seguridad de la informacion en los recursos humanos
TRANSCRIPT
2010 Licenciatura en
Ingeniería en Sistemas y
Computación
Edilberto De Gracias,
Joaquín De León
y Nuris Del Cid.
[Seguridad De Información
En El Recurso Humano]
Es el proceso de planear, organizar, dirigir y controlar los esfuerzos de los miembros de la organización
y de aplicar los demás recursos de ella para alcanzar las metas establecidas. James A. F. Stoner y Charles
Wankel.
Universidad Tecnológica de Panamá
Centro Regional de Chiriquí
Facultad de Ingeniería de Sistemas Computacionales
Licenciatura en Ingeniería en Sistemas y Computación
Seguridad en Tecnología de Computación
Parcial #1
Seguridad de Información en el Recurso Humano
Estudiantes:
De Gracia, Edilberto 4-744-2500
De León, Joaquín 4-738-1413
Del Cid, Nuris 4-741-1573
Facilitador:
Profesor René Saldaña
Fecha de Entrega:
Jueves, 22 de abril de 2010.
I Semestre
ÍNDICE GENERAL
Introducción.
Seguridad de Información en el Recurso Humano.
o Administración de los Recursos Humanos de los Sistemas de
Información.
Reclutamiento.
Capacitación.
Motivación.
Rotación de Personal.
Funciones.
Ética.
o Evaluación del Perfil de Oficiales de Informática.
Niveles de acceso, según funciones.
Recomendaciones
Conclusiones
Referencias Bibliográficas
SEGURIDAD DE INFORMACIÓN EN EL RECURSO HUMANO
La Seguridad de Información:
La seguridad de la información consiste en proteger uno de los principales activos
de cualquier empresa: la información.
La seguridad de la información es requisito previo para la existencia a largo plazo
de cualquier negocio o entidad. La información es usada en cada uno de los
ámbitos empresariales, los cuales dependen de su almacenamiento, procesado y
presentación.
Los tres fundamentos básicos de la seguridad en la información son:
Confidencialidad. La información debe ser accedida sólo por las personas
autorizadas a recibirla.
Integridad. La información debe ser correcta y completa.
Disponibilidad. La información debe estar disponible siempre que sea
necesario.
La Seguridad con los Recursos Humanos:
La gestión de la seguridad de la información, al igual que la mayoría de los ámbitos
de la gestión empresarial, depende principalmente de las personas que componen
la Organización. La información sólo tiene sentido cuando es utilizada por las
personas y son estas, quienes en último término, deben gestionar adecuadamente
este importante recurso de la empresa. Por tanto, no se puede proteger
adecuadamente la información sin una correcta gestión de los Recursos Humanos.
El departamento de Seguridad quien se encargue de la Seguridad:
Proteger los activos de información con los que cuenta una empresa es una tarea
que no sólo debe implicar al Director de Seguridad, sino que debe ser compartida
por toda la Organización. Cada área de Negocio juega su papel: el área de
Marketing se centra en la protección de la imagen corporativa, el área Comercial
está más relacionado con la protección de los datos de los clientes, IT se ocupa de
la correcta protección de sus Sistemas de Información, etc. Pero sin duda, una de
las áreas que más importancia tiene en la seguridad de la información es el
departamento encargado de gestionar los Recursos Humanos. Aspectos como la
formación de los empleados, la captación y selección de nuevos miembros de la
plantilla, la gestión de empleados que abandonan la Organización o la
implementación de la normativa interna, son fundamentales en el tema que nos
ocupa.
1. Administración de los Recursos Humanos de los Sistema Información.
La administración de los recursos humanos consiste en aquellas actividades
diseñadas para ocuparse de y coordinar a las personas necesarias para una
organización. La administración de los recursos humanos busca construir y
mantener un entorno de excelencia en la calidad para habilitar mejor a la fuerza de
trabajo en la consecución de los objetivos de calidad y de desempeño operativo de
la empresa.
Concepto de Sistema de información
Es un sistema de información de RH es un sistema utilizado para reunir,
registrar, almacenar, analizar y recuperar datos sobre recursos Humanos
de la organización .La mayor parte de los sistemas de información de RH
está computarizada.
EL sistema de información de RH es un procedimiento sistemático para
reunir, almacenar, mantener, combinar y validar datos necesarios para la
organización con relación a sus Recursos Humanos y sus respectivas
actividades, además de las características de las unidades de la
organización.
EL SIRH esta planeado para reunir, procesar, almacenar y difundir la
información relacionada con los RH, de modo que los gerentes pueden
tomar decisiones Eficaces.
1.1. Reclutamiento.
El reclutamiento implica un proceso que varía según la organización. Consiste en un conjunto de técnicas y procedimientos orientados a atraer candidatos potencialmente calificados y capaces de ocupar cargos dentro de la organización. Para lograr su cometido, el reclutamiento debe atraer suficiente cantidad de candidatos para abastecer de modo adecuado el proceso de selección. Además, consiste en realizar actividades relacionadas con la investigación e intervención en las fuentes capaces de proveer a la empresa el número suficiente de personas para conseguir los objetivos.
El reclutamiento exige una planeación rigurosa constituida por una secuencia de tres fases:
a. Investigación interna sobre las necesidades
b. Investigación externa del mercado
c. Métodos de reclutamiento por aplicar
Cada nuevo empleado de la Organización es una apuesta de futuro. La empresa
asigna una serie de tareas y responsabilidades al nuevo empleado, y le
proporciona los medios materiales y la información necesaria para que pueda
llevarlas a cabo. Debe existir un procedimiento de reclutamiento que tenga en
cuenta los siguientes aspectos relativos a la seguridad:
Definición del puesto: Para cada nueva vacante se debe definir la
criticidad del puesto a cubrir según su responsabilidad y la información
que maneja. Cada empresa debe definir su criterio propio. Algunos
puestos críticos pueden ser directivos, personal de seguridad, personal
de contabilidad, etc.
Selección: En la selección de candidatos a puestos críticos se deben
comprobar los antecedentes penales y las referencias profesionales.
Contrato: El contrato laboral debe incluir los correspondientes acuerdos
de confidencialidad, propiedad intelectual y protección de datos.
Comienzo: Durante los primeros días de trabajo, es recomendable que el
empleado:
o Asista a unas sesiones de formación donde se le introduzca en la
normativa interna y de seguridad de la empresa. De este modo
todo empleado conoce sus obligaciones de seguridad tales como
la protección de sus claves de acceso, uso adecuado del email e
internet, clasificación de la información, etc.
o Reciba el manual de normativa interna y firme el compromiso de
cumplimiento del mismo. Este trámite establece formalmente las
normas internas y garantiza que el empleado conoce la
normativa existente.
Accesos: Los accesos a la información y sistemas informáticos deben ser
solicitados siempre por el responsable directo del empleado al
departamento de IT o HelpDesk. Dichos accesos deben ser siempre
justificables por la labor que se va a realizar, y en caso de ser
privilegiados, el Departamento de Seguridad debe aprobar su concesión.
1.2. Capacitación.
La capacitación es un proceso educacional de carácter estratégico aplicado de
manera organizada y sistémica, mediante el cual los colaboradores adquieren o
desarrollan conocimientos y habilidades específicas relativas al trabajo, y
modifica sus actitudes frente a los quehaceres de la organización, el puesto o el
ambiente laboral.
