Manual Del Instructor SegInf
Manual Del Instructor SegInf
Manual Del Instructor SegInf
SEGURIDAD de la INFORMACIÓN
Versión 1.0 – Noviembre 2007
INDICE
Desarrollo _____________________________________________________________________3
Cierre _________________________________________________________________________3
Bibliografía de referencia _________________________________________________________3
REUNIÓN 2 – SEGURIDAD DE LA INFORMACIÓN EN LAS TAREAS
COTIDIANAS ____________________________________________________________ 3
Contenidos _____________________________________________________________________3
Apertura _______________________________________________________________________3
Desarrollo _____________________________________________________________________3
Cierre _________________________________________________________________________3
Bibliografía de referencia _________________________________________________________3
REUNIÓN 3 – AMENAZAS Y HERRAMIENTAS DE SEGURIDAD ______________ 3
Contenidos _____________________________________________________________________3
Apertura _______________________________________________________________________3
Desarrollo _____________________________________________________________________3
Cierre y evaluación de la actividad __________________________________________________3
Bibliografía de referencia _________________________________________________________3
PROGRAMA REDUCIDO__________________________________________________ 3
REUNIÓN ÚNICA – FUNDAMENTOS DE LA SEGURIDAD DE LA
INFORMACIÓN __________________________________________________________ 3
Contenidos _____________________________________________________________________3
Desarrollo _____________________________________________________________________3
Cierre _________________________________________________________________________3
Bibliografía de referencia _________________________________________________________3
PARTE D – PRESENTACIÓN DE DISEÑOS DE CAPACITACIÓN ___________ 3
CÓMO COMPLETAR EL INSTRUMENTO “COMPONENTES PARA LA
PRESENTACIÓN DE DISEÑOS DE CAPACITACIÓN” ________________________ 3
BIBLIOGRAFÍA __________________________________________________________ 3
PARTE E – BIBLIOGRAFÍA____________________________________________ 3
BIBLIOGRAFÍA PARA LOS CONTENIDOS INFORMÁTICOS _________________ 3
BIBLIOGRAFÍA PARA LOS CONTENIDOS PEDAGÓGICOS __________________ 3
LICENCIA DE USO
El presente Manual se distribuirá con la siguiente licencia:
PRESENTACION
Estimado/a colega:
Usted está recibiendo un material elaborado con el propósito de ayudarlo/a a implementar una
propuesta de capacitación en seguridad de la información.
Las organizaciones dependen cada vez más del procesamiento de su información, y por otra
parte, el Estado viene desarrollando desde hace tiempo iniciativas sobre Gobierno Electrónico y
sobre Seguridad de los Sistemas de Información.
Sobre este último punto, la Jefatura de Gabinete de Ministros ha requerido, a través de la
Decisión Administrativa Nº 669/2004, la redacción de políticas de seguridad de la información en
los organismos de la Administración Pública Nacional. Estas incluyen un capítulo de seguridad
del personal, donde se establece la necesidad de capacitar a todo el personal sobre cuestiones
vinculadas con la seguridad de la información, el uso correcto de la información que se
administra, etc.
A los fines de sensibilizar sobre la importancia de la seguridad de la información y de difundir
herramientas que contribuyan a instalar buenas prácticas al respecto, hemos tomado la
estrategia de la formación de instructores: es decir, formar a usuarios avanzados en los
organismos que puedan replicar actividades de sensibilización y capacitación en esta temática.
El material fue elaborado conjuntamente por dos Oficinas de la Subsecretaría de la Gestión
Pública:
la Oficina Nacional de Tecnología de la Información (ONTI), con la participación
del equipo de Coordinación de Emergencias en Redes Teleinformáticas
(ArCERT), unidad que entiende sobre la problemática de la seguridad en los Organismos
de la Administración Pública Nacional y
el Instituto Nacional de la Administración Pública (INAP) que es el organismo
especializado en temas de capacitación en el sector público, con la participación del
equipo de la Dirección del Sistema Nacional de Capacitación.
DESCRIPCIÓN DE LA PROPUESTA
Nuestra propuesta lo invita a transitar por contenidos informáticos y pedagógicos que hemos
seleccionado en función de su relevancia para el desarrollo de las competencias propias del
instructor en seguridad de la información. Este recorrido va a estar acompañado de:
desarrollo de contenidos informáticos,
sugerencias para el instructor,
actividades y recursos para la enseñanza,
actividades de reflexión sobre la tarea del instructor,
lecturas sugeridas para ampliar el conocimiento de los contenidos informáticos y
lecturas sugeridas para ampliar el conocimiento de los contenidos pedagógicos.
FUNDAMENTACIÓN
El uso intensivo de las herramientas informáticas es una realidad actual en todas las
organizaciones. Ello trae aparejado innumerables beneficios, pero también surgen nuevas
problemáticas como la aparición de fallas de seguridad informática, algunas relacionadas con
aspectos técnicos y otras con cuestiones humanas, operativas, etc. De esta nueva realidad
surgen riesgos que deben ser mitigados.
Existe entonces la necesidad de preservar la seguridad de la información, es decir, su
disponibilidad, confidencialidad e integridad.
A todo esto, no se deben dejar de lado las normas establecidas, muchas de las cuales comienzan
a incorporar temas del área informática.
Por otra parte, el avance de las iniciativas de Gobierno Electrónico, hace que los organismos del
Estado estén inmersos en planes de apertura de sus sistemas hacia la comunidad.
Los puntos anteriores refieren a un estado de situación en materia de seguridad informática que
exige que los usuarios de diferentes herramientas conozcan y utilicen principios y normas que les
permitan evitar o saber manejarse frente a los incidentes de seguridad más frecuentes.
CONTRIBUCIÓN ESPERADA
A través de una actividad de formación de instructores en seguridad de la información, se
espera que los organismos cuenten con personal competente para difundir y capacitar a distintos
usuarios de informática, en materia de normas y buenas prácticas en seguridad de la
información.
Asimismo, se espera que en los organismos se observe un aumento de la eficacia en el uso de las
herramientas informáticas y disminuyan las situaciones que se originan en prácticas que no
responden a los principios de la seguridad informática.
DESTINATARIOS
El presente Manual fue desarrollado como una herramienta para el personal de la Administración
Pública a quien se le asigne la tarea de dictar un taller en seguridad de la información para los
usuarios de su organismo, pudiendo asimismo ser utilizado por otras organizaciones que lo
consideren de interés.
Formación
Acreditar capacitación o formación en temas relacionados con la docencia o en la
conducción de equipos de trabajo, de liderazgo, de manejo de las relaciones
interpersonales.
Experiencia laboral
Desempeñarse como agente del organismo en el cual será instructor.
Acreditar experiencia en la conducción/coordinación de equipos o áreas de
trabajo en el sector público (no excluyente).
En relación con la docencia: experiencia en capacitación y/o educación de
adultos, especialmente en educación no formal (no excluyente).
Acreditar experiencia como usuario avanzado de sistemas informáticos,
particularmente en:
Características personales
Comprobada capacidad de escucha y de diálogo.
Actitud reflexiva frente a los problemas de la práctica laboral.
Disposición a compartir conocimientos.
Compromiso con el propio aprendizaje y con el de los demás.
OBJETIVOS Y CONTENIDOS
Dada la naturaleza de esta propuesta, los contenidos a desarrollar incluyen: saberes informáticos
y saberes pedagógicos.
Los contenidos informáticos se organizan en reuniones y las estrategias utilizadas para la
enseñanza de estos contenidos, se constituyen en contenidos pedagógicos, así como las lecturas
sugeridas.
