Your SlideShare is downloading. ×
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Seguridad de la informacion en los recursos humanos

1,730

Published on

Published in: Education
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,730
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
51
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. 2010 Licenciatura en Ingeniería en Sistemas y Computación Edilberto De Gracias, Joaquín De León y Nuris Del Cid. [Seguridad De Información En El Recurso Humano] Es el proceso de planear, organizar, dirigir y controlar los esfuerzos de los miembros de la organización y de aplicar los demás recursos de ella para alcanzar las metas establecidas. James A. F. Stoner y Charles Wankel.
  • 2. Universidad Tecnológica de Panamá Centro Regional de Chiriquí Facultad de Ingeniería de Sistemas Computacionales Licenciatura en Ingeniería en Sistemas y Computación Seguridad en Tecnología de Computación Parcial #1 Seguridad de Información en el Recurso Humano Estudiantes: De Gracia, Edilberto 4-744-2500 De León, Joaquín 4-738-1413 Del Cid, Nuris 4-741-1573 Facilitador: Profesor René Saldaña Fecha de Entrega: Jueves, 22 de abril de 2010. I Semestre
  • 3. ÍNDICE GENERAL Introducción. Seguridad de Información en el Recurso Humano. o Administración de los Recursos Humanos de los Sistemas de Información.  Reclutamiento.  Capacitación.  Motivación.  Rotación de Personal.  Funciones.  Ética. o Evaluación del Perfil de Oficiales de Informática.  Niveles de acceso, según funciones. Recomendaciones Conclusiones Referencias Bibliográficas
  • 4. SEGURIDAD DE INFORMACIÓN EN EL RECURSO HUMANO La Seguridad de Información: La seguridad de la información consiste en proteger uno de los principales activos de cualquier empresa: la información. La seguridad de la información es requisito previo para la existencia a largo plazo de cualquier negocio o entidad. La información es usada en cada uno de los ámbitos empresariales, los cuales dependen de su almacenamiento, procesado y presentación. Los tres fundamentos básicos de la seguridad en la información son: Confidencialidad. La información debe ser accedida sólo por las personas autorizadas a recibirla. Integridad. La información debe ser correcta y completa. Disponibilidad. La información debe estar disponible siempre que sea necesario. La Seguridad con los Recursos Humanos: La gestión de la seguridad de la información, al igual que la mayoría de los ámbitos de la gestión empresarial, depende principalmente de las personas que componen la Organización. La información sólo tiene sentido cuando es utilizada por las personas y son estas, quienes en último término, deben gestionar adecuadamente este importante recurso de la empresa. Por tanto, no se puede proteger adecuadamente la información sin una correcta gestión de los Recursos Humanos. El departamento de Seguridad quien se encargue de la Seguridad: Proteger los activos de información con los que cuenta una empresa es una tarea que no sólo debe implicar al Director de Seguridad, sino que debe ser compartida
  • 5. por toda la Organización. Cada área de Negocio juega su papel: el área de Marketing se centra en la protección de la imagen corporativa, el área Comercial está más relacionado con la protección de los datos de los clientes, IT se ocupa de la correcta protección de sus Sistemas de Información, etc. Pero sin duda, una de las áreas que más importancia tiene en la seguridad de la información es el departamento encargado de gestionar los Recursos Humanos. Aspectos como la formación de los empleados, la captación y selección de nuevos miembros de la plantilla, la gestión de empleados que abandonan la Organización o la implementación de la normativa interna, son fundamentales en el tema que nos ocupa. 1. Administración de los Recursos Humanos de los Sistema Información. La administración de los recursos humanos consiste en aquellas actividades diseñadas para ocuparse de y coordinar a las personas necesarias para una organización. La administración de los recursos humanos busca construir y mantener un entorno de excelencia en la calidad para habilitar mejor a la fuerza de trabajo en la consecución de los objetivos de calidad y de desempeño operativo de la empresa. Concepto de Sistema de información Es un sistema de información de RH es un sistema utilizado para reunir, registrar, almacenar, analizar y recuperar datos sobre recursos Humanos de la organización .La mayor parte de los sistemas de información de RH está computarizada. EL sistema de información de RH es un procedimiento sistemático para reunir, almacenar, mantener, combinar y validar datos necesarios para la organización con relación a sus Recursos Humanos y sus respectivas actividades, además de las características de las unidades de la organización.
  • 6. EL SIRH esta planeado para reunir, procesar, almacenar y difundir la información relacionada con los RH, de modo que los gerentes pueden tomar decisiones Eficaces. 1.1.Reclutamiento. El reclutamiento implica un proceso que varía según la organización. Consiste en un conjunto de técnicas y procedimientos orientados a atraer candidatos potencialmente calificados y capaces de ocupar cargos dentro de la organización. Para lograr su cometido, el reclutamiento debe atraer suficiente cantidad de candidatos para abastecer de modo adecuado el proceso de selección. Además, consiste en realizar actividades relacionadas con la investigación e intervención en las fuentes capaces de proveer a la empresa el número suficiente de personas para conseguir los objetivos. El reclutamiento exige una planeación rigurosa constituida por una secuencia de tres fases: a. Investigación interna sobre las necesidades b. Investigación externa del mercado c. Métodos de reclutamiento por aplicar Cada nuevo empleado de la Organización es una apuesta de futuro. La empresa asigna una serie de tareas y responsabilidades al nuevo empleado, y le proporciona los medios materiales y la información necesaria para que pueda llevarlas a cabo. Debe existir un procedimiento de reclutamiento que tenga en cuenta los siguientes aspectos relativos a la seguridad: Definición del puesto: Para cada nueva vacante se debe definir la criticidad del puesto a cubrir según su responsabilidad y la información que maneja. Cada empresa debe definir su criterio propio. Algunos puestos críticos pueden ser directivos, personal de seguridad, personal de contabilidad, etc. Selección: En la selección de candidatos a puestos críticos se deben comprobar los antecedentes penales y las referencias profesionales.
  • 7. Contrato: El contrato laboral debe incluir los correspondientes acuerdos de confidencialidad, propiedad intelectual y protección de datos. Comienzo: Durante los primeros días de trabajo, es recomendable que el empleado: o Asista a unas sesiones de formación donde se le introduzca en la normativa interna y de seguridad de la empresa. De este modo todo empleado conoce sus obligaciones de seguridad tales como la protección de sus claves de acceso, uso adecuado del email e internet, clasificación de la información, etc. o Reciba el manual de normativa interna y firme el compromiso de cumplimiento del mismo. Este trámite establece formalmente las normas internas y garantiza que el empleado conoce la normativa existente. Accesos: Los accesos a la información y sistemas informáticos deben ser solicitados siempre por el responsable directo del empleado al departamento de IT o HelpDesk. Dichos accesos deben ser siempre justificables por la labor que se va a realizar, y en caso de ser privilegiados, el Departamento de Seguridad debe aprobar su concesión.
