Un sistema automatizado para auditar (monitorear) las acciones de los usuarios. Auditoría de la actividad del usuario Prevención de fugas durante la fase de preparación

A veces ocurren eventos que requieren que respondamos una pregunta. "¿quien hizo esto?" Esto puede suceder "en raras ocasiones, pero de manera adecuada", por lo que debe prepararse para la respuesta a la pregunta con anticipación.

Casi en todas partes hay departamentos de diseño, departamentos de contabilidad, desarrolladores y otras categorías de empleados que trabajan juntos en grupos de documentos almacenados en una carpeta pública (compartida) en un servidor de archivos o en una de las estaciones de trabajo. Puede suceder que alguien elimine un documento o directorio importante de esta carpeta, como resultado de lo cual se puede perder el trabajo de todo el equipo. En este caso, surgen varias preguntas ante el administrador del sistema:

¿Cuándo y a qué hora ocurrió el problema?

¿Cuál es el más cercano a este momento? respaldo¿Debo recuperar mis datos?

Tal vez hubo fallo de sistema que puede volver a pasar?

Windows tiene un sistema Auditoría, lo que le permite rastrear y registrar información sobre cuándo, por quién y con la ayuda de qué programa se eliminaron los documentos. De forma predeterminada, la auditoría no está habilitada; el seguimiento en sí mismo requiere un cierto porcentaje de la energía del sistema, y ​​si registra todo en una fila, la carga será demasiado grande. Además, no todas las acciones de los usuarios pueden interesarnos, por lo que las políticas de Auditoría nos permiten permitir el seguimiento solo de aquellos eventos que son realmente importantes para nosotros.

El sistema de auditoría está integrado en todos los sistemas operativos MicrosoftVentanasNuevo Testamento: Windows XP / Vista / 7, Servidor de windows 2000/2003/2008. Desafortunadamente, en sistemas de la serie Inicio de Windows la auditoría está profundamente enterrada y es demasiado difícil de personalizar.

¿Qué necesitas personalizar?

Para habilitar la auditoría, inicie sesión con derechos de administrador en la computadora que brinda acceso a los documentos compartidos y ejecute el comando Comienzo→Correr→gpedit.msc. En la sección Configuración de la computadora, expanda la carpeta Configuración de Windows→ Configuraciones de seguridad→ Políticas locales→ Políticas de auditoría:

Haga doble clic en la política Auditar el acceso a objetos (Auditoría de acceso a objetos) y seleccione la casilla de verificación Éxito. Este parámetro habilita un mecanismo para rastrear el acceso exitoso a los archivos y al registro. De hecho, solo nos interesan los intentos exitosos de eliminar archivos o carpetas. Habilite la auditoría solo en las computadoras directamente en las que se almacenan los objetos rastreados.

Simplemente habilitar la política de auditoría no es suficiente, también necesitamos especificar a qué carpetas rastrear el acceso. Por lo general, estos objetos son carpetas de documentos compartidos (compartidos) y carpetas con programas de producción o bases de datos (contabilidad, almacén, etc.), es decir, recursos con los que trabajan varias personas.

Es imposible adivinar de antemano quién eliminará el archivo, por lo tanto, el seguimiento está indicado para Todos. Se registrarán los intentos exitosos de eliminar objetos rastreados por parte de cualquier usuario. Llame a las propiedades de la carpeta requerida (si hay varias carpetas de este tipo, entonces todas a su vez) y en la pestaña Seguridad → Avanzado → Auditoría agregar seguimiento de sujetos Todo el mundo sus intentos de acceso exitosos Borrar y Eliminar subcarpetas y archivos:

Se pueden registrar muchos eventos, por lo que también debe ajustar el tamaño del registro Seguridad(Seguridad) en el que se grabarán. Para
ejecutar este comando Comienzo→ Correr→ eventvwr. msc. En la ventana que aparece, llame a las propiedades del registro de seguridad y especifique los siguientes parámetros:

Tamaño máximo de registro = 65536 KB(para estaciones de trabajo) o 262144 KB(para servidores)

Sobrescriba los eventos según sea necesario.

De hecho, no se garantiza que estas cifras sean precisas, sino que se seleccionan empíricamente para cada caso específico.

Ventanas 2003/ XP)?

Haga clic en Comienzo→ Correr→ eventvwr.msc Seguridad. Vista→ Filtrar

• Origen del evento: seguridad;
• Categoría: Acceso a objetos;
• Tipos de eventos: Auditoría de éxito;
• Id. De suceso: 560;

Revise la lista de eventos filtrados, teniendo en cuenta los siguientes campos dentro de cada registro:

• ObjetoNombre. El nombre de la carpeta o archivo que está buscando;
• ImagenExpedienteNombre. El nombre del programa con el que se eliminó el archivo;
• Accesos. El conjunto de derechos solicitados.

El programa puede solicitar varios tipos de acceso del sistema a la vez, por ejemplo, Borrar+ Sincronizar o Borrar+ Leer_ Control. Un derecho importante para nosotros es Borrar.