Objetivos
Que los participantes logren:
Ubicar la actividad de capacitación en el marco de las necesidades de capacitación en el
organismo.
Compartir experiencias de la práctica como instructores y reflexionar sobre la estrategia
utilizada para la enseñanza de contenidos informáticos.
Caracterizar al adulto en situación de aprendizaje en el ámbito laboral.
Valorar la importancia del diseño como una herramienta para guiar la implementación de
actividades de capacitación en seguridad de la información.
Intercambiar las experiencias y apreciaciones sobre la elaboración del propio diseño.
Reconocer los momentos de un encuentro de capacitación, apertura, desarrollo y cierre y
seleccionar estrategias adecuadas a los mismos.
Comprender las funciones de la evaluación.
Conocer las técnicas apropiadas para la evaluación de actividades de capacitación en
seguridad de la información.
Contenidos
La capacitación como una herramienta para atender necesidades de gestión:
fundamentación y contribución esperada.
El diseño como herramienta que orienta la acción formativa en diferentes dimensiones:
personal, institucional, interpersonal, didáctica y ética.
Las Técnicas y recursos para la presentación de contenidos informáticos: presentaciones,
exposición dialogada, situación problemática, análisis de casos, demostración. Para qué,
cuándo, cómo y dónde utilizarlas.
El uso de la evaluación para comprender, para reflexionar y para mejorar.
Las técnicas de evaluación en actividades de capacitación en informática: resolución de
casos; análisis de situaciones problemáticas; pruebas de ejecución; otras.
DESCRIPCIÓN DE LA MODALIDAD
Modalidad no presencial. Se entrega este material a los participantes con desarrollo de
contenidos informáticos y pedagógicos y con propuesta de actividades para el diseño y la
implementación de una actividad de capacitación en seguridad de la información en sus
organismos de pertenencia.
MODALIDADES DE DESARROLLO
Este Manual le presenta dos opciones para desarrollar actividades de capacitación en seguridad
de la información según dos propósitos diferenciados:
a) Promover el conocimiento y utilización de herramientas de seguridad de la información
en las distintas áreas del organismo,
b) Sensibilizar sobre la importancia de tomar precauciones tendientes a preservar la
seguridad de la información.
Ahora, le ofrecemos en el siguiente cuadro las situaciones o casos que identificamos nosotros.
_________________________________ _________________________________
_________________________________ _________________________________
Agregue en las líneas vacías de las columnas anteriores aquellos casos o situaciones que escribió
anteriormente y que no están contempladas en las ya enunciadas.
Ahora le ofrecemos un esquema de dos recorridos posibles según los propósitos identificados.
Propósitos de promover el
conocimiento y utilización de
herramientas de seguridad de
PROGRAMA EXTENDIDO
la información Pág. 13
PROGRAMA EXTENDIDO
Objetivos
Que los participantes logren:
Conocer las amenazas que atentan contra la seguridad de la información.
Comprender la necesidad de implementar seguridad.
Comprender los conceptos de disponibilidad, confidencialidad e integridad.
Comprender el concepto de incidente de seguridad.
Comprender la importancia y la función de una Política de Seguridad de la
Información en toda organización.
Conocer el marco legal vigente en relación con las TIC.
Contenidos
Amenazas a la Seguridad de la Información
Confidencialidad
Integridad
Disponibilidad
Incidentes de seguridad
Políticas de Seguridad de la Información
Normas vigentes
Objetivos
Que los participantes logren:
Conocer las buenas prácticas para el uso seguro de la tecnología.
Desarrollar una actitud favorable para la aplicación de dichas prácticas.
Comprender los recaudos a tomar para garantizar el uso efectivo de claves de
acceso.
Adquirir técnicas para prevenir el acceso de terceros a información confidencial.
Reconocer situaciones donde se violan medidas de seguridad a través de técnicas
de ingeniería social.
Entender la problemática del código malicioso.
Comprender las amenazas que acarrean los sistemas de mensajería instantánea y
las redes P2P.
Contenidos
Mecanismos de control de acceso a los sistemas de información
Administración de claves de acceso
Política de pantalla y de escritorios limpios
Ingeniería Social
Código Malicioso
Amenazas en la navegación por Internet
Mensajería Instantánea y Redes P2P
Objetivos
Que los participantes logren:
Aplicar normas de seguridad en el intercambio de mensajes de correo electrónico.
Conocer la firma digital como herramienta para asegurar la información.
Comprender la necesidad de detectar y reportar incidentes.
Contenidos
Uso seguro del correo electrónico
Firma Digital: funcionamiento y beneficios
Reporte de incidentes de seguridad
PROGRAMA REDUCIDO
Objetivos
Que los participantes logren:
Conocer las amenazas que atentan contra la seguridad de la información.
Comprender la necesidad de implementar seguridad.
Comprender la importancia y la función de una Política de Seguridad de la
Información en toda organización.
Conocer las buenas prácticas para el uso seguro de la tecnología (correo
electrónico, Internet, etc.).
Desarrollar una actitud favorable para la aplicación de dichas prácticas.
Conocer la firma digital como herramienta para asegurar la información.
Comprender la necesidad de detectar y reportar incidentes informáticos.
Contenidos
Amenazas a la Seguridad de la Información
Confidencialidad
Integridad
Disponibilidad
Políticas de Seguridad de la Información
Normas vigentes
Mecanismos de control de acceso a los sistemas de información
Administración de claves de acceso
Política de pantalla y de escritorios limpios
Ingeniería Social
Código Malicioso
Amenazas en la navegación por Internet
Uso seguro del correo electrónico
Reporte de incidentes de seguridad
Objetivos
Son los logros de aprendizaje que se esperan obtener de los participantes.
Contenidos
Son los temas correspondientes a cada reunión.
Actividades
Comprenden actividades a realizar por el instructor y actividades grupales propuestas para
los participantes.
Cada reunión se organiza en tres momentos: apertura, desarrollo y cierre. Usted
encontrará actividades específicas para cada uno.
Apertura
Actividades que deberá desarrollar el instructor al inicio de la reunión. Puede tratarse de la
presentación del curso, de la presentación de las actividades del día, de la recuperación de
temas de reuniones anteriores, etc.
Desarrollo
Cierre
Actividades del cierre de la reunión, reflexiones sobre lo visto hasta allí, encuestas y
espacio de preguntas de los participantes.
NOTA: En cada uno de estos segmentos, Ud. encontrará iconos que indicarán:
Recomendaciones/Sugerencias.
REUNIÓN 1
En esta sección encontrará guías pedagógicas para la preparación y el dictado del curso, así
como lecturas sugeridas.
Después de haber leído el programa del taller no presencial y para que usted tenga una primera
aproximación a los contenidos, le presentamos el siguiente esquema conceptual: obsérvelo
atentamente y responda las preguntas que aparecen a continuación.
CONTEXTO INSTITUCIONAL
¿Qué reflexiones puede hacer acerca del esquema anterior? ¿Qué le interesa más en relación
con los contenidos del esquema? Escriba a continuación sus respuestas a estas preguntas.
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
Desarrollo de la propuesta
A lo largo del Manual, usted encontrará una secuencia de contenidos y actividades que deberá
replicar en la actividad de capacitación en seguridad de la información que realizará en su
organismo.
La tarea a emprender constituye un desafío importante para usted en relación con su rol en el
organismo y para éste, un aporte vinculado con las prácticas de preservación de la información.
Le proponemos algunas preguntas sobre estas cuestiones.
Piense acerca de ellas y escriba las respuestas debajo de cada una.
¿Para qué se realiza? ¿Qué cambios pueden ocurrir a partir de la actividad de capacitación
en seguridad de la información?