Beneficios de la Capacitación.
La capacitación a todos los niveles constituye una de las mejores inversiones
en Recursos Humanos y una de las principales fuentes de bienestar para el
personal y la organización.
Cómo Beneficia la capacitación a las organizaciones:
Conduce a rentabilidad más alta y a actitudes más positivas.
Mejora el conocimiento del puesto a todos los niveles.
Crea mejor imagen.
Mejora la relación jefes-subordinados.
Se promueve la comunicación a toda la organización.
Reduce la tensión y permite el manejo de áreas de conflictos.
Se agiliza la toma de decisiones y la solución de problemas.
Promueve el desarrollo con vistas a la promoción.
Contribuye a la formación de líderes y dirigentes.
Cómo beneficia la capacitación al personal:
Ayuda al individuo para la toma de decisiones y solución de problemas.
Alimenta la confianza, la posición asertiva y el desarrollo.
Contribuye positivamente en el manejo de conflictos y tensiones.
Forja líderes y mejora las aptitudes comunicativas.
Sube el nivel de satisfacción con el puesto.
Permite el logro de metas individuales.
Desarrolla un sentido de progreso en muchos campos.
Elimina los temores a la incompetencia o la ignorancia individual.
Los objetivos de impacto de un Programa de esta naturaleza pueden ser:
Intensificación y optimización del impacto de la inversión en
capacitación técnica, de modo que la formación contínua se constituya
en un eje estratégico para el logro de mejores posiciones competitivas
de las empresas y, por otro lado, en el principal vehículo para aumentar
la empleabilidad de los trabajadores.
Desarrollar actividades de formación orientadas a profesionalizar las
relaciones laborales, ampliando el acceso de dirigentes sindicales a una
formación de excelencia, a través de la cual se valide como interlocutor
efectivo frente a la contraparte empresarial y profundice un estilo de
dirigencia basado en el profesionalismo, la responsabilidad y la visión
de futuro.
Desarrollar experiencias de formación/capacitación que apunten a
mejorar la calidad de vida de los trabajadores del sector, asumiendo que
su realidad familiar es el espacio fundamental desde donde se construye
su bienestar y sus posibilidades de desarrollo personal y social.
El contenido de la capacitación puede involucrar cuatro tipos de cambios de
comportamiento de los colaboradores.
o Transmisión de informaciones: el elemento esencial en muchos
programas de capacitación es el contenido: distribuir informaciones
entre los capacitados como un cuerpo de conocimientos. A menudo, las
informaciones son genéricas, referentes al trabajo: informaciones acerca
de la empresa, sus productos, sus servicios, su organización, su política,
sus reglamentos, etc. Puede comprender también la transmisión de
nuevos conocimientos.
o Desarrollo de habilidades: sobre todo aquellas destrezas y
conocimientos directamente relacionados con el desempeño del cargo
actual o de posibles ocupaciones futuras: se trata de una capacitación a
menudo orientado de manera directa a las tareas y operaciones que van
a ejecutarse.
o Desarrollo o modificación de actitudes: por lo general se refiere al
cambio de actitudes negativas por actitudes más favorables entre los
colaboradores, aumento de la motivación, desarrollo de la sensibilidad
del personal de gerencia y de supervisión, en cuanto a los sentimientos y
relaciones de las demás personas. También puede involucrar e implicar
la adquisición de nuevos hábitos y actitudes, ante todo, relacionados con
los clientes o usuarios.
o Desarrollo de conceptos: la capacitación puede estar conducida a
elevar el nivel de abstracción y conceptualización de ideas y de
filosofías, ya sea para facilitar la aplicación de conceptos en la práctica
administrativa o para elevar el nivel de generalización, capacitando
gerentes que puedan pensar en términos globales y amplios.
1.3. Motivación.
Las grandes empresas utilizan la motivación como un punto a su favor, ya que
por medio de ella logran que sus empleados realicen excelentemente las
labores asignadas, la motivación es de suma importancia dentro de una
organización sobre todo en el área comercial, una empresa integrada por un
personal desmotivado tiende a ser ineficiente en sus operaciones.
Actualmente las empresas son conscientes de la importancia de poseer una
estructura comercial convenientemente cualificada y con un alto grado de
motivación, capaz de compartir los objetivos fijados por el propio
departamento, haciéndolos suyos. Entendemos por motivación toda fuerza o
impulso interior que inicia, mantiene y dirige la conducta de una persona con
el fin de lograr un objetivo determinado. En el ámbito laboral «estar
motivado» supone estar estimulado e interesado suficientemente como para
orientar las actividades y la conducta hacia el cumplimiento de unos objetivos
establecidos previamente. Aunque nos centremos en el equipo comercial,
puede ser extensible a cualquier otro departamento.
Proceso de la motivación
La motivación en las personas se inicia con la aparición de una serie de
estímulos internos y externos que hacen sentir unas necesidades, cuando éstas
se concretan en un deseo específico, orientan las actividades o la conducta en
la dirección del logro de unos objetivos, capaces de satisfacer las necesidades.
El proceso sigue las siguientes etapas:
Estímulo
Necesidades
Deseos
Objetivos
Logro de objetivos y
satisfacción de necesidades
Si aplicamos el proceso de motivación al ámbito comercial, la empresa
entre otros estímulos e incentivos puede iniciar la motivación entre sus
vendedores aplicando por ejemplo una política de promociones internas.
Ésta hará surgir la necesidad que se concretará en la aparición del deseo
de ser promocionado dentro del departamento, orientando las actuaciones
del comercial hacia la consecución del objetivo «ser uno de los
promocionados».
A nivel general, podemos establecer la distinción entre dos clases de
motivaciones:
Motivación intrínseca. Aquella en la que la acción es un fin en sí
mismo y no pretende ningún premio o recompensa exterior a la
acción. El trabajador se considera totalmente automotivado.
Motivación extrínseca. Se produce como consecuencia de la
existencia de factores externos, es decir tomando como referencia
algún elemento motivacional de tipo económico.
Es evidente que si la empresa logra que su estructura comercial esté
motivada tanto intrínseca como extrínsecamente, podrá tener a sus
trabajadores con un buen nivel de integración y satisfacción, creando un
clima laboral que repercutirá positivamente en su nivel de rendimiento, lo
que redundará en beneficios para la compañía.
Existen diversidad de teorías que centran la atención en uno o varios de los
aspectos que forman parte del proceso de motivación de los trabajadores,
dentro de las más significativas tenemos: Teoría de Maslow, Teoría de los
factores de Herzberg.
Teoría de Maslow
Maslow estableció una serie de necesidades experimentadas por el
individuo, dando origen a la llamada «pirámide de necesidades». Según
esta teoría, la satisfacción de las necesidades que se encuentran en un nivel
determinado lleva al siguiente en la jerarquía, sin embargo se dan zonas de
coincidencia entre un nivel y otro ya que no se da una satisfacción total de
las necesidades.
Niveles de Necesidades:
1. Necesidades básicas. Se encuentran en el primer nivel y su
satisfacción es necesaria para sobrevivir. Son el hambre, la sed, el
vestido...
2. Necesidades de seguridad. Están situadas en el segundo nivel, son la
seguridad y protección física, orden, estabilidad...
