definir la necesidad de capacitación y

entrenamiento del talento humano en seguridad de la información dentro de la organización.

Realizar una definición de indicadores formales para cada uno de los procesos y evaluaciones que

se llevan a cabo dentro del entrenamiento en seguridad de la información.


Página 74

12. Bibliografía

[1] NTC-ISO-IEC 27001, “Norma Técnica Colombiana”, ICONTEC, 2006.

[2] IT Governance Institute, “CobiT 4.1”, 2007.

[3] Software Engineering Institut, “CMMI Services Versión 1.2”, SEI, 2009. [Online].

Disponible en: http://www.sei.cmu.edu/cmmi/.

[4] ISM3, Mayo 2009. [Online]. Disponible en: http://www.ism3.com/.

[5] R. Castillo, A. Di Mare, V. Díaz y H. Díez, “Concientización en seguridad de la

información”, Administración de la Seguridad Informática, Facultad de Ingeniería,

Departamento de sistemas y computación, Universidad de los Andes, Jul-Dic 2004.

[6] J. Fernández. Gestión por competencias: Un modelo estratégico para la dirección de

Recursos Humano. Prentice Hall, 2005.

[7] Check Point Software Technologies Ltd. "La seguridad de la información como activador

empresarial", Deloitte & Touche, 2003.

[8] Portal de ISO 27000, iso27000, Mayo 2009. [Online]. Disponible en:

http://www.iso27000.es/sgsi.html.

[9] W. Hubbard, “Methods and Techniques of Implementing a Security Awareness Program”,

SANS Institute, Abril 2002.

[10] E. Van Den Berghe. Gestión y Gerencia Empresariales aplicadas al siglo XXI. ECOE

Ediciones, 2005.

[11]Ministerio de Comercio Industrial y Turístico, Colombia, “Ley 590 de 2000”, Septiembre

2009. [Online]. Disponible en: http://www.mincomercio.gov.co/

[12] A. Bruce y J. S. Pepitone. Tenga a su equipo motivado. McGraw-Hill Profesional, 2002

[13] Diccionario de la Lengua Española, Real Academia Española, Mayo 2009, [Online].

Disponible en: http://buscon.rae.es/draeI/.

[14] V. Aceituno. Seguridad de la Información: Expectativas, Riesgos y técnicas de protección.

Creaciones Copyright, 2004.

[15] M. C. Lizaraso, “El papel de los recursos humanos en la supervivencia y competitividad de

la empresa”, Tesis Pontificia Universidad Javeriana, 1999.


Página 75

[16] G. Estrada. La riqueza de la información: Generación de capital intelectual mediante la

tecnología de información. Cargraphics, 1998.

[17] A. Calder. Nueve Claves para el éxito. ICONTEC, 2005.

[18] I. Martin, “Retos de la comunicación corporativa en la sociedad del conocimiento: de la

gestión de información a la creación de conocimiento organizacional”, Signo y Pensamiento

pp.51 vol. 26, Revista Facultada de comunicación y lenguaje Pontificia Universidad Javeriana

Bogotá y Facultada de comunicación y lenguaje Pontificia Universidad Javeriana Cali, Jul-Dic

2007.

[19] R. P. Reid, “Waging Public Relations: A Cornerstone of Fourth-Generation Warfare”,

Journal of Information Warfare, 2002.

[20] D. Martinez, “El valor de la información”, Departamento de control de registros, SRT,

Buenos Aires, Argentina, Octubre 2002.

[21] NTC-ISO-IEC 27002, “Norma Técnica Colombiana”, ICONTEC, 2005.

[22] W. Arens. Publicidad. 7ma. Ed. México: McGraw-Hill, 2000.

[23] O. Aprile. La publicidad puesta al día. 1ra. Ed. Buenos Aires - Argentina: La Crujía

Ediciones, 2003.

[24] D. Parra y C. Herrera. La publicidad no es solo para ricos. Ed. España: McGraw-Hill,

2003.

[25] H. Aebli. Doce formas básicas de enseñar: una didáctica basada en la psicología. Ed.

España: Narcea, 2002. [Online]. Disponible en:

http://books.google.com.co/books?id=ab_aKHQ-

iEwC&printsec=frontcover#v=onepage&q=&f=false.

[26] J.M. Serrano. “El aprendizaje cooperativo,” en Psicología de la Instrucción I. Variables y

procesos básicos. Ed. Madrid: Editorial Síntesis, S.A. 1996. [Online]. Disponible en:

http://74.125.155.132/scholar?q=cache:xdZhDeTpURUJ:scholar.google.com/+metodolog%C3

%ADas+de+aprendizaje&hl=es.

[27] M. Ruiz. Oratorianet, Autoayuda y asesoramiento personalizado en oratoria por Internet,

“¿Qué es una conferencia?,” Noviembre 2009. [Online]. Disponible en:

http://www.oratorianet.com/rsp/Index/Index_CONFERENCIAS.html.

[28] C. Hernández. Manual de creatividad publicitaria. Ed. España. Síntesis, 2004.

[29] M. García. Las claves de la publicidad. 5ta. Ed. Madrid-España. ESIC, 2001.

[30] A. Lucas. “La formación para la participación y la comunicación en las organizaciones,”

Revista española de investigaciones sociológicas, no. 77-78, pp. 263-280, Enero-Junio 1997.

[Online]. Disponible en: http://www.reis.cis.es/REISWeb/PDF/REIS_077_078_15.pdf.

http://www.oratorianet.com/oro3.html

http://www.oratorianet.com/oro3.html


Página 76

[31] Slideshare Present yourself, “Formato evaluación del desempeño”, Noviembre 2009.

[Online]. Disponible en: http://www.slideshare.net/adrysilvav/formato-evaluacion-del-

desempeo.

[32] Instituto Politécnico Cristo Rey, Imagen Motivación, Noviembre 2009. [Online].

Disponible en: http://cristoreyvalladolid.files.wordpress.com/2009/10/motivacion-32.gif.

[33] Centro de investigación, Imagen Motivación, Noviembre 2009. [Online]. Disponible en:

http://www.grupoeducare.com/blog/UserFiles/Image/Intellectus/motivar.jpg.

[34] M. Visconti, P. Antimán y P. Rojas, “Experiencia con un modelo de madurez para el

mejoramiento del proceso de aseguramiento de calidad de software”, Departamento de

informática Universidad Técnica Federico Santa María, 1997. [Online]. Disponible en:

http://www.inf.utfsm.cl/~visconti/papers/papersqa1997.pdf.


Página 77

13. Anexos

Anexo A. Glosario

Anexo B. Evaluación a la guía por experto

Anexo C. Actas de reunión

Anexo D. Evaluación a la guía por experto

Anexo E. Evaluación a la guía por experto

Anexo 1. Modelo de madurez en seguridad de la información (MMSI)

Anexo 2. Evaluación MMSI

Anexo 3. División de audiencias

Anexo 4. Diseño del entrenamiento

Anexo 5. Evaluación

guÍa para el entrenamiento del talento humano...

Documents