¿Cuáles son mis expectativas en relación con la actividad y en relación con el desempeño
de mi rol de instructor?
Puede profundizar las reflexiones anteriores en “Preguntas para reflexionar sobre mi tarea como
instructor”.
Trabajos de investigación recogidos por Marcelo García (Formación del profesorado para el
cambio educativo: Barcelona, 1995), dedicados a estudiar las características del aprendizaje en
los adultos y en particular el desarrollo cognitivo de los profesores, identifican algunos factores
que caracterizan el aprendizaje adulto:
Los adultos se comprometen a aprender cuando las metas y objetivos se consideran
realistas e importantes y se perciben con utilidad inmediata.
Los adultos desean tener autonomía y ser el origen de su propio aprendizaje, quieren
implicarse en la selección de objetivos, contenidos, actividades y evaluación.
Los adultos se resisten a aprender en situaciones que son impuestas o creen que
ponen en cuestión su competencia.
¿Qué metas u objetivos les propuse a los participantes para que se sientan
comprometidos con la seguridad de la información?
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
¿Qué estoy haciendo para que los participantes perciban que en este taller no se están
cuestionando sus prácticas en el manejo de la información?
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
El método de casos
Sí, y es bueno que los conozca para poder elegir entre la variedad existente, cuál se ajusta
mejor a la madurez del grupo, a los conocimientos previos del mismo, a los contenidos a
trabajar, y a la finalidad que se desee alcanzar.
Caso Harvard: Este caso, el original, es extremo y complejo. Contiene abundante
información que permite enmarcar de modo adecuado el problema, obligando al
estudiante a sistematizar y vincular hechos, reconocer subproblemas y generar
soluciones.
El caso problema: Contiene información previamente seleccionada en función de un
propósito principal. Puede ser elaborado por el equipo instructor e interpretado sin
dificultad por los participantes.
El caso grabado: Supone la presentación oral del material sustituyendo la escritura
por la voz, dotando de características más reales a la interacción.
El caso presencial: Apunta al análisis de un problema real, ocurrido en alguna
institución concreta. La presentación del caso está a cargo de un integrante de la
organización en la que tuvo lugar el problema y que esté involucrado en la situación.
El caso episodio: Conocido también como proceso incidente, consiste en presentar en
forma breve un episodio extraído de una situación cotidiana de trabajo. Es así como a
través del trabajo tanto individual como grupal, el estudiante desarrolla su capacidad de
ordenar el razonamiento de forma lógica y progresiva de identificar qué información útil
se desconoce.
Como Ud. sabe, toda metodología explícita o implícitamente supone concepciones previas sobre
el proceso de enseñar, aprender y sobre los contenidos a tratar.
El método de casos, en la medida que presenta a los participantes oportunidades para
incorporar componentes cognitivos y afectivos propios del ejercicio profesional para el que se
están formando, requiere del participante un rol a veces alternativo al vigente. Lo mismo
sucede con respecto al rol del instructor y a la interacción entre ambos.
Ahora bien, cabe entonces el siguiente interrogante: ¿Qué tipo de aprendizajes supone y
promueve el método de casos?
Es probable que a lo largo de su experiencia como instructor, Ud. se haya encontrado con
algunas dificultades a la hora de pedirle a los participantes que interpreten, analicen
críticamente o identifiquen los datos de una situación.
Seguramente la mayoría de dichos inconvenientes obedecen entre otras causas, a que los
participantes han tenido pocas oportunidades de participar durante su escolaridad en
situaciones de aprendizaje que significaran algo más que la memorización y la repetición de
información.
Es bueno prevenirlo --aunque seguramente Ud. ya lo ha notado-- que los participantes con
dificultades para interpretar, sintetizar, o reflexionar sobre una situación deberán sortear
mayores obstáculos a la hora de resolver un caso, simplemente porque no han sido entrenados
en este tipo de aprendizajes.
En el contexto de la resolución de casos, aprender no es solamente adquirir información. Para
que se produzcan verdaderos aprendizajes es necesario un proceso de comprensión que
permita relacionar el nuevo conocimiento con los anteriores, diferenciarlo, e incluirlo en
categorías conceptuales que el participante ya posea o crear las necesarias, si se trata de un
tema totalmente desconocido por él.
Desde esta perspectiva, el error y la duda son valorados como puntos de partida del
aprendizaje, disparadores de reflexión y de acción. No olvidemos que quien duda es porque se
pregunta y desde esa pregunta tiende a darse nuevas respuestas. En el método de casos, la
posibilidad de reexaminar las situaciones y la manera cómo se las encaró (a través del
intercambio con el instructor y los compañeros) contribuye a no sacar consecuencias erróneas
de la experiencia.
En general, como instructores, frente al error de nuestros participantes no vacilamos en darles
las respuestas que consideramos correctas. Es importante aclarar que para trabajar con casos
el profesor deberá “armarse de paciencia” y esperar el momento oportuno para corregir lo
que considera desacertado. No se trata de “todo vale”, pero habrá que estar atentos, pues una
información dada por el instructor fuera de tiempo, puede apresurar la resolución del caso de
modo tal que quien termine por resolverlo sea en definitiva el profesor y no el estudiante.
Una vez seguidos estos pasos preliminares, será más sencilla la identificación del problema en
cuestión, la búsqueda de alternativas y la elaboración de las soluciones pertinentes al caso.
Esta estrategia puede ser enseñada y guiada por el instructor, debido a que
difícilmente los participantes puedan adquirirla espontáneamente. Como ya
señaláramos, es probable que existan resistencias de los participantes para asumir
un rol más activo, especialmente en aquellos grupos acostumbrados a recibir clases
magistrales donde el conocimiento ya viene elaborado. Es necesario entonces,
buscar vías que permitan superar dichas resistencias, evitando así situaciones de
confusión o frustración que pueden darse cuando la actividad no es guiada y
orientada apropiadamente.
Si los participantes nunca han trabajado con este método, le recomendamos que
antes de analizar por primera vez un caso, dedique un tiempo considerable a la
realización de las siguientes tareas:
Graduar la complejidad de los casos, comenzando por un caso problema o episodio.
Definir en qué consiste un caso, cuáles son sus partes (qué es un problema, un dato,
un supuesto, etc.)
Recuerde que será siempre muy orientador para el participante explicitar
claramente los objetivos de la tarea a realizar, las estrategias que deben
ponerse en juego en la resolución del caso, los contenidos que se están
trabajando, la finalidad, los criterios con los que se evaluará, etc.
El método de casos requiere del participante no sólo el dominio de ciertas habilidades cognitivas
sino además que posea capacidad para escuchar, compartir puntos de vista y que pueda
valerse con criterio propio. Por tal motivo, consideramos que el trabajo en sugbrupos es
una instancia propicia para fomentar este tipo de actitudes. Aquí, la controversia no es
vista como “desorden” sino como el punto de partida de un conflicto conceptual que a través
del intercambio de opiniones y su debida fundamentación, puede ser resuelto y generar
cuestionamientos acerca de ideas y puntos de vista propios.
A continuación le brindamos una serie de Pautas que lo ayudarán a orientar
adecuadamente el trabajo en grupos:
En cuanto a la selección de los integrantes del grupo, puede organizarlos según su
parecer, dado que conoce a sus participantes y sabe cómo pueden responder. Se
puede proponer formar grupos heterogéneos según las actividades laborales de los
estudiantes, su nivel de conocimientos o bien darles libertad para que se agrupen por
afinidad.
Es muy importante evaluar conjuntamente con los participantes cómo funciona cada
subgrupo y analizar la posibilidad - en caso de ser necesario - de realizar rotaciones.