3. Necesidades sociales o de pertenencia. Están relacionadas con los
contactos sociales y la vida económica. Son necesidades de
pertenencia a grupos, organizaciones...
4. Necesidades de estatus y prestigio. Su satisfacción se produce cuando
aumenta la iniciativa, autonomía y responsabilidad del individuo.
Son necesidades de respeto, prestigio, admiración, poder...
5. Necesidades de autorrealización. Surgen de la necesidad de llegar a
realizar el sistema de valores de cada individuo, es decir lograr sus
máximas aspiraciones personales.
Teoría de los factores de Herzberg
Herzberg considera que existen dos factores que explican la motivación de
los trabajadores en la empresa:
Factores motivadores. Son los que determinan el mayor o menor grado de
satisfacción en el trabajo y están relacionados con el contenido del trabajo:
La realización de un trabajo interesante.
El logro.
La responsabilidad.
El reconocimiento.
La promoción.
Entro otros.
Estos factores son los que mueven al trabajador hacia actitudes positivas y
a sentir satisfacción.
Factores de higiene. Están relacionados con el contexto de trabajo y hacen
referencia al tratamiento que las personas reciben en su trabajo:
Las condiciones de
trabajo.
El sueldo.
Las relaciones humanas.
La política de la
empresa.
Entre otros.
Técnicas de Motivación
Promoción en el trabajo.
Política salarial.
Ambiente de trabajo.
Valoración hombre-puesto de trabajo.
Medios para Evaluar la Motivación
La observación y valoración de las actitudes de los trabajadores.
Los cuestionarios o listas de preguntas.
Las entrevistas
Las encuestas
Análisis de las condiciones de trabajo
1.4. Rotación de Personal.
Al descender de un macroenfoque (aspecto ambiental del mercado) a un
microenfoque (aspecto organizacional), resulta importante destacar otros
aspectos de la interacción organización-ambiente. Unos de los aspectos más
importantes de la dinámica organizacional es la rotación de personal o
turnover.
El término de rotación de recursos humanos se utiliza para definir la
fluctuación de personal entre una organización y su ambiente; esto significa
que el intercambio de personas entre la organización y el ambiente se define
por el volumen de personas que ingresan en la organización y el de las que
salen de ella. Por lo general, la rotación de personal se expresa mediante una
relación porcentual entre las admisiones y los retiros con relación al número
promedio de trabajadores de la organización, en el curso de cierto período.
Casi siempre la rotación se expresa en índices mensuales o anuales con el fin de
permitir comparaciones, para desarrollar diagnósticos, promover
disposiciones, inclusive con carácter de predicción.
Como todo sistema abierto, la organización se caracteriza por el flujo incesante
de recursos necesarios para desarrollar sus operaciones y generar resultados.
Se le llama feedback a los mecanismos de control (retroacción o
retroalimentación), estos mecanismos deben ser homeostáticos, capaces de
controlarse y autorregularse, mediante comparaciones entre ellos, y garantizar
un equilibrio dinámico y constante.
En la actualidad uno de los problemas que preocupa al área de recursos
humanos es el aumento de salidas o perdidas de recursos humanos, situación
que hace necesario compensarlas mediante el aumento de entradas. Es decir,
los retiros del personal deben ser compensados con nuevas admisiones, a fin
mantener el nivel de recursos humanos en proporciones adecuadas para que
opere el sistema.
Este flujo de entradas y salidas se llama turnover. En toda organización
saludable, es normal que se presente un pequeño volumen de entradas y
salidas de recursos humanos, lo cual ocasiona una rotación vegetativa
(conservación del sistema).
Lo ideal es que la rotación se dote de nuevos recursos según las necesidades
de personal que se presente en la entidad, para impulsar las operaciones,
acrecentar los resultados.
Sin embargo, a veces la rotación escapa del control de la organización, cuando
el volumen de retiros por decisión de los empleados aumenta notablemente.
Cuando el mercado laboral es competitivo y tiene intensa oferta, en general
aumenta la rotación de personal.
Índice de Rotación de personal:
Relación porcentual entre las admisiones y las desvinculaciones de personal, en
relación al número medio de miembros de una empresa, en el transcurso de
cierto tiempo.
Si el índice es muy bajo se da el estancamiento y envejecimiento del personal
de la organización. Si el índice es muy elevado se presenta demasiada fluidez y
se puede perjudicar a la empresa (falta de estabilidad).
Rotación es el abandono del puesto de trabajo por parte de un individuo a una
organización. Muchos pueden ser los motivos por los que una persona toma la
iniciativa de irse de la organización. Según su grado de intencionalidad la
rotación puede ser involuntaria o voluntaria. Será esta última la que represente
un problema para las organizaciones.
Este tipo de rotación voluntaria supone otros efectos, costos directos para la
organización tangibles como intangibles.
Los costos tangibles son los asociados con la selección y capacitación de la
persona así como del sustituto.
En cuanto a los intangibles podemos enumerar la pérdida de productividad o
fallas en la calidad o en la prevención de riesgos laborales.
Junto con estos costos aparecen otros problemas asociados a la rotación, tales
como la disrupción de las estructuras sociales y de comunicación de la
organización que puede conllevar a la salida de personal.
Algunos autores comenzaron a estudiar también los efectos positivos que la
rotación voluntaria tiene en la organización (SATW 1980, Levin y Kleiner,
1992)
Una tasa alta de rotación reflejara un bajo índice de efectividad organizacional.
El cálculo de índice de rotación de personal se basa en la relación porcentual
entre el volumen de entradas y salidas, y los recursos humanos disponibles en
la organización durante cierto periodo.
1. En el cálculo del índice de rotación de personal para efectos de la
planeación de RH, se utiliza la ecuación:
Índice de rotación de personal= A + D / 2 * 100 / PE
Donde:
A= admisiones de personal durante el periodo considerado (entradas).
D= desvinculaciones del personal (por iniciativa de la empresa o por decisión
de los empleados) durante el periodo considerado (salidas).
PE= promedio efectivo del periodo considerado. Puede ser obtenido sumando
los empleados existentes al comienzo y al final del periodo, y dividiendo entre
dos.
2. Cuando se trata de analizar pérdidas de personal y sus causas, en el cálculo
del índice de rotación de personal no se consideran las admisiones (entradas)
sino las desvinculaciones, ya sea por iniciativa de la institución o por parte de
los empleados:
Índice de rotación de personal= D *100 / PE
3. Cuando se trata de analizar las perdidas y hallar los motivos que conducen a
las personas a desvincularse de la organización, solo se tienen en cuenta los
retiros por iniciativa de los empleados, y se ignoran por completo los causados
por la organización.
Índice de rotación de personal= D * 100 / N1 + N2 +…. NN / 2).
Donde:
D = desvinculaciones espontáneas que deben sustituirse;
N1 + N2 +….N n = sumatoria de los números de empleados al comienzo de cada
mes
A = numero de meses del periodo.
4. Cuando se trata de evaluar la rotación de personal por departamento o
secciones, tomados como subsistemas de un sistema mayor -la organización-,
cada subsistema debe tener su propio cálculo del índice de rotación de
personal, según la ecuación:
Índice de rotación de personal = A+ D /2 + R + T / PE * 100
Donde:
A= personal admitido
D= personal desvinculado
R= recepción de personal por transferencia de otros subsistemas
(departamentos o secciones)
T= transferencias de personal hacia otros subsistemas (departamentos o
secciones).