  • 8. 1.2.Capacitación. La capacitación es un proceso educacional de carácter estratégico aplicado de manera organizada y sistémica, mediante el cual los colaboradores adquieren o desarrollan conocimientos y habilidades específicas relativas al trabajo, y modifica sus actitudes frente a los quehaceres de la organización, el puesto o el ambiente laboral. Beneficios de la Capacitación. La capacitación a todos los niveles constituye una de las mejores inversiones en Recursos Humanos y una de las principales fuentes de bienestar para el personal y la organización. Cómo Beneficia la capacitación a las organizaciones: Conduce a rentabilidad más alta y a actitudes más positivas. Mejora el conocimiento del puesto a todos los niveles. Crea mejor imagen. Mejora la relación jefes-subordinados. Se promueve la comunicación a toda la organización. Reduce la tensión y permite el manejo de áreas de conflictos. Se agiliza la toma de decisiones y la solución de problemas. Promueve el desarrollo con vistas a la promoción. Contribuye a la formación de líderes y dirigentes. Cómo beneficia la capacitación al personal: Ayuda al individuo para la toma de decisiones y solución de problemas. Alimenta la confianza, la posición asertiva y el desarrollo.
  • 9. Contribuye positivamente en el manejo de conflictos y tensiones. Forja líderes y mejora las aptitudes comunicativas. Sube el nivel de satisfacción con el puesto. Permite el logro de metas individuales. Desarrolla un sentido de progreso en muchos campos. Elimina los temores a la incompetencia o la ignorancia individual. Los objetivos de impacto de un Programa de esta naturaleza pueden ser: Intensificación y optimización del impacto de la inversión en capacitación técnica, de modo que la formación contínua se constituya en un eje estratégico para el logro de mejores posiciones competitivas de las empresas y, por otro lado, en el principal vehículo para aumentar la empleabilidad de los trabajadores. Desarrollar actividades de formación orientadas a profesionalizar las relaciones laborales, ampliando el acceso de dirigentes sindicales a una formación de excelencia, a través de la cual se valide como interlocutor efectivo frente a la contraparte empresarial y profundice un estilo de dirigencia basado en el profesionalismo, la responsabilidad y la visión de futuro. Desarrollar experiencias de formación/capacitación que apunten a mejorar la calidad de vida de los trabajadores del sector, asumiendo que su realidad familiar es el espacio fundamental desde donde se construye su bienestar y sus posibilidades de desarrollo personal y social. El contenido de la capacitación puede involucrar cuatro tipos de cambios de comportamiento de los colaboradores.
  • 10. o Transmisión de informaciones: el elemento esencial en muchos programas de capacitación es el contenido: distribuir informaciones entre los capacitados como un cuerpo de conocimientos. A menudo, las informaciones son genéricas, referentes al trabajo: informaciones acerca de la empresa, sus productos, sus servicios, su organización, su política, sus reglamentos, etc. Puede comprender también la transmisión de nuevos conocimientos. o Desarrollo de habilidades: sobre todo aquellas destrezas y conocimientos directamente relacionados con el desempeño del cargo actual o de posibles ocupaciones futuras: se trata de una capacitación a menudo orientado de manera directa a las tareas y operaciones que van a ejecutarse. o Desarrollo o modificación de actitudes: por lo general se refiere al cambio de actitudes negativas por actitudes más favorables entre los colaboradores, aumento de la motivación, desarrollo de la sensibilidad del personal de gerencia y de supervisión, en cuanto a los sentimientos y relaciones de las demás personas. También puede involucrar e implicar la adquisición de nuevos hábitos y actitudes, ante todo, relacionados con los clientes o usuarios. o Desarrollo de conceptos: la capacitación puede estar conducida a elevar el nivel de abstracción y conceptualización de ideas y de filosofías, ya sea para facilitar la aplicación de conceptos en la práctica administrativa o para elevar el nivel de generalización, capacitando gerentes que puedan pensar en términos globales y amplios. 1.3.Motivación. Las grandes empresas utilizan la motivación como un punto a su favor, ya que por medio de ella logran que sus empleados realicen excelentemente las
  • 11. labores asignadas, la motivación es de suma importancia dentro de una organización sobre todo en el área comercial, una empresa integrada por un personal desmotivado tiende a ser ineficiente en sus operaciones. Actualmente las empresas son conscientes de la importancia de poseer una estructura comercial convenientemente cualificada y con un alto grado de motivación, capaz de compartir los objetivos fijados por el propio departamento, haciéndolos suyos. Entendemos por motivación toda fuerza o impulso interior que inicia, mantiene y dirige la conducta de una persona con el fin de lograr un objetivo determinado. En el ámbito laboral «estar motivado» supone estar estimulado e interesado suficientemente como para orientar las actividades y la conducta hacia el cumplimiento de unos objetivos establecidos previamente. Aunque nos centremos en el equipo comercial, puede ser extensible a cualquier otro departamento. Proceso de la motivación La motivación en las personas se inicia con la aparición de una serie de estímulos internos y externos que hacen sentir unas necesidades, cuando éstas se concretan en un deseo específico, orientan las actividades o la conducta en la dirección del logro de unos objetivos, capaces de satisfacer las necesidades. El proceso sigue las siguientes etapas: Estímulo Necesidades Deseos Objetivos Logro de objetivos y satisfacción de necesidades Si aplicamos el proceso de motivación al ámbito comercial, la empresa entre otros estímulos e incentivos puede iniciar la motivación entre sus vendedores aplicando por ejemplo una política de promociones internas. Ésta hará surgir la necesidad que se concretará en la aparición del deseo de ser promocionado dentro del departamento, orientando las actuaciones
  • 12. del comercial hacia la consecución del objetivo «ser uno de los promocionados». A nivel general, podemos establecer la distinción entre dos clases de motivaciones: Motivación intrínseca. Aquella en la que la acción es un fin en sí mismo y no pretende ningún premio o recompensa exterior a la acción. El trabajador se considera totalmente automotivado. Motivación extrínseca. Se produce como consecuencia de la existencia de factores externos, es decir tomando como referencia algún elemento motivacional de tipo económico. Es evidente que si la empresa logra que su estructura comercial esté motivada tanto intrínseca como extrínsecamente, podrá tener a sus trabajadores con un buen nivel de integración y satisfacción, creando un clima laboral que repercutirá positivamente en su nivel de rendimiento, lo que redundará en beneficios para la compañía. Existen diversidad de teorías que centran la atención en uno o varios de los aspectos que forman parte del proceso de motivación de los trabajadores, dentro de las más significativas tenemos: Teoría de Maslow, Teoría de los factores de Herzberg. Teoría de Maslow Maslow estableció una serie de necesidades experimentadas por el individuo, dando origen a la llamada «pirámide de necesidades». Según esta teoría, la satisfacción de las necesidades que se encuentran en un nivel determinado lleva al siguiente en la jerarquía, sin embargo se dan zonas de coincidencia entre un nivel y otro ya que no se da una satisfacción total de las necesidades. Niveles de Necesidades:
  • 13. 1. Necesidades básicas. Se encuentran en el primer nivel y su satisfacción es necesaria para sobrevivir. Son el hambre, la sed, el vestido... 2. Necesidades de seguridad. Están situadas en el segundo nivel, son la seguridad y protección física, orden, estabilidad... 3. Necesidades sociales o de pertenencia. Están relacionadas con los contactos sociales y la vida económica. Son necesidades de pertenencia a grupos, organizaciones... 4. Necesidades de estatus y prestigio. Su satisfacción se produce cuando aumenta la iniciativa, autonomía y responsabilidad del individuo. Son necesidades de respeto, prestigio, admiración, poder... 5. Necesidades de autorrealización. Surgen de la necesidad de llegar a realizar el sistema de valores de cada individuo, es decir lograr sus máximas aspiraciones personales. Teoría de los factores de Herzberg Herzberg considera que existen dos factores que explican la motivación de los trabajadores en la empresa: Factores motivadores. Son los que determinan el mayor o menor grado de satisfacción en el trabajo y están relacionados con el contenido del trabajo: La realización de un trabajo interesante. El logro. La responsabilidad. El reconocimiento. La promoción. Entro otros. Estos factores son los que mueven al trabajador hacia actitudes positivas y a sentir satisfacción.