Es conveniente que los grupos se conformen con un número reducido de participantes
y proponer que asuman roles diversos según sus inclinaciones.
Es necesario explicitar claramente las tareas a realizar durante el trabajo en subgrupos,
y así mismo, el tiempo disponible para llevarlas a cabo.
Es esperable que el instructor asuma durante el trabajo grupal un rol de orientador del
trabajo de cada subgrupo.
Realizar una puesta en común registrando lo que cada subgrupo aporta.
Extraer conclusiones generales; analizar la información obtenida; decidir si es necesario
recurrir a fuentes bibliográficas para fundamentar las opiniones; confrontar conceptos
con hechos o datos, estableciendo una relación fluida entre teoría y práctica.
Evaluar la dinámica abordada en conjunto con todo el grupo.
Ahora bien, creemos oportuno hacer una breve aclaración: si bien es cierto que el trabajo en
grupos resulta sumamente apropiado para la resolución de casos, ello de ninguna manera
significa que no sean necesarios momentos de aprendizaje individual. Es el instructor el
indicado para decidir en qué situaciones conviene implementar una u otra modalidad.
Recomendamos incluir durante el proceso de aprendizaje, casos que los participantes deban
resolver individualmente.
Por lo visto hasta aquí, para llevar a cabo esta metodología es necesario tener en cuenta que
tanto el instructor como el participante intervienen activamente en la tarea. Ya no
son suficientes un instructor que sólo transmite información y participantes que la reciben
pasivamente. El objetivo primordial del profesor debe ser lograr que los participantes piensen,
constituyéndose en un facilitador de los aprendizajes de los participantes.
El instructor como experto puede tener una visión más acabada de la situación, su percepción
se extiende a aspectos menos visibles del problema, a elementos sobre los que aún los
estudiantes no disponen de información. El conocimiento anticipado del caso como su
experiencia, le dan elementos importantes para poder distinguir lo accesorio de lo esencial, y
comprender la estructura de significación del conjunto que examina.
Para concluir, transcribimos una afirmación de C. Coll (pedagogo español contemporáneo),
cuyo mensaje probablemente comparta con nosotros:
“Los métodos de enseñanza no son buenos o malos, adecuados o inadecuados en
términos absolutos, sino en función de que la ayuda pedagógica que ofrezcan esté
ajustada a las necesidades de los participantes....” (1990)
Bibliografía consultada
COLL, C. y otros: Desarrollo Psicofísico y Educación II. Madrid, Alianza, 1990.
CUELLAR : El método de casos en la preparación de profesores.
N.C.A.E.: El sistema de casos en la formación de administradores.
NOVAK Y GOWIN: Aprendiendo a pensar. Barcelona, Martinez Roca, 1989
PERRET CLERMONT: Interactuar y conocer. Madrid, Miño, 1988
POZO, J.: Teorías cognitivas del aprendizaje. Madrid, Morata, 1989.
RODRIGUEZ ESTRADA, M.; AUSTRIA TORRES, H.: Formación de instructores. Mc Graw-
Hill, México, 1990, cap. 4.
NICKERSON y PERKINS: Enseñar a pensar. Barcelona, Paidós, 1987.
REUNIÓN 2
Revise la clase en que se utiliza el caso “Un día en la vida de Evaristo” y responda las siguientes
preguntas:
¿El caso “Un día en la vida de Evaristo” se encuadra en alguno de los tipos de casos que
presenta el artículo o reúne características de algunos de ellos? ¿Por qué?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
¿Qué ideas del artículo le resultan útiles para utilizar en la aplicación del caso “Un día en
la vida de Evaristo”?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
¿Qué otras preguntas agregaría para mejorar el análisis del caso “Un día en la vida de
Evaristo”?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
La exposición oral
Debido a que buena parte de las reuniones del curso de seguridad de la información que
debe dictar se desarrolla sobre la base de la exposición oral, le sugerimos la lectura de este
documento.
Definición
Consiste en una charla o presentación verbal dada por el instructor o expositor ante un
público. Su objetivo es que el conferencista transmita aspectos de sus conocimientos al
grupo, del cual se espera que los asimile y retenga.
Estructura
a) Comienzo o introducción
b) Centro o núcleo central
c) Conclusión
a) Comienzo
Conviene señalar:
Quién es usted (el conferencista)
Para qué está allí
Su autoridad (competencias, antecedentes) para dirigirse al grupo
Objetivos de la presentación
Estructura de la exposición
Definiciones técnicas (o explicitación de marcos conceptuales)
Antecedentes del tema
Justificación de la importancia del tema para los participantes
b) Centro o núcleo
Debe incluir:
Puntos clave analizados consecutivamente
Comparaciones entre diferentes enfoques del problema o tema de la exposición
Ejemplos o anécdotas personales que ilustren el tema
Planteo de preguntas
Síntesis parciales
Solicitud de comentarios a los asistentes (para evaluar el grado de asimilación
de los contenidos)
c) Conclusión
Se recomienda:
Hacer un repaso de la información presentada
Recalcar los principales mensajes o puntos del aprendizaje
Hacer una recapitulación vinculada al futuro o a la evolución de la problemática
tratada en el futuro
Formular aplicaciones posibles del tema a diversas áreas de actividad
Comparar los resultados con los objetivos planteados
Ventajas
Desventajas
Bibliografía
El trabajo con grupos pequeños es una parte significativa del aprendizaje activo. Es
importante formar grupos rápida y eficientemente y, al mismo tiempo, variar la composición
y, en ocasiones, el tamaño de los grupos en el transcurso de un encuentro de capacitación
de adultos. Las siguientes son alternativas interesantes para permitir que los participantes
elijan sus propios grupos o dividirlos en una cantidad de equipos designada por el instructor.
Tarjetas de agrupación
Rompecabezas
Comprar rompecabezas o crear los propios con imágenes de revistas: se pegan sobre
un cartón y se cortan con la forma y el tamaño que se desee. El número de
rompecabezas debe coincidir con la cantidad de grupos que se quieran formar.
Separar los juegos, mezclar las piezas y entregar una pieza a cada participante. Cuando
haya que formar los grupos, pedir a los participantes que encuentren a los compañeros
con las piezas necesarias para completar un rompecabezas.
Crear una lista de familiares y amigos famosos y ficticios, en grupos de tres o cuatro
(por ejemplo Bart, Lisa, Marge y Homero Simpson; Roxy, Panigassi, Jorge y Felicidad;
Diego Maradona, Claudia, Dalma y Yanina; Mafalda, Susanita, Manolito y Felipe;
Patoruzú, Ña Chacha, Upa y Patora). Escoger tantos personajes de ficción como
cursantes haya. Escribir los nombres ficticios en tarjetas, uno por cada una, para crear
una familia de tarjetas.
Cuando esté listo para formar los grupos, pida a los participantes que encuentren a los
otros miembros de su “familia”. Una vez que esté completo el grupo famoso, podrán
encontrar un lugar donde congregarse.
Cumpleaños
Pedir a los asistentes que se ordenen según sus fechas de cumpleaños y luego dividirlos en
la cantidad de grupos que se necesiten para una actividad en particular. Con grupos
numerosos, formar subgrupos según el mes de nacimiento. Por ejemplo, 60 alumnos
pueden repartirse en tres grupos de aproximadamente el mismo tamaño, formados por
nacidos en (1) enero, febrero, marzo y abril; (2) mayo, junio, julio y agosto; (3) septiembre,
octubre, noviembre y diciembre.