Entonces, ¿quién eliminó los documentos (Ventanas 2008/ Vista)?

Haga clic en Comienzo→ Correr→ eventvwr.msc y abra el registro para verlo Seguridad. El registro se puede llenar con eventos que no están directamente relacionados con el problema. Haga clic con el botón derecho en el registro de seguridad y seleccione Vista→ Filtrar y filtrar la vista según los siguientes criterios:

• Origen del evento: seguridad;
• Categoría: Acceso a objetos;
• Tipos de eventos: Auditoría de éxito;
• Id. De suceso: 4663;

Tómese su tiempo para interpretar todas las eliminaciones como maliciosas. Esta función se utiliza a menudo cuando trabajo rutinario programas, por ejemplo, ejecutando el comando Ahorrar(Ahorrar), programas de paquete MicrosoftOficina primero cree un nuevo archivo temporal, guarde el documento en él y luego elimine versión previa expediente. Asimismo, muchas aplicaciones de bases de datos primero crean un archivo de bloqueo temporal al iniciarse. (. lck), luego retírelo al salir del programa.

En la práctica, también me he encontrado con un comportamiento de usuario malintencionado. Por ejemplo, un empleado en conflicto de una determinada empresa, al ser despedido de su trabajo, decidió destruir todos los resultados de su trabajo eliminando los archivos y carpetas con los que estaba relacionado. Los eventos de este tipo son claramente visibles: generan decenas, cientos de entradas por segundo en el registro de seguridad. Por supuesto, recuperar documentos de SombraCopias (Copias de sombra) o un archivo diario creado automáticamente no es difícil, pero al mismo tiempo podría responder a las preguntas "¿Quién hizo esto?" y "¿Cuándo sucedió esto?"

Anotación: La conferencia final proporciona recomendaciones finales para la implementación. medios tecnicos protección de la información confidencial, las características y principios de funcionamiento de las soluciones InfoWatch se discuten en detalle

Soluciones de software InfoWatch

El propósito de este curso no es un conocimiento detallado de los detalles técnicos del trabajo de los productos InfoWatch, por lo tanto, los consideraremos desde el lado técnico del marketing. Los productos de InfoWatch se basan en dos tecnologías fundamentales: filtrado de contenido y auditoría de las acciones del usuario o administrador en el lugar de trabajo. También una parte integral de la compleja solución InfoWatch es un depósito de información que ha salido del sistema de información y una consola de administración de seguridad interna unificada.

Filtrado de contenido de canales de movimiento de información

La principal característica distintiva del filtrado de contenido de InfoWatch es el uso de un kernel morfológico. A diferencia del filtrado de firmas tradicional, la tecnología de filtrado de contenido de InfoWatch tiene dos ventajas: insensibilidad a la codificación elemental (reemplazando un carácter por otro) y mayor rendimiento. Dado que el núcleo no funciona con palabras, sino con formas de raíz, automáticamente corta las raíces que contienen codificaciones mixtas. Además, trabajar con raíces, de las que hay menos de diez mil en cada idioma, y ​​no con formas de palabras, de las que hay alrededor de un millón en idiomas, permite mostrar resultados significativos en equipos bastante improductivos.

Auditoría de las acciones de los usuarios

Para monitorear las acciones del usuario con documentos en una estación de trabajo, InfoWatch ofrece varios interceptores en un agente en una estación de trabajo: interceptores para operaciones de archivos, operaciones de impresión, operaciones dentro de aplicaciones, operaciones con dispositivos conectados.

Repositorio de información que ha salido del sistema de información por todos los canales.

InfoWatch ofrece un repositorio de información que ha salido del sistema de información. Los documentos que pasan por todos los canales que conducen al exterior del sistema (correo electrónico, Internet, medios impresos y extraíbles) se guardan en la * aplicación de almacenamiento (hasta 2007, el Servidor de almacenamiento de Traffic Monitor) indicando todos los atributos: nombre y cargo del usuario, sus proyecciones electrónicas (dirección IP, cuenta o dirección postal), fecha y hora de la operación, nombre y atributos de los documentos. Toda la información está disponible para su análisis, incluido el análisis de contenido.

Acciones asociadas

La introducción de medios técnicos para proteger la información confidencial parece ser ineficaz sin el uso de otros métodos, principalmente organizativos. Ya hemos comentado algunos de ellos anteriormente. Ahora vamos a detenernos con más detalle en otras acciones necesarias.

