EL APRENDIZAJE COMBINADO: UN MODELO PARA ASEGURAR LA

ADQUISICION DE CONDUCTAS BASADO EN LOS PRINCIPIOS DE LA SEGURIDAD

DE LA INFORMACION

Yessica Gómez G.
ygomez@spock.ucm.cl
Universidad Católica del Maule
Talca, Chile

RESUMEN

Este trabajo pretende mostrar que a partir del uso de un modelo de aprendizaje combinado el
alumno puede poner en práctica el concepto de Seguridad de la Información y lo puede
aplicar a cualquier actividad o proyecto que deba emprender.
El aprendizaje activo significa aprender a través de la acción. Es aprendizaje activo porque se
basa en la experiencia personal con el fin de cambiar las pautas en el estudio más que en el
empleo de técnicas y estrategias de forma autónoma. Y es acción, porque las reflexiones
personales y de grupo se transforman en actuaciones para cambiar aquello que se desea
mejorar.
La seguridad de la información debe llegar a ser una forma de actuar, una actitud permanente,
y que requiere por lo tanto una comprensión activa de ésta para que se le dé sentido a su
conocimiento y aplicación.

INTRODUCCION

Las estadísticas de seguridad muestran que las principales vulnerabilidades se encuentran

dentro de las organizaciones, principalmente en las personas, esto no sólo porque no se
aplican sofisticados sistemas de seguridad, sino porque no existen políticas de seguridad
institucionales y por ende no existe una cultura de seguridad. Por otro lado, existe la gran
creencia de que el problema de la seguridad de la información es un problema de las áreas de
Tecnología. La cultura de la seguridad de la información no se adquiere haciendo un curso
rápido, o reaccionando ante los incidentes, o imponiendo normas rígidas que no se controlan.
La cultura de la seguridad se adquiere a través de una práctica continua y cotidiana, en
cualquier quehacer y en cualquier disciplina.
Uno de los principales problemas para no incorporar planes de seguridad, es que se cree que
las soluciones interferirán con el rendimiento, que nunca existe el tiempo para dedicarle a un
tema que parece no ser prioritario hasta cuando ocurre un evento o catástrofe, o se inicia el
análisis con una idea preconcebida de que los costos serán excesivos, que no se entienden o
no se cuantifican las amenazas de seguridad y las vulnerabilidades.
Sin embargo, todo lo anterior está fuertemente influenciado por los antiguos paradigmas,
porque no se practica o no es una habitualidad el medir riesgos, amenazas, prevenir incidentes
en tareas simples y por lo tanto, cuando hablamos de empresas o negocios, esto resulta menos
factible de realizar de forma concreta y se evade.
Si el alumno vive la experiencia de la seguridad de la información en forma continua, en
cualquier disciplina, como el crear una maqueta en Arquitectura, armar un circuito
electrónico en Ingeniería, desarrollar un producto de software en Informática, etc., es probable
que logre llevar a la práctica de forma natural este comportamiento en su vida laboral y por
tanto mucho de los paradigmas existentes hoy en día cambien y sea natural establecer y poner
en práctica las políticas de seguridad de una empresa y de paso aporten calidad al proceso de
desarrollo de su trabajo, elemento exigible en los tiempos que vivimos.
El modelo de aprendizaje combinado representa una adaptación de los modelos de Lewin y
Kolb [Fuensanta]. No es suficiente enseñar a los alumnos nuevos conceptos, sino que es
necesario que el alumno conecte las nuevas ideas sobre cómo mejorar el aprendizaje con
nuevas acciones, poniéndolas en práctica y relacionándolas con la teoría .

En la Fig. 1 se grafica el Modelo de Interacción Social de K. Lewin , el que permite el estudio

de las propias experiencias y de las relaciones con el grupo. El enfoque central es que la mejor
forma de progresar es partiendo de las experiencias personales.