  • 14. Factores de higiene. Están relacionados con el contexto de trabajo y hacen referencia al tratamiento que las personas reciben en su trabajo: Las condiciones de trabajo. El sueldo. Las relaciones humanas. La política de la empresa. Entre otros. Técnicas de Motivación Promoción en el trabajo. Política salarial. Ambiente de trabajo. Valoración hombre-puesto de trabajo. Medios para Evaluar la Motivación La observación y valoración de las actitudes de los trabajadores. Los cuestionarios o listas de preguntas. Las entrevistas Las encuestas Análisis de las condiciones de trabajo
  • 15. 1.4.Rotación de Personal. Al descender de un macroenfoque (aspecto ambiental del mercado) a un microenfoque (aspecto organizacional), resulta importante destacar otros aspectos de la interacción organización-ambiente. Unos de los aspectos más importantes de la dinámica organizacional es la rotación de personal o turnover. El término de rotación de recursos humanos se utiliza para definir la fluctuación de personal entre una organización y su ambiente; esto significa que el intercambio de personas entre la organización y el ambiente se define por el volumen de personas que ingresan en la organización y el de las que salen de ella. Por lo general, la rotación de personal se expresa mediante una relación porcentual entre las admisiones y los retiros con relación al número promedio de trabajadores de la organización, en el curso de cierto período. Casi siempre la rotación se expresa en índices mensuales o anuales con el fin de permitir comparaciones, para desarrollar diagnósticos, promover disposiciones, inclusive con carácter de predicción. Como todo sistema abierto, la organización se caracteriza por el flujo incesante de recursos necesarios para desarrollar sus operaciones y generar resultados. Se le llama feedback a los mecanismos de control (retroacción o retroalimentación), estos mecanismos deben ser homeostáticos, capaces de controlarse y autorregularse, mediante comparaciones entre ellos, y garantizar un equilibrio dinámico y constante. En la actualidad uno de los problemas que preocupa al área de recursos humanos es el aumento de salidas o perdidas de recursos humanos, situación que hace necesario compensarlas mediante el aumento de entradas. Es decir, los retiros del personal deben ser compensados con nuevas admisiones, a fin mantener el nivel de recursos humanos en proporciones adecuadas para que opere el sistema. Este flujo de entradas y salidas se llama turnover. En toda organización saludable, es normal que se presente un pequeño volumen de entradas y salidas de recursos humanos, lo cual ocasiona una rotación vegetativa (conservación del sistema). Lo ideal es que la rotación se dote de nuevos recursos según las necesidades de personal que se presente en la entidad, para impulsar las operaciones, acrecentar los resultados.
  • 16. Sin embargo, a veces la rotación escapa del control de la organización, cuando el volumen de retiros por decisión de los empleados aumenta notablemente. Cuando el mercado laboral es competitivo y tiene intensa oferta, en general aumenta la rotación de personal. Índice de Rotación de personal: Relación porcentual entre las admisiones y las desvinculaciones de personal, en relación al número medio de miembros de una empresa, en el transcurso de cierto tiempo. Si el índice es muy bajo se da el estancamiento y envejecimiento del personal de la organización. Si el índice es muy elevado se presenta demasiada fluidez y se puede perjudicar a la empresa (falta de estabilidad). Rotación es el abandono del puesto de trabajo por parte de un individuo a una organización. Muchos pueden ser los motivos por los que una persona toma la iniciativa de irse de la organización. Según su grado de intencionalidad la rotación puede ser involuntaria o voluntaria. Será esta última la que represente un problema para las organizaciones. Este tipo de rotación voluntaria supone otros efectos, costos directos para la organización tangibles como intangibles. Los costos tangibles son los asociados con la selección y capacitación de la persona así como del sustituto. En cuanto a los intangibles podemos enumerar la pérdida de productividad o fallas en la calidad o en la prevención de riesgos laborales. Junto con estos costos aparecen otros problemas asociados a la rotación, tales como la disrupción de las estructuras sociales y de comunicación de la organización que puede conllevar a la salida de personal. Algunos autores comenzaron a estudiar también los efectos positivos que la rotación voluntaria tiene en la organización (SATW 1980, Levin y Kleiner, 1992) Una tasa alta de rotación reflejara un bajo índice de efectividad organizacional. El cálculo de índice de rotación de personal se basa en la relación porcentual entre el volumen de entradas y salidas, y los recursos humanos disponibles en la organización durante cierto periodo.