Dentro de los fenómenos internos que ocurren en la organización, podemos citar:
La política salarial de la organización.
La política de beneficios de la organización.
El tipo de supervisión ejercido sobre el personal.
Las oportunidades de crecimiento profesional localizados dentro de la
organización.
El tipo de relaciones humanas desarrolladas dentro de la organización.
Las condiciones físicas ambientales de trabajo ofrecidas por la
organización.
La moral del personal de la organización.
La cultura organizacional desarrollada dentro de la organización.
Las políticas de reclutamiento y selección de recursos humanos.
Los criterios y programas de entrenamiento de recursos humanos.
Las políticas disciplinarias desarrolladas por la organización.
Los criterios de evaluación del desempeño.
Los grados de flexibilidad de las políticas desarrolladas por la
organización.
Algunas empresas utilizan la entrevista de desvinculación como el medio
principal de controlar y medir los resultados de la política de recursos
humanos desarrollada por la organización. Suele ser el principal medio para
determinar las causas de la rotación de personal.
La entrevista desvinculación trata de darle cobertura principalmente a los
siguientes aspectos:
Verificación de motivo básico de desvinculación (por iniciativa de la
empresa o el empleado)
Opinión del empleado sobre la empresa.
Opinión del empleado sobre el cargo que ocupa en la organización.
Opinión del empleado sobre el jefe directo.
5. Sobre su horario de trabajo.
6. Sobre las condiciones físicas ambientales dentro de las cuales desarrolla su
trabajo.
7. Sobre los beneficios sociales concedidos por la organización.
8. Sobre su salario.
9. Sobre las relaciones humanas existentes en su sección.
10. Sobre las oportunidades de progreso que sintió dentro de la organización.
11. Sobre la moral y la actitud de sus colegas de trabajo.
12. Sobre las oportunidades que encuentran en el mercado de trabajo
Los datos recogidos en las entrevistas de desvinculación pueden ser tabulados
por la sección, departamento., división o por cargo, para la mejor localización
de los problemas existentes.
Existen, sin embargo, ciertos aspectos que escapan totalmente a la percepción y
al control de los empleados y que deben ser corregidos dentro de la
organización, a partir de registros que se mantienen por el sistema de recursos
humanos de la organización. Esos datos son los siguientes:
verificación de la fecha de admisión del empleado y de si trayectoria
profesional dentro de la empresa;
verificación de los resultados de la evaluación de su desempeño;
de su comportamiento funcional relacionado con disciplina,
puntualidad, asiduidad, etc.;
de los resultados obtenidos en los test de selección;
de los resultados obtenidos en los programas de entrenamiento
concedidos por la organización;
de datos personales como: sexo, edad, estado civil, dirección, formación
escolar, experiencia profesional, etc.;
de datos internos como: sección donde trabaja, cargo que ocupa, horario
de trabajo, salario, etc.
Todos estos datos deben tabularse, con miras a que en determinado periodo
(mes, semestre, año) se tenga una frecuencia de su ocurrencia.
Las informaciones recogidas a través de las entrevistas de desvinculación y de
otras fuentes permiten un análisis situacional de la organización y de su
ambiente.
Determinación del costo de la rotación de personal
La rotación de personal involucra una serie de costos primarios y secundarios.
Entre los costos primarios de rotación de personal, están:
1.- Costos de reclutamiento y selección:
gastos de emisión y de procesamiento de solicitud del empleado;
gastos de mantenimiento del órgano de reclutamiento ye selección;
gastos en anuncios de periódicos, hojas de reclutamiento, honorarios de
empresas de reclutamiento, material de reclutamiento, formularios, etc.;
gastos de mantenimiento de las sección de servicios médicos;
2.- Costo de registro y documentación:
o gastos de mantenimiento del órgano de registro y documentación de
personal; gastos en formularios, documentación, anotaciones, registros, etc.
3.- Costos de integración:
gastos de la sección de entrenamiento, divididos por el número de
empleados sometidos al programa de integración;
costo del tiempo del supervisor del órgano solicitante aplicado en la
ambientación de los empleados recién admitidos en su sección.
4.- Costo de desvinculación:
gastos del órgano de registro y documentación relativos al proceso de
desvinculación del empleado, divididos por el número de empleados
desvinculados.
Costo de la entrevista de desvinculación.
Costo de las indemnizaciones por el tiempo anterior a la opción por el
FGTS.
Costo del anticipo de pagos relacionados con vacaciones proporcionales,
salario proporcional, aviso previo.
Entre los costos secundarios de la rotación de personal, están:
1.- Reflejos en la producción:
Perdida de la producción causada por el vació dejado por el empleado
desvinculado, mientras no es substituido;
Producción generalmente inferior - por lo menos durante el periodo de
ambientación del nuevo empleado que ha ocupado el cargo;
Inseguridad inicial del nuevo empleado y su interferencia en el trabajo
de los compañeros.
2.- Reflejos en la actitud del personal:
Imagen, actitudes y predisposiciones que el empleado que esta
retirándose transmite a sus compañeros;
Imagen, actitudes y predisposiciones que el empleado que está
iniciando transmite a sus compañeros;
Influencia de los dos aspectos mencionados anteriormente sobre la
moral y la actitud del supervisor y del jefe;
Influencia de los aspectos mencionados anteriormente sobre la actitud
de los clientes.
3.- Costo extra-laboral:
Gastos del personal extra y horas extras necesarias para cubrir¸ el vació
existente o para cubrir la deficiencia inicial del nuevo empleado.
Tiempo adicional de producción causada por la deficiencia inicial¸ del
nuevo empleado;
Tiempo adicional del supervisor que se emplea en la¸ integración y en el
entrenamiento del nuevo empleado.
4.- Costo extra-operacional:
Costo adicional de energía eléctrica, debido al índice reducido de
producción del nuevo empleado;
Aumento de errores, repeticiones y problemas del control de calidad
provocados por la inexperiencia del nuevo empleado.
5.- Costo extra-inversión:
Aumento proporcional de las tasas de seguros, depreciación del equipo,
mantenimiento y reparaciones en relación con el volumen de
producción, reducido en razón de los cargos existentes o a los recién
admitidos que están en periodo de ambientación y de entrenamiento;
Aumento del volumen de salarios pagados a los nuevos empleados y,
consecuentemente, de reajustes de todos los demás empleados, cuando
la situación del mercado de trabajo es de oferta, lo que intensifica la
competencia y lleva la oferta de salarios iniciales al mercado de recursos
humanos.
6.- Perdidas en los negocios:
La imagen y los negocios de la empresa pueden sufrir deterioro por la
deficiente calidad de los productos en razón de la inexperiencia de los
empleados.
Obviamente, los cálculos de los costos primarios y secundarios de rotación de
personal podría tener mayor o menor influencia, de acuerdo con el nivel de
interés de la organización. Más que un simple resultado numérico y
cuantitativo de tales costos, lo que realmente interesa es la concientización, por
parte de los dirigentes de las organizaciones, de los reflejos profundos que la
rotación elevada de recursos humanos puede traer no solo para la empresa,
sino también para la comunidad y para el propio individuo.