Planificar las Actuar o llevar a cabo

acciones lo planificado

Modelo de Interacción
Social ( K. Lewin)

Reflexionar sobre los

resultados logrados Observar

Fig. 1 “Modelo de Interacción Social de K. Lewin”

En la Fig. 2 se grafica el Modelo de Aprendizaje de Kolb, el cual basándose en el modelo de
Lewin y en la teorías de otro gran psicólogo, Piaget, ha propuesto otro modelo en el que no
sólo reúne los estilos de aprendizaje generales , sino que atiende también al desarrollo del
individuo. Para Kolb el aprendizaje es un proceso cuádruple en el que, partiendo de las
experiencias concretas inmediatas, el sujeto pasa a realizar observaciones reflexivas sobre su
experiencia; de ahí pasa a la conceptualización abstracta con el fin de crear generalizaciones o
principios que integren sus observaciones en teorías para, finalmente, usar estas teorías como
guía de su experimentación activa. El resultado es una experiencia concreta , auque mucho
más compleja. El proceso vendría a ser como una espiral en la que el aprendiz parte de un
hecho experiencial, reflexiona sobre el mismo y deduce generalizaciones en las que se apoya
para realizar otras acciones más complejas.
Observación
Experiencias reflexión
concretas

Modelo de
Aprendizaje (Kolb)

Experimentación Conceptualización
activa abstracta,
generalización

Fig. 2 “Modelo de Aprendizaje de Kolb”

La Fig. 3 muestra una adaptación de los modelos de Lewin y de Kolb en el llamado Modelo
de aprendizaje combinado.

Experiencia
concreta

Modelo de Comprensión y
Aprendizaje análisis y reflexión
Experiencia
Activa:acción Combinado

Formulación de conceptos y
generalizaciones :
planificación

Fig. 3 “ Modelo de Aprendizaje Combinado”

CASO PRÁCTICO

Utilizando el modelo de aprendizaje combinado, él o los alumnos desarrollan el siguiente

caso práctico, aplicado a cualquier actividad a desarrollar que permita incorporar la seguridad
de la información :

Experiencia Concreta

 Identificar y analizar los activos de información asociado a la actividad.

 Analizar amenazas a las que están o pueden estar expuestos los activos de información
 Analizar y reconocer las vulnerabilidades de los activos de información que los hacen
exponer su confidencialidad, integridad y disponibilidad.

Comprensión y análisis : Reflexión

 Analizar Riesgos a partir de los aspectos de :

o El Impacto ( leve, moderado, grave)
o La Probabilidad ( bajo, media, alta)
 Reconocer Controles existentes

Formulación de conceptos y generalizaciones: planificación

 Definir controles o acciones preventivas y correctivas según matriz de Riesgo

obtenida.
 Definir controles detectivos según matriz de Riesgo obtenida.

Experiencia Activa: acción

 Poner en práctica Plan de seguridad.

 Documentar resultados (capitalizar experiencia).
Para la comprensión de los conceptos asociados a la seguridad de la información se describen
brevemente las siguientes definiciones [ORION,2004]:

Activos de Información: es todo aquel recurso valioso o de importancia para la actividad.

Esto puede ser :
 Información propiamente tal: Bases de datos, archivos, conocimiento de la persona.
 Documentos: manuales, contratos, facturas.
 Software: Aplicaciones, sistemas operativos, utilitarios.
 Físicos: Equipos, edificios, redes.
 Recursos Humanos: personas internas o externas al proyecto.
 Servicios: Electricidad, soporte, mantención.

Amenaza: es un evento con el potencial de afectar negativamente la Confidencialidad,

Integridad o disponibilidad de los Activos de Información. Algunos ejemplos de amenazas
son:
 Desastres naturales ( terremotos, inundaciones, huracanes)
 Errores humanos
 Fallas de Software
 Fallas de Servicios (electricidad)
 Robo

Vulnerabilidad: es una debilidad que facilita la materialización de una amenaza. Algunos

ejemplos de vulnerabilidades son:
 Inexistencia de procedimientos de trabajo.
 Concentración de funciones en una sola persona.
 Infraestructura insuficiente
 Lugar de trabajo desordenado

Riesgo: La posibilidad de que una amenaza en particular explote una vulnerabilidad y afecte a
un Activo de Información. El análisis de Riesgo se basa en la revisión y evaluación
sistemática de dos aspectos:
 El impacto: son las consecuencias que habría si un determinado Activo ve afectada su
Confidencialidad, Integridad o Disponibilidad. Puede clasificarse en distintos niveles:
o Impacto Leve
o Impacto Moderado
o Impacto Grave
 La Probabilidad: es la frecuencia con que se podría producir el riesgo en un plazo
determinado de tiempo. Para determinar la Probabilidad debe tenerse en cuenta el
historial de ocurrencias y los controles existentes. Puede clasificarse en distintos
niveles:
o Probabilidad Baja
o Probabilidad Media
o Probabilidad Alta
Matriz de Riesgo: cruce de el Impacto y la probabilidad de ocurrencia que implica catalogar el
Riesgo como :
Impacto : Riesgo:
Grave
C CRITICO
Moderado R REGULAR
Leve A Leve ACEPTABLE
Baja Media Alta Probabilidad