  • 17. 1. En el cálculo del índice de rotación de personal para efectos de la planeación de RH, se utiliza la ecuación: Índice de rotación de personal= A + D / 2 * 100 / PE Donde: A= admisiones de personal durante el periodo considerado (entradas). D= desvinculaciones del personal (por iniciativa de la empresa o por decisión de los empleados) durante el periodo considerado (salidas). PE= promedio efectivo del periodo considerado. Puede ser obtenido sumando los empleados existentes al comienzo y al final del periodo, y dividiendo entre dos. 2. Cuando se trata de analizar pérdidas de personal y sus causas, en el cálculo del índice de rotación de personal no se consideran las admisiones (entradas) sino las desvinculaciones, ya sea por iniciativa de la institución o por parte de los empleados: Índice de rotación de personal= D *100 / PE 3. Cuando se trata de analizar las perdidas y hallar los motivos que conducen a las personas a desvincularse de la organización, solo se tienen en cuenta los retiros por iniciativa de los empleados, y se ignoran por completo los causados por la organización. Índice de rotación de personal= D * 100 / N1 + N2 +…. NN / 2). Donde: D = desvinculaciones espontáneas que deben sustituirse; N1 + N2 +….N n = sumatoria de los números de empleados al comienzo de cada mes A = numero de meses del periodo. 4. Cuando se trata de evaluar la rotación de personal por departamento o secciones, tomados como subsistemas de un sistema mayor -la organización-, cada subsistema debe tener su propio cálculo del índice de rotación de personal, según la ecuación: Índice de rotación de personal = A+ D /2 + R + T / PE * 100
  • 18. Donde: A= personal admitido D= personal desvinculado R= recepción de personal por transferencia de otros subsistemas (departamentos o secciones) T= transferencias de personal hacia otros subsistemas (departamentos o secciones). Dentro de los fenómenos internos que ocurren en la organización, podemos citar: La política salarial de la organización. La política de beneficios de la organización. El tipo de supervisión ejercido sobre el personal. Las oportunidades de crecimiento profesional localizados dentro de la organización. El tipo de relaciones humanas desarrolladas dentro de la organización. Las condiciones físicas ambientales de trabajo ofrecidas por la organización. La moral del personal de la organización. La cultura organizacional desarrollada dentro de la organización. Las políticas de reclutamiento y selección de recursos humanos. Los criterios y programas de entrenamiento de recursos humanos. Las políticas disciplinarias desarrolladas por la organización. Los criterios de evaluación del desempeño. Los grados de flexibilidad de las políticas desarrolladas por la organización. Algunas empresas utilizan la entrevista de desvinculación como el medio principal de controlar y medir los resultados de la política de recursos humanos desarrollada por la organización. Suele ser el principal medio para determinar las causas de la rotación de personal.
  • 19. La entrevista desvinculación trata de darle cobertura principalmente a los siguientes aspectos: Verificación de motivo básico de desvinculación (por iniciativa de la empresa o el empleado) Opinión del empleado sobre la empresa. Opinión del empleado sobre el cargo que ocupa en la organización. Opinión del empleado sobre el jefe directo. 5. Sobre su horario de trabajo. 6. Sobre las condiciones físicas ambientales dentro de las cuales desarrolla su trabajo. 7. Sobre los beneficios sociales concedidos por la organización. 8. Sobre su salario. 9. Sobre las relaciones humanas existentes en su sección. 10. Sobre las oportunidades de progreso que sintió dentro de la organización. 11. Sobre la moral y la actitud de sus colegas de trabajo. 12. Sobre las oportunidades que encuentran en el mercado de trabajo Los datos recogidos en las entrevistas de desvinculación pueden ser tabulados por la sección, departamento., división o por cargo, para la mejor localización de los problemas existentes. Existen, sin embargo, ciertos aspectos que escapan totalmente a la percepción y al control de los empleados y que deben ser corregidos dentro de la organización, a partir de registros que se mantienen por el sistema de recursos humanos de la organización. Esos datos son los siguientes: verificación de la fecha de admisión del empleado y de si trayectoria profesional dentro de la empresa; verificación de los resultados de la evaluación de su desempeño; de su comportamiento funcional relacionado con disciplina, puntualidad, asiduidad, etc.;
  • 20. de los resultados obtenidos en los test de selección; de los resultados obtenidos en los programas de entrenamiento concedidos por la organización; de datos personales como: sexo, edad, estado civil, dirección, formación escolar, experiencia profesional, etc.; de datos internos como: sección donde trabaja, cargo que ocupa, horario de trabajo, salario, etc. Todos estos datos deben tabularse, con miras a que en determinado periodo (mes, semestre, año) se tenga una frecuencia de su ocurrencia. Las informaciones recogidas a través de las entrevistas de desvinculación y de otras fuentes permiten un análisis situacional de la organización y de su ambiente. Determinación del costo de la rotación de personal La rotación de personal involucra una serie de costos primarios y secundarios. Entre los costos primarios de rotación de personal, están: 1.- Costos de reclutamiento y selección: gastos de emisión y de procesamiento de solicitud del empleado; gastos de mantenimiento del órgano de reclutamiento ye selección; gastos en anuncios de periódicos, hojas de reclutamiento, honorarios de empresas de reclutamiento, material de reclutamiento, formularios, etc.; gastos de mantenimiento de las sección de servicios médicos; 2.- Costo de registro y documentación: o gastos de mantenimiento del órgano de registro y documentación de personal; gastos en formularios, documentación, anotaciones, registros, etc. 3.- Costos de integración: gastos de la sección de entrenamiento, divididos por el número de empleados sometidos al programa de integración;
  • 21. costo del tiempo del supervisor del órgano solicitante aplicado en la ambientación de los empleados recién admitidos en su sección. 4.- Costo de desvinculación: gastos del órgano de registro y documentación relativos al proceso de desvinculación del empleado, divididos por el número de empleados desvinculados. Costo de la entrevista de desvinculación. Costo de las indemnizaciones por el tiempo anterior a la opción por el FGTS. Costo del anticipo de pagos relacionados con vacaciones proporcionales, salario proporcional, aviso previo. Entre los costos secundarios de la rotación de personal, están: 1.- Reflejos en la producción: Perdida de la producción causada por el vació dejado por el empleado desvinculado, mientras no es substituido; Producción generalmente inferior - por lo menos durante el periodo de ambientación del nuevo empleado que ha ocupado el cargo; Inseguridad inicial del nuevo empleado y su interferencia en el trabajo de los compañeros. 2.- Reflejos en la actitud del personal: Imagen, actitudes y predisposiciones que el empleado que esta retirándose transmite a sus compañeros; Imagen, actitudes y predisposiciones que el empleado que está iniciando transmite a sus compañeros; Influencia de los dos aspectos mencionados anteriormente sobre la moral y la actitud del supervisor y del jefe; Influencia de los aspectos mencionados anteriormente sobre la actitud de los clientes.