Ejemplo índice de rotación:
Si existen 1000 empleados, salen 10 y entran 20. en 1 año. (Recordar la
importancia del tiempo)
El índice de rotación es:
(20 - 10 / 1000) * 100 = 1% anual.
Como la relación es porcentual, el índice es del 1% positivo, lo que indica
además que la empresa está creciendo. Existe estabilidad, y la rotación es baja.
Si la empresa está en crisis, supongamos salen 500, y entran 20.
(20 - 500 /1000) * 100 = - 48% Implica que la empresa decreció personal en
48% y la rotación es muy alta.
1.5. Funciones.
Funciones
Se encarga de administrar y monitorizar el correcto funcionamiento del
sistema incluyendo cambios de versiones, administración de acceso y
realización de copias de respaldo.
Obligaciones
o Conocer la normativa interna en materia de seguridad, y
especialmente la referente a protección de datos de carácter
personal. Dicha normativa puede consistir en normas,
procedimientos, reglas y estándares, así como posibles guías.
o Cumplir lo dispuesto en la normativa interna vigente en cada
momento.
o Conocer las consecuencias que se pudieran derivar y las
responsabilidades en que pudiera incurrir en caso de
incumplimiento de la normativa, que podrían derivar en sanciones.
o Utilizar los controles y medios que se hayan establecido para
proteger tanto los datos de carácter personal como los propios
sistemas de información y sus componentes: los ficheros
automatizados, los programas, los soportes y los equipos empleados
para el almacenamiento y tratamiento de datos de carácter personal.
o No intentar vulnerar los mecanismos y dispositivos de seguridad,
evitar cualquier intento de acceso no autorizado a datos o recursos,
informar de posibles debilidades en los controles, y no poner en
peligro la disponibilidad de los datos, ni la confidencialidad o
integridad de los mismos.
o Guardar secreto sobre los datos que pueda conocer, así como sobre
controles y posibles debilidades, incluso después de haber causado
baja en la Universidad.
o Usar de forma adecuada según la normativa los mecanismos de
identificación y autenticación ante los sistemas de información,
tanto sean contraseñas como sistemas más avanzados, como
biométricos u otros, y en ambos casos; mediante acceso local o a
través de redes de comunicaciones, cuando esté así previsto. En el
caso de contraseñas cumplir lo recogido en la normativa,
especialmente en cuanto a asignación, sintaxis, distribución, custodia
y almacenamiento de las mismas, así como el cambio con la
periodicidad que se determine.
o No ceder ni comunicar a otros las contraseñas, que son personales,
que no estarán almacenadas en claro, y que serán transmitidas por
canales seguros. Los usuarios serán responsables ante la
Universidad de todos los accesos y actividades que se puedan haber
realizado utilizando su código de usuario y contraseña.
o Evitar transmitir o comunicar datos considerados sensibles por
medios poco fiables sin protección (telefonía de voz, correo
electrónico, fax)
o Realizar las copias de los datos que en cada caso se establezcan en la
normativa, así como proteger las copias obtenidas.
o Cumplir la normativa en cuanto a gestión de soportes informáticos
que contengan datos de carácter personal, así como tomar
precauciones en el caso de soportes que vayan a desecharse o ser
reutilizados, mediante la destrucción, inutilización o custodia. En el
caso de averías que requieran su transporte fuera de las
instalaciones se intentará borrar previamente su contenido o se
exigirán garantías escritas de que se hará así.
o No sacar equipos o soportes de las instalaciones sin la autorización
necesaria, y en todo caso con los controles que se hayan establecido.
1.6. Ética.
La Ética de la Informática (EI) es una nueva disciplina que pretende abrirse
campo dentro de las éticas aplicadas y que ha emergido con fuerza desde hace
unos pocos años en el mundo anglosajón. El origen remoto de la EI está en la
introducción cada vez más masiva de los ordenadores en muchos ámbitos de
nuestra vida social, cada vez más computarizada. Muchas profesiones
reivindican para sí una ética particular con la cual pueden regirse ante los
problemas morales específicos de esa profesión o actividad ocupacional. La
existencia de la EI tiene como punto de partida el hecho de que los ordenadores
suponen unos problemas éticos particulares y por tanto distintos a otras
tecnologías.
En la profesión informática se quiere pasar de la simple aplicación de criterios
éticos generales a la elaboración de una ética propia de la profesión. Los
códigos éticos de asociaciones profesionales y de empresas de informática van
en esa dirección.
El plantear una disciplina como la EI implica salir al paso de afirmaciones como
"la ética no tiene nada que ver con los ordenadores" o "no hay una ética
especial para los informáticos". Realizar la primera afirmación supone no
reconocer los dilemas éticos en las tareas del informático que son potenciados
por el mismo desarrollo tecnológico. Contrarrestar la segunda afirmación, en
cambio, supone demostrar que sí hay necesidad de una ética especial para los
informáticos.
Así como otras ciencias y profesiones han tenido siglos para desarrollar
conceptos éticos con los cuales tratar sus problemas (entre ellos, los
provocados por las nuevas tecnologías), las tecnologías de la información
llevan sólo unas pocas décadas de existencia para crear, como otras disciplinas
lo han hecho, sus propios estándares éticos.
Definiciones de la Ética Informática
La definición más restrictiva de la EI es el considerarla como la disciplina que
analiza problemas éticos que son creados por la tecnología de los ordenadores
o también los que son transformados o agravados por la misma, es decir, por
las personas que utilizan los avances de las tecnologías de la información.
Algunos de los autores se plantean si la cambiante sofisticación tecnológica
plantea nuevos dilemas éticos o si las cuestiones éticas permanecen constantes.
Otras definiciones de la EI son mucho más amplias. No se reducen a un nuevo
campo de ética aplicada sino que, por ejemplo, en Moor, la EI es el análisis de la
naturaleza y el impacto social de la tecnología informática y la correspondiente
formulación y justificación de políticas para un uso ético de dicha tecnología. La
EI estaría relacionada con los problemas conceptuales y los vacíos en las
regulaciones que ha ocasionado la tecnología de la información. El problema es
que hay una falta de reglamentación en cómo utilizar estas nuevas tecnologías
que posibilitan nuevas actividades para las cuales no hay o no se perciben con
nitidez principios de actuación claros. Las personas con responsabilidades en el
área de diseño o gestión de sistemas de información cada vez han de tomar
más decisiones sobre problemas que no se resuelven con lo legal y lo cuasi-
legal (reglamentos, manuales de procedimiento de las empresas, etc.) sino que
rozan lo ético mismo. La tarea de la EI es aportar guías de actuación cuando no
hay reglamentación o cuando la existente es obsoleta. Al vacío de políticas se
añade generalmente un problema de vacío conceptual. Por ello la EI también ha
de analizar y proponer una marco conceptual que sea adecuado para entender
los dilemas éticos que ocasiona la informática.
Otra definición más englobante viene de Terrel Bynum, que basándose en
Moor, define la EI como la disciplina que identifica y analiza los impactos de las
tecnologías de la información en los valores humanos y sociales. Estos valores
afectados son la salud, la riqueza, el trabajo, la libertad, la democracia, el
conocimiento, la privacidad, la seguridad o la autorrealización personal. En este
concepto de EI se quieren incluir términos, teorías y métodos de disciplinas
como la ética aplicada, la sociología de los ordenadores, la evaluación social de
las tecnologías o el derecho informático.