Naipes
Utilizar un mazo de naipes para designar a los grupos. Por ejemplo, con sotas, reinas, reyes
y ases se pueden formar cuatro grupos de cuatro integrantes. Mezclar los naipes y repartir
uno a cada participante. Luego, pedirles que ubiquen a los de su misma clase para formar
un grupo.
Extraer números
Determinar el número y el tamaño de los grupos que se deseen formar; colocar papeles con
números dentro de una caja, Los asistentes extraen un número que les indica el grupo al
cual pertenecen. Por ejemplo, si desea formar cuatro equipos de cuatro, tendrá que
preparar dieciséis papeles con números del 1 al 4.
Sabores
Distribuir golosinas de distintos sabores para indicar los grupos. Por ejemplo, los equipos
pueden ser: limón, uva, cereza y menta.
Material impreso
El material impreso que se reparte entre los participantes puede estar codificado con clips de
colores, folletos con distintas tonalidades o etiquetas pegadas sobre las carpetas. De ese
modo quedarán predeterminados los grupos.
Una manera de facilitar el aprendizaje activo en grupos pequeños es asignar roles a algunos
integrantes, por ejemplo: líder, facilitador, cronometrista, portavoz, observador del proceso
o administrador del material impreso. En ocasiones, sólo habrá que pedir voluntarios que
asuman estas responsabilidades, pero algunas veces es divertido y eficiente utilizar una
estrategia de selección creativa.
La demostración
FUENTE: “Estrategias metodológicas”. Separata de: RUBBO, Elsa; LEMOS, Elisa: Manual del
formador. Buenos Aires, INAP, DNC, 1995.
¿Qué ideas, prácticas, técnicas puede extraer de los documentos anteriores que le
sirvan para incorporar en su propio diseño?
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
REUNIÓN 3
“La evaluación siempre consiste en una determinación de los méritos y los defectos. A veces,
es mucho más, pero su función esencial es la de establecer el mérito de algo. Ésta es su
finalidad primera. Ésta es su definición…”
1
BARBERÁ, Elena: “Aportaciones de la tecnología a la e-Evaluación”. En RED. Revista de
Educación a Distancia: http://www.um.es/ead/red/M6
Descripción Se realiza como los casos que se diseñan como estrategia para la enseñanza
de un tema. Es necesario describir la situación; en esto se diferencia de la
técnica anterior (situación problemática), en la cual se plantea brevemente la
situación a resolver.
Ventajas Para el taller de capacitación en seguridad informática es una técnica muy
adecuada: primero, porque los participantes tienen ya experiencia en haber
resuelto casos y segundo, porque permite reproducir situaciones de la realidad
laboral de los participantes, de modo que puedan anticipar la aplicación de los
conocimientos a sus puestos de trabajo.
Limitaciones La limitación que puede señalarse es el tiempo que insume pero, al ser tan
indicada para los contenidos en seguridad informática, conviene invertir el
tiempo en aplicar esta técnica.
Descripción Se plantea un dilema, por ej.: “dicen que las medidas para proteger la
seguridad de la información son necesarias para evitar que se produzcan
incidentes, pero en mi trabajo se aplican y los incidentes no disminuyen”.
Luego se propone la reflexión por pequeños grupos o por parejas, que
deberán argumentar a favor o en contra de la afirmación, fundamentando en
los contenidos aprendidos durante el taller.
Ventajas También es una técnica adecuada para el taller de seguridad de la información
ya que permite integrar contenidos y aplicarlos en el análisis de una afirmación
relacionada con los temas tratados.
Limitaciones Es necesario construir cuidadosamente las afirmaciones y definir los
contenidos que se espera que los participantes utilicen en el análisis.
Esta técnica es apropiada para evaluar la ejecución de una actividad. Cuando se utiliza, el instructor
observa al participante mientras efectúa la actividad que le ha sido solicitada y evalúa su ejecución.
Se evalúa el nivel de ejecución de acuerdo a los objetivos de aprendizaje y es conveniente observar
tanto el proceso como el producto, para lo cual se recomienda utilizar una lista de control con la
cual registrar el cumplimiento de los pasos requeridos y una escala (preferentemente ordinal) con la
cual registrar el nivel de corrección en la realización de los pasos.
Evaluación de satisfacción
Con esta evaluación obtenemos información sobre la opinión que se llevan los
participantes acerca del desarrollo del curso; por ejemplo: el tratamiento y la utilidad
Esta evaluación hace referencia a los cambios que se esperan en la organización una
vez que los participantes han finalizado el proceso de capacitación y regresan a sus
puestos de trabajo.
En el caso del taller de seguridad de la información, un resultado esperado puede ser:
“disminución de los incidentes reportados originados en incumplimiento de las normas
de seguridad de la información”.
Para construir este ítem, usted debe completar los puntos 1. Fundamentación y 2.
Contribución esperada del documento Componentes para la presentación de
diseños de actividades de capacitación.
De esta manera, a partir de las necesidades organizacionales que generan la
demanda de un taller en seguridad de la información, usted podrá identificar los
resultados esperados, que le servirán de guía para la evaluación de resultados de la
capacitación.
Bibliografía sugerida
LE BOTERF, Guy: Ingeniería de las competencias. 1ª. ed., Coed. Epise, Training Club y
Gestión 2000, Barcelona, 2001.
O´CONNOR, Joseph; SEYMOUR, John: PNL para formadores. Barcelona, Urano, 1996.
GORE, Ernesto; VAZQUEZ MAZZINI, Marisa: Una introducción a la formación en el
trabajo. Buenos Aires, FCE, 2004.
PAÍN, Abraham: Cómo evaluar las acciones de capacitación. Buenos Aires, Granica,
1993.
RODRIGUEZ ESTRADA, Mauro; AUSTRIA TORRES, Honorata: Formación de
instructores. México, D.F., Mc Graw-Hill, 1990.
STAKE, Robert: Evaluación comprensiva. 1ª. ed., Barcelona, Graó, 2006
ZABALZA, Miguel A. Diseño y desarrollo curricular. 6ª ed., Madrid, Narcea, 1995.
Contenidos
Amenazas a la Seguridad de la Información
Confidencialidad
Integridad
Disponibilidad
Incidentes de seguridad
Políticas de Seguridad de la Información
Normas vigentes
Apertura
Descripción de la actividad Tiempo
sugerido
Preséntese y dé la bienvenida a los participantes. Diga su nombre, qué tareas 5’
desempeña en el organismo y para qué está Ud. allí.
Pida a los participantes que se presenten: que digan su nombre, el área a la que 10’
pertenecen y que se caractericen brevemente como usuarios de sistemas
informáticos.
Presente el programa del curso. Entregue una copia impresa del programa a cada 5’
participante y solicite que lo lean en forma individual.
Pregunte a los participantes qué les parece el programa y si responde a las 5’
expectativas que tienen sobre el curso.
Desarrollo
Realice la siguiente ACTIVIDAD GRUPAL: “EL VALOR DE LOS ACTIVOS”
Pida a los grupos que respondan esta pregunta y traten de describir el procedimiento.
Haga una puesta en común de las respuestas de los grupos y anótelas en la pizarra. 10’
Registre todas las respuestas.
Pregunte a los participantes en general, qué conclusiones se pueden extraer a partir 5’
de las respuestas obtenidas.
Pregunte a los participantes en general, si puede establecerse una relación entre la 5’
preservación (registro y cuidado patrimonial) de los bienes materiales y la
preservación de la información del organismo.
Anote las conclusiones en la pizarra.
En este cuadro vemos que las amenazas pueden tener un origen natural o 6 10’
humano. Dentro de las amenazas provocadas por el hombre, encontramos
que estas pueden ser maliciosas (deliberadas) por un lado y no maliciosas
(no intencionales) por el otro.