  • 22. 3.- Costo extra-laboral: Gastos del personal extra y horas extras necesarias para cubrir¸ el vació existente o para cubrir la deficiencia inicial del nuevo empleado. Tiempo adicional de producción causada por la deficiencia inicial¸ del nuevo empleado; Tiempo adicional del supervisor que se emplea en la¸ integración y en el entrenamiento del nuevo empleado. 4.- Costo extra-operacional: Costo adicional de energía eléctrica, debido al índice reducido de producción del nuevo empleado; Aumento de errores, repeticiones y problemas del control de calidad provocados por la inexperiencia del nuevo empleado. 5.- Costo extra-inversión: Aumento proporcional de las tasas de seguros, depreciación del equipo, mantenimiento y reparaciones en relación con el volumen de producción, reducido en razón de los cargos existentes o a los recién admitidos que están en periodo de ambientación y de entrenamiento; Aumento del volumen de salarios pagados a los nuevos empleados y, consecuentemente, de reajustes de todos los demás empleados, cuando la situación del mercado de trabajo es de oferta, lo que intensifica la competencia y lleva la oferta de salarios iniciales al mercado de recursos humanos. 6.- Perdidas en los negocios: La imagen y los negocios de la empresa pueden sufrir deterioro por la deficiente calidad de los productos en razón de la inexperiencia de los empleados. Obviamente, los cálculos de los costos primarios y secundarios de rotación de personal podría tener mayor o menor influencia, de acuerdo con el nivel de interés de la organización. Más que un simple resultado numérico y cuantitativo de tales costos, lo que realmente interesa es la concientización, por parte de los dirigentes de las organizaciones, de los reflejos profundos que la
  • 23. rotación elevada de recursos humanos puede traer no solo para la empresa, sino también para la comunidad y para el propio individuo. Ejemplo índice de rotación: Si existen 1000 empleados, salen 10 y entran 20. en 1 año. (Recordar la importancia del tiempo) El índice de rotación es: (20 - 10 / 1000) * 100 = 1% anual. Como la relación es porcentual, el índice es del 1% positivo, lo que indica además que la empresa está creciendo. Existe estabilidad, y la rotación es baja. Si la empresa está en crisis, supongamos salen 500, y entran 20. (20 - 500 /1000) * 100 = - 48% Implica que la empresa decreció personal en 48% y la rotación es muy alta. 1.5.Funciones. Funciones Se encarga de administrar y monitorizar el correcto funcionamiento del sistema incluyendo cambios de versiones, administración de acceso y realización de copias de respaldo. Obligaciones o Conocer la normativa interna en materia de seguridad, y especialmente la referente a protección de datos de carácter personal. Dicha normativa puede consistir en normas, procedimientos, reglas y estándares, así como posibles guías. o Cumplir lo dispuesto en la normativa interna vigente en cada momento.
  • 24. o Conocer las consecuencias que se pudieran derivar y las responsabilidades en que pudiera incurrir en caso de incumplimiento de la normativa, que podrían derivar en sanciones. o Utilizar los controles y medios que se hayan establecido para proteger tanto los datos de carácter personal como los propios sistemas de información y sus componentes: los ficheros automatizados, los programas, los soportes y los equipos empleados para el almacenamiento y tratamiento de datos de carácter personal. o No intentar vulnerar los mecanismos y dispositivos de seguridad, evitar cualquier intento de acceso no autorizado a datos o recursos, informar de posibles debilidades en los controles, y no poner en peligro la disponibilidad de los datos, ni la confidencialidad o integridad de los mismos. o Guardar secreto sobre los datos que pueda conocer, así como sobre controles y posibles debilidades, incluso después de haber causado baja en la Universidad. o Usar de forma adecuada según la normativa los mecanismos de identificación y autenticación ante los sistemas de información, tanto sean contraseñas como sistemas más avanzados, como biométricos u otros, y en ambos casos; mediante acceso local o a través de redes de comunicaciones, cuando esté así previsto. En el caso de contraseñas cumplir lo recogido en la normativa, especialmente en cuanto a asignación, sintaxis, distribución, custodia y almacenamiento de las mismas, así como el cambio con la periodicidad que se determine. o No ceder ni comunicar a otros las contraseñas, que son personales, que no estarán almacenadas en claro, y que serán transmitidas por canales seguros. Los usuarios serán responsables ante la
  • 25. Universidad de todos los accesos y actividades que se puedan haber realizado utilizando su código de usuario y contraseña. o Evitar transmitir o comunicar datos considerados sensibles por medios poco fiables sin protección (telefonía de voz, correo electrónico, fax) o Realizar las copias de los datos que en cada caso se establezcan en la normativa, así como proteger las copias obtenidas. o Cumplir la normativa en cuanto a gestión de soportes informáticos que contengan datos de carácter personal, así como tomar precauciones en el caso de soportes que vayan a desecharse o ser reutilizados, mediante la destrucción, inutilización o custodia. En el caso de averías que requieran su transporte fuera de las instalaciones se intentará borrar previamente su contenido o se exigirán garantías escritas de que se hará así. o No sacar equipos o soportes de las instalaciones sin la autorización necesaria, y en todo caso con los controles que se hayan establecido. 1.6.Ética. La Ética de la Informática (EI) es una nueva disciplina que pretende abrirse campo dentro de las éticas aplicadas y que ha emergido con fuerza desde hace unos pocos años en el mundo anglosajón. El origen remoto de la EI está en la introducción cada vez más masiva de los ordenadores en muchos ámbitos de nuestra vida social, cada vez más computarizada. Muchas profesiones reivindican para sí una ética particular con la cual pueden regirse ante los problemas morales específicos de esa profesión o actividad ocupacional. La existencia de la EI tiene como punto de partida el hecho de que los ordenadores suponen unos problemas éticos particulares y por tanto distintos a otras tecnologías.
  • 26. En la profesión informática se quiere pasar de la simple aplicación de criterios éticos generales a la elaboración de una ética propia de la profesión. Los códigos éticos de asociaciones profesionales y de empresas de informática van en esa dirección. El plantear una disciplina como la EI implica salir al paso de afirmaciones como "la ética no tiene nada que ver con los ordenadores" o "no hay una ética especial para los informáticos". Realizar la primera afirmación supone no reconocer los dilemas éticos en las tareas del informático que son potenciados por el mismo desarrollo tecnológico. Contrarrestar la segunda afirmación, en cambio, supone demostrar que sí hay necesidad de una ética especial para los informáticos. Así como otras ciencias y profesiones han tenido siglos para desarrollar conceptos éticos con los cuales tratar sus problemas (entre ellos, los provocados por las nuevas tecnologías), las tecnologías de la información llevan sólo unas pocas décadas de existencia para crear, como otras disciplinas lo han hecho, sus propios estándares éticos. Definiciones de la Ética Informática La definición más restrictiva de la EI es el considerarla como la disciplina que analiza problemas éticos que son creados por la tecnología de los ordenadores o también los que son transformados o agravados por la misma, es decir, por las personas que utilizan los avances de las tecnologías de la información. Algunos de los autores se plantean si la cambiante sofisticación tecnológica plantea nuevos dilemas éticos o si las cuestiones éticas permanecen constantes. Otras definiciones de la EI son mucho más amplias. No se reducen a un nuevo campo de ética aplicada sino que, por ejemplo, en Moor, la EI es el análisis de la naturaleza y el impacto social de la tecnología informática y la correspondiente formulación y justificación de políticas para un uso ético de dicha tecnología. La EI estaría relacionada con los problemas conceptuales y los vacíos en las
  • 27. regulaciones que ha ocasionado la tecnología de la información. El problema es que hay una falta de reglamentación en cómo utilizar estas nuevas tecnologías que posibilitan nuevas actividades para las cuales no hay o no se perciben con nitidez principios de actuación claros. Las personas con responsabilidades en el área de diseño o gestión de sistemas de información cada vez han de tomar más decisiones sobre problemas que no se resuelven con lo legal y lo cuasi- legal (reglamentos, manuales de procedimiento de las empresas, etc.) sino que rozan lo ético mismo. La tarea de la EI es aportar guías de actuación cuando no hay reglamentación o cuando la existente es obsoleta. Al vacío de políticas se añade generalmente un problema de vacío conceptual. Por ello la EI también ha de analizar y proponer una marco conceptual que sea adecuado para entender los dilemas éticos que ocasiona la informática. Otra definición más englobante viene de Terrel Bynum, que basándose en Moor, define la EI como la disciplina que identifica y analiza los impactos de las tecnologías de la información en los valores humanos y sociales. Estos valores afectados son la salud, la riqueza, el trabajo, la libertad, la democracia, el conocimiento, la privacidad, la seguridad o la autorrealización personal. En este concepto de EI se quieren incluir términos, teorías y métodos de disciplinas como la ética aplicada, la sociología de los ordenadores, la evaluación social de las tecnologías o el derecho informático. Los que escriben sobre esta materia no tienen como objetivo adoctrinar o hacer proselitismo sobre una manera concreta de pensar tratando de transmitir un conjunto de valores concretos. La intención es incorporar una conciencia social relacionada con la tecnología informática y también ayudar a los informáticos a utilizar los ordenadores no solo con eficiencia sino con criterios éticos. El objetivo es tomar decisiones sobre temas tecnológicos de manera consistente con la afirmación de los propios valores que uno profesa o con los derechos humanos en general.