Los que escriben sobre esta materia no tienen como objetivo adoctrinar o hacer
proselitismo sobre una manera concreta de pensar tratando de transmitir un
conjunto de valores concretos. La intención es incorporar una conciencia social
relacionada con la tecnología informática y también ayudar a los informáticos a
utilizar los ordenadores no solo con eficiencia sino con criterios éticos. El
objetivo es tomar decisiones sobre temas tecnológicos de manera consistente
con la afirmación de los propios valores que uno profesa o con los derechos
humanos en general.
Para ello esta disciplina se plantea varios objetivos intermedios. Por un lado,
descubrir y articular dilemas éticos clave en informática. Determinar en qué
medida son agravados, transformados o creados por la tecnología informática.
Ante los dilemas éticos que ocasiona la informática, analizar y proponer un
marco conceptual adecuado y formular principios de actuación para
determinar qué hacer en las nuevas actividades ocasionadas por la informática
en las que no se perciben con claridad líneas de actuación. Por último, siempre
se pretende un análisis ético de casos realistas y significativos.
Para realizar lo anterior, la EI pretende tener en cuenta dos aspectos. Por un
lado, utilizar la teoría ética para clarificar los dilemas éticos y detectar errores
en el razonamiento ético. Por otro, colaborar con otras disciplinas en ese
debate, siendo conscientes de los puntos de vista alternativos en las cuestiones
referentes a valores y sabiendo discriminar en los distintos casos entre las
consideraciones éticas y las técnicas.
Sin embargo, la EI puede ir más allá. No solo proponer principios de actuación y
ver qué valores son afectados sino reconsiderar valores que son de hecho
asumidos. Por ejemplo, el software supone un tipo de propiedad que no encaja
perfectamente en el concepto de propiedad tradicional. La EI puede analizar
qué tipo de propiedad es el software, pero puede plantearse un debate más
profundo preguntándose por qué ha de existir propiedad intelectual. Esto
supone plantearse de manera nueva valores antiguos y reconsiderar su
vigencia.
Los Códigos Deontológicos en Informática
Las asociaciones de profesionales de informática y algunas empresas
relacionadas con la informática han desarrollado códigos de conducta
profesional. Estos códigos tienen distintas funciones:
El que existan normas éticas para una profesión quiere decir que un
profesional, en este caso un técnico, no es solo responsable de los aspectos
técnicos del producto, sino también de las consecuencias económicas,
sociológicas y culturales del mismo.
Sirven también como un instrumento flexible como suplemento a las medidas
legales y políticas, ya que éstas en general van muy lentas comparadas con la
velocidad del desarrollo de las tecnologías de la información. Los códigos hacen
de suplemento a la ley y sirven de ayuda a los cuerpos legislativos,
administrativos y judiciales.
Sirven como concienciación pública, ya que crear unas normas así hace al
público consciente de los problemas y estimula un debate para designar
responsabilidades.
Estas normas tienen una función sociológica ya que dan una identidad a los
informáticos como grupo que piensa de una determinada manera; es símbolo
de sus estatus profesional y parte de su definición como profesionales.
Estas normas sirven también como fuente de evaluación pública de una
profesión y son una llamada a la responsabilidad que permiten que la sociedad
sepa qué pasa en esa profesión; aumenta la reputación del profesional y la
confianza del público.
En las organizaciones internacionales estas normas permiten armonizar
legislaciones o criterios divergentes existentes (o ausentes, en su caso) en los
países individuales.
Sin embargo, la crítica que se hace a estas asociaciones en que han hecho poco
por hacerlos cumplir, por imponer sanciones si no se cumplen o por comprobar
si se aplican o si son relevantes o pertinentes. De hecho hay códigos que no son
conocidos por los miembros de sus profesiones y menos por sus clientes.
2. Evaluación del Perfil de Oficiales de Informática.
Definición
El Oficial de seguridad informática (OSI), es la persona responsable de
planear, coordinar y administrar los procesos de seguridad informática en una
organización
Misión
El Oficial de seguridad informática tiene la función de brindar los servicios
de seguridad en la organización, a través de la planeación, coordinación y
administración de los procesos de seguridad informática, así como difundir la
cultura de seguridad informática entre todos los miembros de la organización.
Objetivos
Definir la misión de seguridad informática de la organización en conjunto
con las autoridades de la misma.
Aplicar una metodología de análisis de riesgo para evaluar la seguridad
informática en la organización.
Definir la Política de seguridad informática de la organización.
Definir los procedimientos para aplicar la Política de seguridad informática.
Seleccionar los mecanismos y herramientas adecuados que permitan
aplicar las políticas dentro de la misión establecida.
Crear un grupo de respuesta a incidentes de seguridad, para atender los
problemas relacionados a la seguridad informática dentro de la
organización.
Promover la aplicación de auditorías enfocadas a la seguridad, para evaluar
las prácticas de seguridad informática dentro de la organización.
Crear y vigilar los lineamientos necesarios que coadyuven a tener los
servicios de seguridad en la organización.
Crear un grupo de seguridad informática en la organización.
Formación
El Perfil del Oficial de Seguridad debe llenar estas características:
Habilidades personales
Deberes y responsabilidades
Los deberes y responsabilidades del OSI deben establecerse claramente
y requieren ser aprobados por la administración y/o directivos.
A continuación un listado de deberes y responsabilidades recomendados:
El OSI tiene como principal responsabilidad la administración y
coordinación diaria del proceso de Seguridad Informática de la
institución donde labora.
Tiene como responsabilidad asegurar el buen funcionamiento del
proceso de
Seguridad Informática de la institución. Debe ser el punto de referencia
para todos los procesos de seguridad y ser capaz de guiar y aconsejar a
los usuarios de la institución sobre cómo desarrollar procedimientos
para la protección de los recursos.
Una tarea clave para el OSI es guiar al cuerpo directivo y a la
administración de la organización ante incidentes de seguridad
mediante un Plan de Respuesta a Incidentes, con el fin de atender
rápidamente este tipo de eventualidades.
El OSI es responsable de proponer y coordinar la realización de un
análisis de riesgos formal en seguridad de la información que abarque
toda la organización.
Es deber del OSI el desarrollo de procedimientos de seguridad
detallados que fortalezcan la política de seguridad informática
institucional.
El OSI debe ser miembro activo del grupo de seguridad de CUDI, y
mantener contacto con los OSI de otras organizaciones, estar suscrito a
listas de discusión y de avisos de seguridad.
Es responsabilidad del OSI promover la creación y actualización de las
políticas de seguridad informática, debido al comportamiento
cambiante de la tecnología que trae consigo nuevos riesgos y amenazas.
Es responsabilidad del OSI el desarrollo de un Plan de Seguridad de la
Información.
El OSI debe atender y responder inmediatamente las notificaciones de
sospecha de un incidente de seguridad o de incidentes reales.
Es responsabilidad del OSI la elaboración de un Plan de Respuesta a
Incidentes de
Seguridad, con la finalidad de dar una respuesta rápida, que sirva para la
investigación del evento y para la corrección del proceso mismo.
Es responsabilidad del OSI coordinar la realización periódica de
auditorías a las prácticas de seguridad informática.