Las amenazas maliciosas comprenden las actividades propiamente
delictivas, de intrusión (ingresar sin autorización a un sitio o sistema
privado), fraude, sabotaje, etc.
Las no maliciosas de origen humano involucran a las operaciones que, por
desconocimiento, impericia o negligencia, provocan algún incidente de
seguridad. Este curso intenta impartir conocimientos de seguridad sobre
los sistemas de información, de manera de minimizar los incidentes que
pudieran ocasionarse en forma no intencional.
Por último mencionamos las amenazas de origen natural, generalmente
desastres naturales como inundaciones o terremotos, aunque también hay
que tener en cuenta el corte de servicios (energía eléctrica, conectividad,
etc.).
Por otro lado, el software es considerado una obra intelectual que goza de 26 a 10´
la protección de la Ley 11.723. Esta ley permite que la explotación de la 27
propiedad intelectual sobre los programas de computación se realice
mediante licencias para su uso o reproducción. Por tal motivo, toda
conducta que vaya en contra de lo dispuesto en dichas licencias violará
los derechos del autor de la obra y genera responsabilidad administrativa,
civil y penal.
Instalar un programa sin contar con la debida licencia, puede traer
consecuencias legales tanto para el organismo como para quien lo instala.
Cierre
Actividad Grupal
El objetivo de esta actividad es que los participantes recapitulen los contenidos presentados y
reflexionen sobre ellos.
Recapitulación
Una vez terminada la reunión, escriba los momentos que considera que fueron los más
importantes. Registre también la percepción que usted tuvo sobre los intereses de los participantes
y su nivel de participación e involucramiento con el tema.
Bibliografía de referencia
http://www.arcert.gov.ar, Coordinación de Emergencias en Redes Teleinformáticas,
Subsecretaría de Gestión Pública.
Modelo de Política, aprobado por la ONTI mediante la Disposición 006/2005, 25/07/2005.
Disposición Nº 06/2005, Política de Seguridad de la Información Modelo, 3/08/2005.
Resolución SGP 45/2005, Política de Seguridad de la Información, Subsecretaría de la Gestión
Pública, 24/06/2005
Decisión Administrativa 669/2004, Política de Seguridad de la Información, Sector Público
Nacional – Adecuación, Jefatura de Gabinete de Ministros, 20/12/2004
http://infoleg.mecon.gov.ar, Información Legislativa - Ministerio de Economía y Producción
Contenidos
Apertura
Descripción de la actividad Tiempo
sugerido
Consulte a los participantes acerca de dudas que hayan quedado sobre lo visto en la 5’
reunión anterior.
Presente los temas que se tratarán en esta reunión. 5’
Desarrollo
El objetivo es que los participantes adquieran conciencia sobre las condiciones de seguridad en las
tareas cotidianas y se introduzcan en el tema de e-mails inseguros e ingeniería social.
Solución
A continuación se listan situaciones anómalas que los asistentes deberían identificar:
1) Cuando Evaristo ingresa su clave, utiliza 8 caracteres y recuerda a su hija Florencia, por lo que
podemos inferir que su clave es un nombre propio, y además el de un familiar.
2) Deja la máquina desatendida, mientras llegan sus correos a su cuenta de mail, y va a buscar
café.
3) Recibe un mail supuestamente de su primo (situación que no verifica) y que contiene un
archivo adjunto. Éste a su vez, es un ejecutable (extensión .exe) y por lo que se desprende
del texto lo ejecuta para ver de qué se trata.
4) La situación con Paez Umpierrez es en conjunto, un caso de Ingeniería Social. Evaristo no
verifica de quién se trata, ni si lo están llamando desde el mismo organismo, y finalmente,
accede a entregarle documentación vía correo electrónico.
5) Paez Umpierrez le solicita la documentación a una cuenta de Hotmail, en este caso, tal que ni
siquiera valida que se trate de alguien que trabaja en el organismo. Recordemos que
finalmente, no debería entregar información confidencial sin la debida autorización.
6) Para “salvar” la situación, intenta ubicar el documento en el equipo de un compañero, cuando
no debería guardarse información confidencial en un equipo de escritorio.
7) Para obtener acceso al equipo de un compañero de trabajo, pregunta por la clave de acceso,
que es conocida por el resto de la gente de la oficina, y además, es trivial.
8) Para culminar, Evaristo no chequea la información del mail enviado, y equivoca la dirección
del supuesto Paez Umpierrez.
Se exponen a continuación, algunas de las técnicas utilizadas para formar 7a8 10’
una clave robusta, que conjugan cierta dificultad para averiguarla con
características que permiten que los usuarios la puedan recordar
fácilmente.
No utilice palabras comunes ni nombres de fácil deducción por terceros
(nombre de mascota, nombre de equipo de fútbol favorito), ya que
estas claves podrían ser obtenidas fácilmente mediante el uso de
técnicas automáticas que prueben acceder a la cuenta del usuario con
palabras extraídas de diccionarios de palabras comunes.
No las vincule a una característica personal, (teléfono, D.N.I., patente
del automóvil, etc.).
No utilice terminología técnica conocida (admin)
Combine caracteres alfabéticos, mayúsculas y minúsculas, números,
caracteres especiales como espacio, guión, símbolo $, etc.
Constrúyalas utilizando al menos 8 caracteres.
Use claves distintas para máquinas diferentes y/o sistemas diferentes.
Use un acrónimo de algo fácil de recordar
Ej: NorCarTren (Norma , Carlos, Tren)
Añada un número al acrónimo para mayor seguridad: NorCarTren09
PAUSA 15’
Para evitar que la Ingeniería Social sea utilizada para atacar los sistemas de 22 5’
información, se debe primeramente informar a las potenciales víctimas
sobre este tipo de técnicas, de forma que se encuentren prevenidas y
puedan reaccionar con el objeto de rechazar estos ataques.
Aquí se exponen algunas consideraciones a tener en cuenta, a fin de
mitigar los intentos de Ingeniería Social.
De más está decir que continuamente se ingenian nuevas estrategias, por
lo que insistimos con ser precavidos y estar alertas. (ya que siempre se
puede armar un manual de técnicas conocidas, lo que no se puede
asegurar es que sirva para todos los casos, que no habrá cosas nuevas,
etc.)
Algunas otras medidas para evitar ataques durante la navegación son: 26 10’
1) Evitar acceder a sitios desconocidos o no confiables, ya que los mismos
pueden contener contenido malicioso que permita descargar y ejecutar
programas maliciosos en su estación de trabajo.
2) Asegurarse de que el navegador no acepte la instalación de software
descargado de Internet en forma automática
3) No descargar de Internet archivos ejecutables
4) No introducir información sensible en sitios o foros
5) Si se necesita introducir información sensible en un sitio web,
asegurarse de que la página es segura (https) y verificar que el
certificado que presenta la misma es válido:
Correspondencia entre el nombre de dominio del certificado y el
nombre del sitio web al que se accede.
Vigencia.
Autoridad Certificante confiable.
6) El administrador de la red muchas veces conoce valores de
configuración que hacen que la navegación por Internet sea más
segura.
Otra tecnología que presenta amenazas a la seguridad son las redes P2P. 31 5’
Este tipo de redes se caracterizan por constituirse por un conjunto de
equipos donde ninguno es cliente y ninguno es servidor, sino que todos
comparten uno o más servicios o funcionalidades. Algunos ejemplos son las
redes conformadas para sistemas de telefonía y videoconferencia (Skype,
etc.), y el software para compartir archivos de todo tipo (música, películas,
programas de televisión, software, juegos, libros digitales) a través de
Internet. (Ej.: Emule, BitTorrent, etc.).