  • 28. Para ello esta disciplina se plantea varios objetivos intermedios. Por un lado, descubrir y articular dilemas éticos clave en informática. Determinar en qué medida son agravados, transformados o creados por la tecnología informática. Ante los dilemas éticos que ocasiona la informática, analizar y proponer un marco conceptual adecuado y formular principios de actuación para determinar qué hacer en las nuevas actividades ocasionadas por la informática en las que no se perciben con claridad líneas de actuación. Por último, siempre se pretende un análisis ético de casos realistas y significativos. Para realizar lo anterior, la EI pretende tener en cuenta dos aspectos. Por un lado, utilizar la teoría ética para clarificar los dilemas éticos y detectar errores en el razonamiento ético. Por otro, colaborar con otras disciplinas en ese debate, siendo conscientes de los puntos de vista alternativos en las cuestiones referentes a valores y sabiendo discriminar en los distintos casos entre las consideraciones éticas y las técnicas. Sin embargo, la EI puede ir más allá. No solo proponer principios de actuación y ver qué valores son afectados sino reconsiderar valores que son de hecho asumidos. Por ejemplo, el software supone un tipo de propiedad que no encaja perfectamente en el concepto de propiedad tradicional. La EI puede analizar qué tipo de propiedad es el software, pero puede plantearse un debate más profundo preguntándose por qué ha de existir propiedad intelectual. Esto supone plantearse de manera nueva valores antiguos y reconsiderar su vigencia. Los Códigos Deontológicos en Informática Las asociaciones de profesionales de informática y algunas empresas relacionadas con la informática han desarrollado códigos de conducta profesional. Estos códigos tienen distintas funciones:
  • 29. El que existan normas éticas para una profesión quiere decir que un profesional, en este caso un técnico, no es solo responsable de los aspectos técnicos del producto, sino también de las consecuencias económicas, sociológicas y culturales del mismo. Sirven también como un instrumento flexible como suplemento a las medidas legales y políticas, ya que éstas en general van muy lentas comparadas con la velocidad del desarrollo de las tecnologías de la información. Los códigos hacen de suplemento a la ley y sirven de ayuda a los cuerpos legislativos, administrativos y judiciales. Sirven como concienciación pública, ya que crear unas normas así hace al público consciente de los problemas y estimula un debate para designar responsabilidades. Estas normas tienen una función sociológica ya que dan una identidad a los informáticos como grupo que piensa de una determinada manera; es símbolo de sus estatus profesional y parte de su definición como profesionales. Estas normas sirven también como fuente de evaluación pública de una profesión y son una llamada a la responsabilidad que permiten que la sociedad sepa qué pasa en esa profesión; aumenta la reputación del profesional y la confianza del público. En las organizaciones internacionales estas normas permiten armonizar legislaciones o criterios divergentes existentes (o ausentes, en su caso) en los países individuales. Sin embargo, la crítica que se hace a estas asociaciones en que han hecho poco por hacerlos cumplir, por imponer sanciones si no se cumplen o por comprobar si se aplican o si son relevantes o pertinentes. De hecho hay códigos que no son conocidos por los miembros de sus profesiones y menos por sus clientes.
  • 30. 2. Evaluación del Perfil de Oficiales de Informática. Definición El Oficial de seguridad informática (OSI), es la persona responsable de planear, coordinar y administrar los procesos de seguridad informática en una organización Misión El Oficial de seguridad informática tiene la función de brindar los servicios de seguridad en la organización, a través de la planeación, coordinación y administración de los procesos de seguridad informática, así como difundir la cultura de seguridad informática entre todos los miembros de la organización. Objetivos Definir la misión de seguridad informática de la organización en conjunto con las autoridades de la misma. Aplicar una metodología de análisis de riesgo para evaluar la seguridad informática en la organización. Definir la Política de seguridad informática de la organización. Definir los procedimientos para aplicar la Política de seguridad informática. Seleccionar los mecanismos y herramientas adecuados que permitan aplicar las políticas dentro de la misión establecida. Crear un grupo de respuesta a incidentes de seguridad, para atender los problemas relacionados a la seguridad informática dentro de la organización. Promover la aplicación de auditorías enfocadas a la seguridad, para evaluar las prácticas de seguridad informática dentro de la organización. Crear y vigilar los lineamientos necesarios que coadyuven a tener los servicios de seguridad en la organización. Crear un grupo de seguridad informática en la organización.
  • 31. Formación El Perfil del Oficial de Seguridad debe llenar estas características: Habilidades personales
  • 32. Deberes y responsabilidades Los deberes y responsabilidades del OSI deben establecerse claramente y requieren ser aprobados por la administración y/o directivos. A continuación un listado de deberes y responsabilidades recomendados: El OSI tiene como principal responsabilidad la administración y coordinación diaria del proceso de Seguridad Informática de la institución donde labora. Tiene como responsabilidad asegurar el buen funcionamiento del proceso de Seguridad Informática de la institución. Debe ser el punto de referencia para todos los procesos de seguridad y ser capaz de guiar y aconsejar a los usuarios de la institución sobre cómo desarrollar procedimientos para la protección de los recursos. Una tarea clave para el OSI es guiar al cuerpo directivo y a la administración de la organización ante incidentes de seguridad mediante un Plan de Respuesta a Incidentes, con el fin de atender rápidamente este tipo de eventualidades. El OSI es responsable de proponer y coordinar la realización de un análisis de riesgos formal en seguridad de la información que abarque toda la organización. Es deber del OSI el desarrollo de procedimientos de seguridad detallados que fortalezcan la política de seguridad informática institucional. El OSI debe ser miembro activo del grupo de seguridad de CUDI, y mantener contacto con los OSI de otras organizaciones, estar suscrito a listas de discusión y de avisos de seguridad. Es responsabilidad del OSI promover la creación y actualización de las políticas de seguridad informática, debido al comportamiento cambiante de la tecnología que trae consigo nuevos riesgos y amenazas.