Control: se define como Control a cualquier medida de protección orientada a asegurar que
se preserve la Confidencialidad, Disponibilidad e Integridad de los Activos de Información.
Algunos ejemplos de controles son:
 Segregación de funciones.
 Respaldo de información.
 Sistemas de detección y extinción de incendio.
 Chequeo de acceso a lugar restringido.
 Resguardo de material peligroso (identificación por etiquetado, lugar de
almacenamiento)

Control Preventivo: su propósito es impedir eventos que afecten la Confidencialidad,

Integridad y Disponibilidad de los Activos de Información. Por ejemplo:
 Contraseñas
 Lista de control de Acceso
 Cortafuegos
 Encriptación
 Capacitación de los usuarios

Control Recuperativo: está orientado a restaurar rápidamente los servicios y corregir el

efecto de los incidentes de seguridad, así como facilitar su investigación. Por ejemplo:
 Respaldo de datos
 Soporte 7 x 24
 Planes de contingencia
 Plan de continuidad del Negocio

Control Detectivo: está diseñado para detectar intentos de penetrar las barreras de seguridad
implementadas, o el uso inapropiado de los activos de información. Por ejemplo:
 Auditorías
 Monitoreo del uso de recursos
 Revisión de registro de eventos o incidentes.
 Sistemas de detección de intrusos(IDS)

CONCLUSIONES

El modelo de aprendizaje combinado establece que el aprendizaje tiene lugar cuando

concurren la acción y la reflexión. Es decir, la experiencia por sí misma no es suficiente para
aprender; es necesaria la reflexión sobre dicha experiencia. Los pensamientos y sentimientos
que surgen de la reflexión sobre dicha experiencia permiten la extracción de generalizaciones
o el establecimiento de conceptos. Tales generalizaciones ponen al sujeto en disposición de
llevar a cabo nuevas acciones.
La cultura de la Seguridad de la Información sólo se logra con una práctica permanente y por
tanto si en la formación profesional de un Ingeniero ésta constituye un aprendizaje activo es
probable que sea mas exitoso acercarlo a un comportamiento natural de buenas prácticas y no
le sea nuevo el trabajar bajo conceptos de Estándares y Modelos de Seguridad que en la
actualidad implican altos y complicados esfuerzos.
Como trabajo futuro se pretende medir la efectividad del modelo aplicándolo a un grupo
objetivo de alumnos de una asignatura y documentar dicha experiencia .

BIBLIOGRAFIA

Aprender a aprender . Fuensanta Hernández Pina. Catedrática universitaria de Método de

Investigación en Educación. ISB 84-494-1622-1

Modelos de enseñanza . Vruce Joyce y Marsha Weil .1985

La práctica educativa: como enseñar . Antoni Zabala Vidiella. 1995

Gestión de Seguridad : Diseño de políticas, análisis de Riesgo, implementación de controles y

Plan de seguridad. ORION 2000. 2004

Administración de la TI y seguridad de la información. (Publicado en EEUU 30 de Marzo de

2004.Publicado en LAM 09 de Junio de 2004) Bruce M Moulton.
www.symantec.com/region/mx/enterprisesecurity/content/risks/LAM_3522.html

Seguridad de la Información: ¿has comenzado a hacer algo al respecto?. Carlos Chalico

http://www.ey.com/global/content.nsf/Mexico/Perspectivas_Seguridad_Informacion_2005_ey
Mexico
Analisis de Riesgo. Jaime Labbé, Servicio de Impuestos Internos.2003
http://www.modernizacion.cl/1350/article-55887.html
Auditoría de la seguridad de los Sistemas de Información. Antoine Tardivo.2003
http://www.modernizacion.cl/1350/article-55897.html
Amenazas deliberadas a la seguridad de la información. Gonzalo Alvarez Marañon.2000
http://www.iec.csic.es/criptonomicon/seguridad/amenazas.html