Si bien estas redes aparentan proveer sólo facilidades y ventajas, presentan 32 10’
también riesgos para la seguridad de la información.
Las estaciones de trabajo están más expuestas, por que pueden dar a
conocer su dirección IP y muchas veces deben tener un puerto de red
“abierto” desde afuera hacia adentro (es decir desde Internet hacia la red
interna del organismo) para funcionar correctamente. Además, estos
programas suelen usar distintas técnicas para saltear los mecanismos de
protección impuestos por la organización (firewall, Proxy), sin medir las
consecuencias desde el punto de vista de la seguridad de la organización.
Por ejemplo, estas redes se caracterizan por consumir mucho ancho de
banda, tanto para descargar archivos como para compartir archivos que el
usuario ya tiene. Esto puede significar que no se pueda utilizar la conexión
a Internet para los usos legítimos, por falta de disponibilidad del recurso.
Por otra parte, el usuario puede estar compartiendo archivos que no
deseaba compartir, y eso puede incluir archivos confidenciales.
Además, se puede incurrir en un delito cuando se descarga material
protegido por las leyes de propiedad intelectual (por ejemplo, al descargar
música o películas).
Otro punto importante es que muchas veces, cuando se descargan
programas, juegos, etc., los mismos han sido modificados para contener
código malicioso, que permite al atacante tomar el control del sistema
infectado. Existen estimaciones que hablan de que uno de cada diez
programas descargados mediante estas redes puede contener código
malicioso.
Cierre
Realice la siguiente ACTIVIDAD GRUPAL – UN DIA EN LA VIDA DE JUAN:
El objetivo es que los participantes adquieran conciencia sobre la posibilidad de ser víctimas de
ataques de phishing.
Solución
A continuación se listan situaciones anómalas que los asistentes deberían identificar:
1) Juan utiliza la cuenta de correo institucional para actividades personales. Esto no es
adecuado, ya que el correo institucional es propiedad del organismo y debe ser empleado sólo
para actividades laborales.
2) El Administrador de Sistemas sabe de las actividades extra-laborales de Juan en Internet, y no
toma ninguna acción al respecto por amiguismo.
3) Al leer el supuesto mensaje de la empresa PayPal accede al link para “Donar” dinero, cuando
no es aconsejable acceder a enlaces desde mensajes de correo electrónico.
4) Juan no verifica la dirección adonde lleva dicho enlace.
5) Juan ingresa sus datos personales (incluyendo los de su tarjeta de crédito) en una página
desconocida, sin siquiera verificar que se trate de una página segura.
6) Probablemente en un futuro cercano, Juan sea víctima de lo siguiente:
uso indebido de sus datos personales
spam
operaciones no autorizadas con su tarjeta de crédito
Bibliografía de referencia
http://www.arcert.gov.ar, Coordinación de Emergencias en Redes Teleinformáticas, Subsecretaría
de Gestión Pública.
Modelo de Política, aprobado por la ONTI mediante la Disposición 006/2005, 25/07/2005.
http://www.arcert.gov.ar/webs/tips/recomendaciones_email.pdf, Recomendaciones para el uso
seguro del correo electrónico, ArCERT, Subsecretaría de la Gestión Pública, 2006.
http://www.arcert.gov.ar/webs/tips/recomendaciones_phishing.pdf, Recomendaciones para evitar
ser victima del "phishing", ArCERT, Subsecretaría de la Gestión Pública, 2006.
Manual de Seguridad en Redes, ArCERT, Subsecretaría de la Gestión Pública, 1999.
Contenidos
Uso seguro del correo electrónico
Firma Digital: funcionamiento y beneficios
Reporte de incidentes de seguridad
Apertura
Descripción de la actividad Tiempo
sugerido
Consulte a los participantes acerca de dudas que hayan quedado sobre lo visto en la 5’
reunión anterior.
Desarrollo
Realice la siguiente ACTIVIDAD GRUPAL – PEDRO Y LA FIRMA DIGITAL
El objetivo es que los participantes adquieran conciencia sobre las condiciones de seguridad en las
tareas cotidianas y se introduzcan en el tema de firma digital.
Solicite que lean el documento completo y asigne el tiempo sugerido para que escriban 15’
una puesta en común sobre la consigna del caso.
ANÁLISIS 10’
Haga una puesta en común de las respuestas de los grupos y anótelas en la pizarra.
Registre todas las respuestas.
Solución
Los correos electrónicos son un medio ampliamente utilizado para la 4a5 10’
Una de las operaciones más frecuentes es el reenvío de mensajes. Esta 6a7 10’
operación involucra la utilización de un mensaje recibido como base para
el envío de uno nuevo a otros destinatarios.
Generalmente, por omisión, el cliente de correo electrónico (Outlook,
Thunderbird, etc.) repite el cuerpo del mensaje y el encabezado. Por esta
razón, el nuevo destinatario recibirá información acerca del autor y los
destinatarios originales, sin poder estos controlar el destino del mensaje
enviado, que a su vez suele ser reenviado sucesivamente.
Esto no sólo presenta una amenaza a la confidencialidad de la información
contenida en el mensaje, sino que además facilita la propagación de virus
(ya que al reenviar un mail conteniendo un virus el mismo será recibido
por otros usuarios) y promueve el envío de “correo no solicitado” (en caso
de reenvíos masivos)
Cuando sea necesario reenviar un mensaje, elimine los datos del emisor 8 5’
original (si corresponde, a menos que necesite hacer mención explícita y
textual del mensaje original, por ejemplo en el seguimiento de un tema en
un ambiente colaborativo), o copie el contenido en uno nuevo.
Si envía un mensaje a más de una persona, agregue las direcciones como
“CCO” o copia oculta, para evitar que cada receptor vea las direcciones de
correo del resto de los destinatarios.
PAUSA 15’
Puesta en común. Solicite a los grupos que expongan sus listados. Realice un 10’
resumen en la pizarra para analizar coincidencias y diferencias.
Luego solicite a los grupos que respondan la encuesta sobre sus impresiones 10’
generales de ésta capacitación.
Bibliografía de referencia
http://www.arcert.gov.ar, sitio de ArCERT (Coordinación de Emergencias en Redes
Teleinformáticas) Subsecretaría de Gestión Pública.
Modelo de Política, aprobado por la ONTI mediante la Disposición 006/2005, 25/07/2005.
Manual de Seguridad en Redes, ArCERT, Subsecretaría de la Gestión Pública, 1999.
http://www.pki.gov.ar, sitio de Firma Digital de la República Argentina, Subsecretaría de la
Gestión Pública.
Ley Nº 25.506, Firma Digital, 11/12/2001.
Decreto Nº 2628/02, Reglamentación de la Ley Nº 25.506 de Firma Digital, 19/12/2002.
Decreto Nº 724/06, Modificación de la reglamentación de la Ley Nº 25.506 de Firma Digital,
08/06/2006
PROGRAMA REDUCIDO
Contenidos
Amenazas a la Seguridad de la Información
Confidencialidad
Integridad
Disponibilidad
Políticas de Seguridad de la Información
Normas vigentes
Mecanismos de control de acceso a los sistemas de información
Administración de claves de acceso
Política de pantalla y de escritorios limpios
Ingeniería Social
Código Malicioso
Amenazas en la navegación por Internet
Uso seguro del correo electrónico
Reporte de incidentes de seguridad
Desarrollo
Desarrolle la siguiente EXPOSICION ( Utilice el Archivo curso-reducido.ppt )
En este cuadro vemos que las amenazas pueden tener un origen natural o 6 5’
humano. Dentro de las amenazas provocadas por el hombre,
encontramos que estas pueden ser maliciosas (deliberadas) por un lado y
no maliciosas (no intencionales) por el otro.