  • 33. Es responsabilidad del OSI el desarrollo de un Plan de Seguridad de la Información. El OSI debe atender y responder inmediatamente las notificaciones de sospecha de un incidente de seguridad o de incidentes reales. Es responsabilidad del OSI la elaboración de un Plan de Respuesta a Incidentes de Seguridad, con la finalidad de dar una respuesta rápida, que sirva para la investigación del evento y para la corrección del proceso mismo. Es responsabilidad del OSI coordinar la realización periódica de auditorías a las prácticas de seguridad informática. 2.1.Niveles de Acceso, según funciones. Niveles de seguridad La ley identifica tres niveles de medidas de seguridad, BÁSICO, MEDIO y ALTO, los cuales deberán ser adoptados en función de los distintos tipos de datos personales (datos de salud, ideología, religión, creencias, infracciones administrativas, de morosidad, etc.). Nivel básico Tipo de datos: Nombre Apellidos Direcciones de contacto (tanto físicas como electrónicas) Teléfono (tanto fijo como móvil) Otros Medidas de seguridad obligatorias Documento de Seguridad Régimen de funciones y obligaciones del personal
  • 34. Registro de incidencias Identificación y autenticación de usuarios Control de acceso Gestión de soportes Copias de respaldo y recuperación Normas El responsable del fichero elaborará e implantará la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información. (RD 994/1999, arts. 8.1, 8.2). El documento deberá contener como mínimo los siguientes aspectos: Ámbito de aplicación del documento con especificación detallada de los recursos protegidos. Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento. Funciones y obligaciones del personal. Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. Procedimiento de notificación, gestión y respuesta ante las incidencias. Los procedimientos de realización de copias de respaldo y de recuperación de los datos. El documento deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo. (RD 994/1999, art.8.3) El contenido del documento deberá adecuarse a las disposiciones vigentes en materia de seguridad de los datos de carácter personal. (RD 994/1999, art.8.4)
  • 35. Nivel medio Tipo de datos: Comisión infracciones penales Comisión infracciones administrativas Información de Hacienda Pública Información de servicios financieros Medidas de seguridad obligatorias: Medidas de seguridad de nivel básico Responsable de Seguridad Auditoria bianual Medidas adicionales de Identificación y autenticación de usuarios Control de acceso físico Normas El documento de seguridad deberá contener la identificación del responsable o responsables de seguridad, los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento y las medidas que sea necesario adoptar cuando un soporte vaya a ser desechado o reutilizado. (RD 994/1999, art.15) Nivel alto Tipo de datos: Ideología Religión Creencias Origen racial Salud Vida
  • 36. Medidas de seguridad obligatorias: Medidas de seguridad de nivel básico y medio Seguridad en la distribución de soportes Registro de accesos Medidas adicionales de copias de respaldo Normas De cada acceso se guardarán como mínimo, la identificación del usuario, la fecha y la hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. (RD 994/1999, art. 24.1) En el caso que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido. (RD 994/1999, art. 24.2) Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores estarán bajo el control directo del responsable de seguridad competente sin que se deba, en ningún caso, la desactivación de los mismos. (RD 994/1999, art. 24.3) El período mínimo de conservación de los datos registrados será de dos años. (RD 994/1999, art. 24.4) El responsable de seguridad competente se encargará de revisar periódicamente la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes. (RD 994/1999, art. 24.5). Ejemplo ¿Cuáles son los distintos niveles de acceso de usuarios? Los usuarios de cuentas pueden invitar a otros usuarios a compartir el acceso a sus cuentas en tres niveles de acceso diferentes:
  • 37. Administrativo (el nivel más alto de acceso) Estos usuarios pueden ver, modificar y administrar cualquier parte de una cuenta y sus campañas (a excepción de la información de acceso y opción de idioma). Además, recibe correos electrónicos de notificación. Únicamente aquellos que cuentan con Acceso administrativo pueden invitar a obtener acceso e inhabilitar el acceso a otros usuarios, ver invitaciones pendientes, y cambiar el nivel de acceso a otros usuarios. Tenga en cuenta que debe haber un usuario con Acceso administrativo en cada cuenta para recibir las notificaciones importantes por correo electrónico, y ese usuario no puede cambiar su propio nivel de acceso. La única manera de cambiar este nivel de acceso es invitar a otro usuario a obtener Acceso administrativo, y luego solicitar al nuevo administrador que cambie el nivel de acceso. Acceso administrativo Los administradores de cuentas con Acceso administrativo pueden invitar a usuarios a compartir la cuenta en los niveles Acceso estándar (administrado) y Acceso a los informes (administrado). También pueden cambiar los niveles de acceso de otros usuarios en las cuentas que administran. No pueden cambiar el nivel de acceso de la cuenta de un usuario de Acceso estándar o Acceso a los informes a Administrativo, a menos que ese usuario haya contado con Acceso administrativo previamente. Los administradores no pueden anular el acceso a la cuenta de otros usuarios ni revocar invitaciones para compartir la cuenta enviadas a otros usuarios por parte de un administrador principal de cuentas.
  • 38. Usuario Estándar (acceso a la mayoría de las características de la cuenta) Los usuarios con Acceso estándar y Acceso estándar (administrado) poseen casi las mismas capacidades que los usuarios con Acceso administrativo, pero con una sola excepción: los usuarios con Acceso estándar no pueden invitar a otras personas a compartir acceso, cambiar los niveles de los usuarios ni inhabilitar el acceso a la cuenta. Acceso a los informes y acceso a los informes (administrado) Los usuarios con Acceso a los informes cuentan con el nivel más bajo de acceso a una cuenta; pueden solamente ver y ejecutar informes. Los usuarios con Acceso a los informes (administrado) pueden ver y ejecutar informes, recibir correos electrónicos de notificación de cuenta y desvincular una cuenta. Principales criterios utilizados determinar niveles de acceso en una empresa: Se deben adoptar procedimientos en relación con la identificación y autenticación de usuarios, la gestión y revisión de derechos y privilegios de acceso de los usuarios, la comprobación de los accesos. Se deben seguir los criterios de 'Autenticación'. Se debe implantar un procedimiento formalizado de registro de altas y bajas de acceso de usuarios a todos los servicios de la aplicación y del sistema, de manera que se garantice que no se proporcione acceso al sistema hasta que se hayan completado los procedimientos de autorización y que se compruebe que el usuario tiene la autorización del responsable (propietario) del servicio para utilizarlo. Se debe verificar que el nivel de acceso asignado al usuario corresponde a necesidades de funcionamiento de la Organización y es consistente con la normativa de seguridad de la Organización y que no se contradice
  • 39. con el principio de segregación de funciones (según grupos de usuarios, servicios y sistemas de información). Se debe informar a cada usuario de todos sus derechos de acceso, los cuales ha de reconocer como conocidos de manera fehaciente, así como la comprensión y aceptación de las condiciones de acceso. Se debe mantener actualizado el registro de todas las personas con derechos de acceso al servicio, revisándolo de forma periódica para localizar y eliminar identificadores de usuarios redundantes (duplicados) o sobrantes (no utilizados). Se debe eliminar de forma inmediata las autorizaciones de acceso a los usuarios que dejen la Organización o cambien su función dentro de ella y comprobar que los identificadores eliminados no sean reasignados a otros usuarios. No se debe permitir la utilización de claves compartidas o multiusuario. Se debe asociar el control de acceso con los requisitos de autenticidad, confidencialidad, integridad y disponibilidad exigidos por el recurso al cual se intenta acceder. Se debe limitar el acceso a los recursos según la función o la necesidad de conocer. Se debe establecer un proceso de autorización que registre los privilegios asignados a los usuarios; hasta que no haya concluido completamente, no otorgar privilegios especiales. Se deben identificar los privilegios asociados a cada subsistema (el sistema operativo, el gestor de base de datos, la aplicación, etc.) y a cada categoría de usuarios que los necesiten.