2.1. Niveles de Acceso, según funciones.
Niveles de seguridad
La ley identifica tres niveles de medidas de seguridad, BÁSICO, MEDIO y ALTO,
los cuales deberán ser adoptados en función de los distintos tipos de datos
personales (datos de salud, ideología, religión, creencias, infracciones
administrativas, de morosidad, etc.).
Nivel básico
Tipo de datos:
Nombre
Apellidos
Direcciones de contacto (tanto físicas como electrónicas)
Teléfono (tanto fijo como móvil)
Otros
Medidas de seguridad obligatorias
Documento de Seguridad
Régimen de funciones y obligaciones del personal
Registro de incidencias
Identificación y autenticación de usuarios
Control de acceso
Gestión de soportes
Copias de respaldo y recuperación
Normas
El responsable del fichero elaborará e implantará la normativa de
seguridad mediante un documento de obligado cumplimiento para el
personal con acceso a los datos automatizados de carácter personal y a
los sistemas de información. (RD 994/1999, arts. 8.1, 8.2). El documento
deberá contener como mínimo los siguientes aspectos:
Ámbito de aplicación del documento con especificación detallada de los
recursos protegidos.
Medidas, normas, procedimientos, reglas y estándares encaminados a
garantizar el nivel de seguridad exigido en este Reglamento.
Funciones y obligaciones del personal.
Estructura de los ficheros con datos de carácter personal y descripción
de los sistemas de información que los tratan.
Procedimiento de notificación, gestión y respuesta ante las incidencias.
Los procedimientos de realización de copias de respaldo y de
recuperación de los datos.
El documento deberá mantenerse en todo momento actualizado y
deberá ser revisado siempre que se produzcan cambios relevantes en el
sistema de información o en la organización del mismo. (RD 994/1999,
art.8.3)
El contenido del documento deberá adecuarse a las disposiciones
vigentes en materia de seguridad de los datos de carácter personal. (RD
994/1999, art.8.4)
Nivel medio
Tipo de datos:
Comisión infracciones penales
Comisión infracciones administrativas
Información de Hacienda Pública
Información de servicios financieros
Medidas de seguridad obligatorias:
Medidas de seguridad de nivel básico
Responsable de Seguridad
Auditoria bianual
Medidas adicionales de Identificación y autenticación de usuarios
Control de acceso físico
Normas
El documento de seguridad deberá contener la identificación del
responsable o responsables de seguridad, los controles periódicos que
se deban realizar para verificar el cumplimiento de lo dispuesto en el
propio documento y las medidas que sea necesario adoptar cuando un
soporte vaya a ser desechado o reutilizado. (RD 994/1999, art.15)
Nivel alto
Tipo de datos:
Ideología
Religión
Creencias
Origen racial
Salud
Vida
Medidas de seguridad obligatorias:
Medidas de seguridad de nivel básico y medio
Seguridad en la distribución de soportes
Registro de accesos
Medidas adicionales de copias de respaldo
Normas
De cada acceso se guardarán como mínimo, la identificación del usuario,
la fecha y la hora en que se realizó, el fichero accedido, el tipo de acceso
y si ha sido autorizado o denegado. (RD 994/1999, art. 24.1)
En el caso que el acceso haya sido autorizado, será preciso guardar la
información que permita identificar el registro accedido. (RD 994/1999,
art. 24.2)
Los mecanismos que permiten el registro de los datos detallados en los
párrafos anteriores estarán bajo el control directo del responsable de
seguridad competente sin que se deba, en ningún caso, la desactivación
de los mismos. (RD 994/1999, art. 24.3)
El período mínimo de conservación de los datos registrados será de dos
años. (RD 994/1999, art. 24.4)
El responsable de seguridad competente se encargará de revisar
periódicamente la información de control registrada y elaborará un
informe de las revisiones realizadas y los problemas detectados al
menos una vez al mes. (RD 994/1999, art. 24.5).
Ejemplo ¿Cuáles son los distintos niveles de acceso de usuarios?
Los usuarios de cuentas pueden invitar a otros usuarios a compartir el acceso a
sus cuentas en tres niveles de acceso diferentes:
Administrativo (el nivel más alto de acceso)
Estos usuarios pueden ver, modificar y administrar cualquier parte de
una cuenta y sus campañas (a excepción de la información de acceso y
opción de idioma).
Además, recibe correos electrónicos de notificación.
Únicamente aquellos que cuentan con Acceso administrativo pueden
invitar a obtener acceso e inhabilitar el acceso a otros usuarios, ver
invitaciones pendientes, y cambiar el nivel de acceso a otros usuarios.
Tenga en cuenta que debe haber un usuario con Acceso administrativo en cada
cuenta para recibir las notificaciones importantes por correo electrónico, y ese
usuario no puede cambiar su propio nivel de acceso. La única manera de
cambiar este nivel de acceso es invitar a otro usuario a obtener Acceso
administrativo, y luego solicitar al nuevo administrador que cambie el nivel de
acceso.
Acceso administrativo
Los administradores de cuentas con Acceso administrativo pueden
invitar a usuarios a compartir la cuenta en los niveles Acceso estándar
(administrado) y Acceso a los informes (administrado).
También pueden cambiar los niveles de acceso de otros usuarios en las
cuentas que administran. No pueden cambiar el nivel de acceso de la
cuenta de un usuario de Acceso estándar o Acceso a los informes a
Administrativo, a menos que ese usuario haya contado con Acceso
administrativo previamente.
Los administradores no pueden anular el acceso a la cuenta de otros
usuarios ni revocar invitaciones para compartir la cuenta enviadas a
otros usuarios por parte de un administrador principal de cuentas.
Usuario Estándar (acceso a la mayoría de las características de la cuenta)
Los usuarios con Acceso estándar y Acceso estándar (administrado)
poseen casi las mismas capacidades que los usuarios con Acceso
administrativo, pero con una sola excepción: los usuarios con Acceso
estándar no pueden invitar a otras personas a compartir acceso,
cambiar los niveles de los usuarios ni inhabilitar el acceso a la cuenta.
Acceso a los informes y acceso a los informes (administrado)
Los usuarios con Acceso a los informes cuentan con el nivel más bajo de
acceso a una cuenta; pueden solamente ver y ejecutar informes.
Los usuarios con Acceso a los informes (administrado) pueden ver y
ejecutar informes, recibir correos electrónicos de notificación de cuenta
y desvincular una cuenta.
Principales criterios utilizados determinar niveles de acceso en una empresa:
Se deben adoptar procedimientos en relación con la identificación y
autenticación de usuarios, la gestión y revisión de derechos y privilegios de
acceso de los usuarios, la comprobación de los accesos.
Se deben seguir los criterios de 'Autenticación'.
Se debe implantar un procedimiento formalizado de registro de altas y
bajas de acceso de usuarios a todos los servicios de la aplicación y del
sistema, de manera que se garantice que no se proporcione acceso al
sistema hasta que se hayan completado los procedimientos de
autorización y que se compruebe que el usuario tiene la autorización del
responsable (propietario) del servicio para utilizarlo.
Se debe verificar que el nivel de acceso asignado al usuario corresponde
a necesidades de funcionamiento de la Organización y es consistente
con la normativa de seguridad de la Organización y que no se contradice
con el principio de segregación de funciones (según grupos de usuarios,
servicios y sistemas de información).
Se debe informar a cada usuario de todos sus derechos de acceso, los
cuales ha de reconocer como conocidos de manera fehaciente, así como
la comprensión y aceptación de las condiciones de acceso.