Las amenazas maliciosas comprenden las actividades propiamente
delictivas, de intrusión (ingresar sin autorización a un sitio o sistema
privado), fraude, sabotaje, etc.
Las no maliciosas de origen humano involucran a las operaciones que, por
desconocimiento, impericia o negligencia, provocan algún incidente de
seguridad. Este curso intenta impartir conocimientos de seguridad sobre
los sistemas de información, de manera de minimizar los incidentes que
pudieran ocasionarse en forma no intencional.
Por último mencionamos las amenazas de origen natural, generalmente
desastres naturales como inundaciones o terremotos, aunque también hay
que tener en cuenta el corte de servicios (energía eléctrica, conectividad,
etc.).
requieran
Supongamos que un organismo publica información importante en su sitio
web, como por ejemplo vencimientos de pagos o instrucciones para
realizar un trámite complicado, presentación en línea de declaraciones
juradas, y alguien impide que se pueda acceder a dicho sitio.
Por otro lado, el software es considerado una obra intelectual que goza de 17 10´
la protección de la Ley 11.723. Esta ley permite que la explotación de la
propiedad intelectual sobre los programas de computación se realice
mediante licencias para su uso o reproducción. Por tal motivo, toda
conducta que vaya en contra de lo dispuesto en dichas licencias violará
los derechos del autor de la obra y genera responsabilidad administrativa,
civil y penal.
Instalar un programa sin contar con la debida licencia, puede traer
consecuencias legales tanto para el organismo como para quien lo instala.
Verdel4ydos.
Elija una palabra sin sentido, aunque pronunciable. (galpo-glio).
Realice reemplazos de letras por signos o números. (3duard0palmit0).
Elija una clave que no pueda olvidar, para evitar escribirla en alguna
parte. (arGentina6-0).
PAUSA 10’
Para evitar que la Ingeniería Social sea utilizada para atacar los sistemas 32 2’
de información, se debe primeramente informar a las potenciales víctimas
sobre este tipo de técnicas, de forma que se encuentren prevenidas y
puedan reaccionar con el objeto de rechazar estos ataques.
Aquí se exponen algunas consideraciones a tener en cuenta, a fin de
mitigar los intentos de Ingeniería Social.
De más está decir que continuamente se ingenian nuevas estrategias, por
lo que insistimos con ser precavidos y estar alertas. (ya que siempre se
puede armar un manual de técnicas conocidas, lo que no se puede
asegurar es que sirva para todos los casos, que no habrá cosas nuevas,
etc.)
Algunas otras medidas para evitar ataques durante la navegación son: 36 10’
1. Evitar acceder a sitios desconocidos o no confiables, ya que los
mismos pueden contener contenido malicioso que permita descargar y
ejecutar programas maliciosos en su estación de trabajo.
2. Asegurarse de que el navegador no acepte la instalación de software
descargado de Internet en forma automática.
3. No descargar de Internet archivos ejecutables.
4. No introducir información sensible en sitios o foros.
5. Si se necesita introducir información sensible en un sitio web,
asegurarse de que la página es segura (https) y verificar que el
certificado que presenta la misma es válido:
Correspondencia entre el nombre de dominio del certificado y el
seguridad, etc.
Nótese que se indica que “un intento” de romper un mecanismo de
seguridad también es considerado un incidente, ya que muchas veces los
intentos fallidos ponen a prueba los sistemas de seguridad o nos hacen
revisar su confiabilidad.
Cierre
Realice la siguiente actividad de evaluación.
Bibliografía de referencia
http://www.arcert.gov.ar, Coordinación de Emergencias en Redes Teleinformáticas,
Subsecretaría de Gestión Pública.
Modelo de Política, aprobado por la ONTI mediante la Disposición 006/2005, 25/07/2005.
Manual de Seguridad en Redes, ArCERT, Subsecretaría de la Gestión Pública, 1999.
http://www.pki.gov.ar/, sitio de Firma Digital de la República Argentina, Subsecretaría de la
Gestión Pública, 2006.
Ley Nº 25.506, Firma Digital, 11/12/2001.
Decreto Nº 2628/02, Reglamentación de la Ley Nº 25.506 de Firma Digital, 19/12/2002.
Decreto Nº 724/06, Modificación de la reglamentación de la Ley Nº 25.506 de Firma Digital,
08/06/2006
Usted puede usar el diseño básico que figura en los materiales pero ajustándolo a:
Los contenidos de aprendizaje son los temas que hemos seleccionado y organizado para
nuestra actividad de capacitación. En este caso, le solicitamos que, tanto para la actividad breve
como para la actividad extendida, respete los contenidos mínimos incluidos en la propuesta del
material.
Usted puede incorporar algunas técnicas en su estrategia metodológica de acuerdo con los
distintos momentos de apertura, de desarrollo o de cierre de cada reunión. Para eso, le
ofrecimos algunas ideas cuando abordamos los contenidos pedagógicos correspondientes a la
Reunión Nº 2. Ahora recuperamos algunas de esas técnicas en el siguiente cuadro2.
2
Fuente: RUBBO, Elsa; LEMOS, Elisa: Manual del Formador. Buenos Aires, INAP, DNC,
1995.
LA DEMOSTRACIÓN
Mediante esta estrategia, el instructor desarrolla un tema, acompañando su explicación verbal con la
realización de movimientos, presentación de gráficos, manejo de equipos o aparatos, empleo de
medios audiovisuales diversos.
Su uso es indicado para que los participantes aprendan destrezas y procedimientos, para explicar
principios científicos y el movimiento o relación de las piezas de una herramienta o mecanismo.
Actualmente, con el desarrollo de la Informática, la demostración ha resultado una de las estrategias
más empleadas, fundamentalmente para la presentación de productos y para mostrar contenidos de
tipo procedimental.
La demostración habrá de completarse con la práctica del participante, a fin de que pueda adquirir la
destreza o habilidad implícita en el objetivo.
BIBLIOGRAFÍA
AGUILAR, María José: Cómo animar un grupo. Técnicas grupales. 1ª edición. Buenos
Aires, Kapelusz, 1990.
BRITES, Gladys; ALMOÑA, Ligia: Inteligencias múltiples. Juegos y dinámicas. Buenos
Aires, Bonum, 2004.
FRITZEN, Silvino José: 70 ejercicios prácticos de dinámica de grupo. 3ª edición,
Santander, Sal Terrae, 1988.
LEIGH, David: Como entrenar un grupo eficiente. Métodos prácticos. Bogotá, Legis,
1992.
O´CONNOR, J. SEYMOUR, J.: PNL para formadores. Bs. As., Urano, 1996.
RAE, Leslie: Manual de formación de personal. Técnicas para directivos y profesionales.
Madrid, Díaz de Santos, 1994.
http://www.gerza.com
http://www.formaciondeformadores.com
Con respecto a los recursos didácticos, le sugerimos que utilice los que ha recibido con el
material, también fueron elaborados especialmente para la formación de instructores. Como se
trata básicamente de presentaciones, es importante que los tome como un recurso que lo
ayudará en su exposición oral; y no como el componente esencial de su estrategia.
A los efectos de equilibrar las estrategias y los recursos en su diseño didáctico, tenga en cuenta
las siguientes apreciaciones:
Si solo escucho, puedo olvidar
Si también veo, puedo recordar
PARTE E – BIBLIOGRAFÍA