  • 40. Se deben asignar privilegios a individuos (no a colectivos) considerando cada caso como un acceso eventual temporal y partiendo del principio de 'necesidad de uso' (que minimice el acceso para el estricto desempeño de sus funciones y sólo cuando es imprescindible). Se debe promover el desarrollo y uso de herramientas (procedimientos automáticos o rutinas) que permitan la asignación temporal de privilegios. Se deben revisar periódicamente y mediante procedimiento formal los derechos de acceso de los usuarios Se debe revisar la capacidad de acceso de los usuarios (por ejemplo, cada seis meses). Se deben someter a revisión más frecuente los accesos privilegiados (por ejemplo, cada tres meses). Se debe comprobar regularmente las asignaciones de accesos privilegiados para asegurarse de que éstos no han dado lugar a accesos no autorizados. Se debe formar a los usuarios en relación con el control de acceso a los recursos protegidos. Los usuarios deben cumplir con las recomendaciones relativas a elementos de identificación y autenticación (contraseñas, certificados, tarjetas, etc.) y a los equipos no atendidos (desconexión de sesiones, protección si procede con bloqueador de teclado o llave, etc.). Se deben adoptar medidas en relación con el trabajo desde fuera de las instalaciones de la organización. Se deben adoptar medidas adicionales específicas para los equipos portátiles.
  • 41. Se deben instalar controles de acceso que actúen con carácter previo a la carga del sistema operativo. Se deben instalar mecanismos que cifren la información de los soportes de almacenamiento. Se deben adoptar medidas adicionales específicas para el control de acceso de terceras partes Se debe elaborar un documento que contenga las normas de seguridad aplicables para el acceso de terceras partes. Se deben establecer procedimientos de protección de los activos; medidas de protección física; medidas contra la introducción y propagación de virus o de otro código dañino. Se deben establecer procedimientos de autorización de acceso a cada recurso o activo. Se debe fijar el método de acceso permitido (control del identificador y de contraseñas de usuario o mediante certificados digitales). Se debe mantener permanentemente actualizada la lista de usuarios autorizados y de permisos de acceso a recursos o activos específicos. Horas y fechas de disponibilidad del servicio (características necesarias del plan de contingencias). Responsabilidades de cada parte: derecho de auditoría para cumplimentar las responsabilidades contractuales; derecho de la organización anfitriona para controlar (y suspender en su caso) la actividad de uno o varios usuarios; acuerdo para la investigación e informes de incidentes de seguridad. Responsabilidades derivadas de la normativa (protección de datos de carácter personal, entre otros).
  • 42. Restricciones contra la copia y la revelación no autorizada. Medidas para asegurar la devolución de documentación y activos de información al finalizar el contrato. Mecanismos para asegurar que las medidas de seguridad son conocidas, respetadas y aplicadas. Requisitos de formación de los terceros en los métodos y procedimientos de seguridad compatibles con los de la organización. RECOMENDACIONES Interrumpir automáticamente la sesión después de un periodo de tiempo en el que el usuario no ha realizado ninguna acción. Este periodo de tiempo dependerá de las características de la propia aplicación y del perfil del usuario que accede a la información. Limitar el tiempo máximo de conexión para aplicaciones que se considere conveniente, así como la franja horaria de acceso. Mantener un registro de eventos relativos al control de acceso. Controlar el acceso a los programas de utilidades. Bloquear las cuentas que no sean utilizadas durante un período de tiempo fijado. Utilizar preferentemente sistemas, productos o equipos cuyas funcionalidades de seguridad y su nivel hayan sido rigurosamente evaluados conforme a normas europeas o internacionales, como ISO/IEC 15408, y certificados por entidades independientes y de reconocida solvencia, como las recogidas en los acuerdos o arreglos internacionales de reconocimiento mutuo de los certificados de la seguridad de la tecnología de la información.
  • 43. Conclusiones La Administración de RH busca compenetrar el recurso humano con el proceso productivo de la empresa, haciendo que éste último sea más eficaz como resultado de la selección y contratación de los mejores talentos disponibles en función del ejercicio de una excelente labor de estos. Así como también la maximización de la calidad del proceso productivo depende de igual modo de la capacitación de los elementos humanos para hacer más valederos sus conocimientos. Los sistemas informativos proveen a la empresa, en cada uno de sus niveles, la fuente necesaria para la toma de decisiones. El éxito en los sistemas de información de Recursos Humanos depende de la adecuada planificación del sistema, que requerirá una correcta comunicación entre usuarios y personal informático. El Oficial de Seguridad Informática es el encargado de analizar los riesgos, determinar que estrategias efectivas para combatir ataques. Cada organización es distinta y no hay un acuerdo sobre la mejor manera de organizar un área de seguridad informática en una empresa. Los niveles de seguridad son asignados de acuerdo al puesto que se tenga en la empresa, pero esto no puede llevar a un camino que nos lleve a romper las reglas impuestas y destruirlas por muy alto puesto que se encuentre la persona.
  • 44. Referencia Bibliográfica http://www.elergonomista.com/recursos.htm http://www.rrhhmagazine.com/articulos.asp?id=251 www.gestiopolis.com/recursos/.../rh/.../impcap.htm http://www.asimetcapacitacion.cl/capacitacion_alianza_estrategica.htm http://rfc.cudi.edu.mx/drafts/draft2.pdf http://www.monografias.com/trabajos-pdf2/perfiles-profesionales- seguridad-informatica-practico/perfiles-profesionales-seguridad-informatica- practico.pdf http://www.csae.map.es/csi/criterios/seguridad/index.html http://adwords.google.com/support/aw/bin/answer.py?hl=es- 419&hlrm=es&answer=70619 http://www.monografias.com/trabajos65/rotacion-personal/rotacion- personal2.shtml http://cms.ual.es/UAL/universidad/otrosorganos/comisionseguridad/pagina /FUNCIONES5 http://www.monografias.com/trabajos14/etica-informat/etica- informat.shtml?monosearch

×