Se debe mantener actualizado el registro de todas las personas con
derechos de acceso al servicio, revisándolo de forma periódica para
localizar y eliminar identificadores de usuarios redundantes
(duplicados) o sobrantes (no utilizados).
Se debe eliminar de forma inmediata las autorizaciones de acceso a los
usuarios que dejen la Organización o cambien su función dentro de ella
y comprobar que los identificadores eliminados no sean reasignados a
otros usuarios.
No se debe permitir la utilización de claves compartidas o multiusuario.
Se debe asociar el control de acceso con los requisitos de autenticidad,
confidencialidad, integridad y disponibilidad exigidos por el recurso al cual se
intenta acceder.
Se debe limitar el acceso a los recursos según la función o la necesidad de
conocer.
Se debe establecer un proceso de autorización que registre los
privilegios asignados a los usuarios; hasta que no haya concluido
completamente, no otorgar privilegios especiales.
Se deben identificar los privilegios asociados a cada subsistema (el
sistema operativo, el gestor de base de datos, la aplicación, etc.) y a cada
categoría de usuarios que los necesiten.
Se deben asignar privilegios a individuos (no a colectivos) considerando
cada caso como un acceso eventual temporal y partiendo del principio
de 'necesidad de uso' (que minimice el acceso para el estricto
desempeño de sus funciones y sólo cuando es imprescindible).
Se debe promover el desarrollo y uso de herramientas (procedimientos
automáticos o rutinas) que permitan la asignación temporal de
privilegios.
Se deben revisar periódicamente y mediante procedimiento formal los derechos
de acceso de los usuarios
Se debe revisar la capacidad de acceso de los usuarios (por ejemplo,
cada seis meses).
Se deben someter a revisión más frecuente los accesos privilegiados
(por ejemplo, cada tres meses).
Se debe comprobar regularmente las asignaciones de accesos
privilegiados para asegurarse de que éstos no han dado lugar a accesos
no autorizados.
Se debe formar a los usuarios en relación con el control de acceso a los recursos
protegidos.
Los usuarios deben cumplir con las recomendaciones relativas a
elementos de identificación y autenticación (contraseñas, certificados,
tarjetas, etc.) y a los equipos no atendidos (desconexión de sesiones,
protección si procede con bloqueador de teclado o llave, etc.).
Se deben adoptar medidas en relación con el trabajo desde fuera de las
instalaciones de la organización.
Se deben adoptar medidas adicionales específicas para los equipos portátiles.
Se deben instalar controles de acceso que actúen con carácter previo a
la carga del sistema operativo.
Se deben instalar mecanismos que cifren la información de los soportes
de almacenamiento.
Se deben adoptar medidas adicionales específicas para el control de acceso de
terceras partes
Se debe elaborar un documento que contenga las normas de seguridad
aplicables para el acceso de terceras partes.
Se deben establecer procedimientos de protección de los activos;
medidas de protección física; medidas contra la introducción y
propagación de virus o de otro código dañino.
Se deben establecer procedimientos de autorización de acceso a cada
recurso o activo.
Se debe fijar el método de acceso permitido (control del identificador y
de contraseñas de usuario o mediante certificados digitales).
Se debe mantener permanentemente actualizada la lista de usuarios
autorizados y de permisos de acceso a recursos o activos específicos.
Horas y fechas de disponibilidad del servicio (características necesarias
del plan de contingencias).
Responsabilidades de cada parte: derecho de auditoría para
cumplimentar las responsabilidades contractuales; derecho de la
organización anfitriona para controlar (y suspender en su caso) la
actividad de uno o varios usuarios; acuerdo para la investigación e
informes de incidentes de seguridad.
Responsabilidades derivadas de la normativa (protección de datos de
carácter personal, entre otros).
Restricciones contra la copia y la revelación no autorizada.
Medidas para asegurar la devolución de documentación y activos de
información al finalizar el contrato.
Mecanismos para asegurar que las medidas de seguridad son conocidas,
respetadas y aplicadas.
Requisitos de formación de los terceros en los métodos y
procedimientos de seguridad compatibles con los de la organización.
RECOMENDACIONES
Interrumpir automáticamente la sesión después de un periodo de tiempo en el
que el usuario no ha realizado ninguna acción. Este periodo de tiempo
dependerá de las características de la propia aplicación y del perfil del usuario
que accede a la información.
Limitar el tiempo máximo de conexión para aplicaciones que se considere
conveniente, así como la franja horaria de acceso.
Mantener un registro de eventos relativos al control de acceso.
Controlar el acceso a los programas de utilidades.
Bloquear las cuentas que no sean utilizadas durante un período de tiempo
fijado.
Utilizar preferentemente sistemas, productos o equipos cuyas funcionalidades
de seguridad y su nivel hayan sido rigurosamente evaluados conforme a
normas europeas o internacionales, como ISO/IEC 15408, y certificados por
entidades independientes y de reconocida solvencia, como las recogidas en los
acuerdos o arreglos internacionales de reconocimiento mutuo de los
certificados de la seguridad de la tecnología de la información.
Conclusiones
La Administración de RH busca compenetrar el recurso humano con el proceso
productivo de la empresa, haciendo que éste último sea más eficaz como
resultado de la selección y contratación de los mejores talentos disponibles en
función del ejercicio de una excelente labor de estos. Así como también la
maximización de la calidad del proceso productivo depende de igual modo de
la capacitación de los elementos humanos para hacer más valederos sus
conocimientos.
Los sistemas informativos proveen a la empresa, en cada uno de sus niveles, la
fuente necesaria para la toma de decisiones.
El éxito en los sistemas de información de Recursos Humanos depende de la
adecuada planificación del sistema, que requerirá una correcta comunicación
entre usuarios y personal informático.
El Oficial de Seguridad Informática es el encargado de analizar los riesgos,
determinar que estrategias efectivas para combatir ataques.
Cada organización es distinta y no hay un acuerdo sobre la mejor manera de
organizar un área de seguridad informática en una empresa.
Los niveles de seguridad son asignados de acuerdo al puesto que se tenga en la
empresa, pero esto no puede llevar a un camino que nos lleve a romper las
reglas impuestas y destruirlas por muy alto puesto que se encuentre la
persona.
Referencia Bibliográfica
http://www.elergonomista.com/recursos.htm
http://www.rrhhmagazine.com/articulos.asp?id=251
www.gestiopolis.com/recursos/.../rh/.../impcap.htm
http://www.asimetcapacitacion.cl/capacitacion_alianza_estrategica.htm
http://rfc.cudi.edu.mx/drafts/draft2.pdf
http://www.monografias.com/trabajos-pdf2/perfiles-profesionales-
seguridad-informatica-practico/perfiles-profesionales-seguridad-informatica-
practico.pdf
http://www.csae.map.es/csi/criterios/seguridad/index.html
http://adwords.google.com/support/aw/bin/answer.py?hl=es-
419&hlrm=es&answer=70619
http://www.monografias.com/trabajos65/rotacion-personal/rotacion-
personal2.shtml
http://cms.ual.es/UAL/universidad/otrosorganos/comisionseguridad/pagina
/FUNCIONES5
http://www.monografias.com/trabajos14/etica-informat/etica-
informat.shtml?monosearch