Patrones de comportamiento de los infractores

Habiendo desplegado un sistema de seguimiento de acciones con información confidencial, además de incrementar la funcionalidad y las capacidades analíticas, es posible desarrollarlo en dos direcciones más. El primero es la integración de sistemas de protección contra amenazas internas y externas. Los incidentes de los últimos años muestran que existe una distribución de roles entre atacantes internos y externos, y la combinación de información de los sistemas de monitoreo de amenazas externas e internas permitirá detectar los hechos de tales ataques combinados. Uno de los puntos de contacto entre la seguridad externa e interna es la gestión de los derechos de acceso, especialmente en el contexto de la simulación de la necesidad industrial de incrementar los derechos de los empleados desleales y saboteadores. Cualquier solicitud de acceso a recursos que no esté estipulada por los deberes oficiales debe incluir de inmediato un mecanismo de auditoría de las acciones con esta información. Es incluso más seguro resolver problemas que surgen repentinamente sin abrir el acceso a los recursos.

Tomemos un ejemplo de la vida real. El administrador del sistema recibió una solicitud del jefe del departamento de marketing para abrir el acceso al sistema financiero. Se adjuntó una asignación como justificación de la solicitud. director general para la investigación de mercados de los procesos de compra de bienes producidos por la empresa. Dado que el sistema financiero es uno de los recursos más protegidos y el permiso para acceder a él lo otorga el director general, jefe de departamento. seguridad de información escribió en la aplicación solución alternativa- no otorgue acceso, pero cargue datos anonimizados (sin especificar clientes) a una base de datos especial para su análisis. En respuesta a las objeciones del jefe de marketing de que le resultaba inconveniente trabajar de esta manera, el director le hizo una pregunta directa: "¿Por qué necesita los nombres de los clientes? ¿Quiere fusionar la base de datos?" -después de eso todo el mundo se fue a trabajar. Si esto fue un intento de organizar una filtración de información, nunca lo sabremos, pero sea lo que sea, el sistema financiero corporativo estaba protegido.

Prevención de fugas durante la fase de preparación

Otra dirección en el desarrollo de un sistema de monitoreo de incidentes internos con información confidencial es la construcción de un sistema de prevención de fugas. El algoritmo de funcionamiento de dicho sistema es el mismo que en las soluciones para la prevención de intrusiones. Primero, se construye un modelo del intruso, según el cual se forma una "firma de violación", es decir, una secuencia de acciones del intruso. Si varias acciones del usuario coinciden con la firma de infracción, se predice el siguiente paso del usuario, si también coincide con la firma, se genera una alarma. Por ejemplo, se abrió un documento confidencial, se seleccionó parte de él y se copió en el portapapeles, luego se nuevo documento y el contenido del búfer se ha copiado en él. El sistema asume que si posteriormente se guarda un nuevo documento sin la etiqueta "confidencial", se trata de un intento de robo. La unidad USB aún no se ha insertado, no se ha formado una letra y el sistema informa al oficial de seguridad de la información que decide si detener al empleado o rastrear a dónde va la información. Por cierto, los modelos (en otras fuentes, "perfiles") del comportamiento del infractor se pueden utilizar no solo mediante la recopilación de información de los agentes de software. Si analiza la naturaleza de las consultas a la base de datos, siempre puede identificar a un empleado que, con una serie de consultas sucesivas a la base de datos, está tratando de obtener una porción específica de información. Es necesario rastrear inmediatamente qué hace con estas solicitudes, si las guarda, si conecta medios extraíbles, etc.

Organización del almacenamiento de información

Los principios del anonimato y el cifrado de datos: condición requerida organización del almacenamiento y procesamiento, y acceso remoto se puede organizar según el protocolo del terminal, sin dejar ningún dato en el ordenador desde el que se organiza la solicitud.

Integración con sistemas de autenticación

Tarde o temprano, el cliente tendrá que utilizar un sistema para monitorear acciones con documentos confidenciales para resolver problemas de personal, por ejemplo, despedir a los empleados en base a hechos documentados por este sistema o incluso procesar a los que filtraron. Sin embargo, todo lo que puede dar el sistema de monitoreo es el identificador electrónico del intruso: la dirección IP, cuenta, dirección de correo electrónico, etc. Para acusar legalmente a un empleado, debe vincular este identificador a la persona. Aquí se abre un nuevo mercado para el integrador: la introducción de sistemas de autenticación, desde simples tokens hasta identificadores RFID y biométricos avanzados.

Para auditar el acceso a archivos y carpetas en Windows Server 2008 R2, debe habilitar la función de auditoría, así como especificar las carpetas y archivos a los que desea registrar el acceso. Después de configurar la auditoría, el registro del servidor contendrá información sobre el acceso y otros eventos para los archivos y carpetas seleccionados. Cabe señalar que la auditoría del acceso a archivos y carpetas solo se puede realizar en volúmenes con el sistema de archivos NTFS.

Cómo habilitar la auditoría para objetos del sistema de archivos en Windows Server 2008 R2

La auditoría del acceso a archivos y carpetas se habilita y deshabilita mediante políticas de grupo: políticas de dominio para el dominio de Active Directory o políticas de seguridad local para servidores independientes. Para habilitar la auditoría en un servidor separado, debe abrir la consola de administración político local Inicio ->TodosProgramas ->AdministrativoHerramientas ->LocalSeguridadPolítica... En la consola de políticas locales, expanda el árbol de políticas locales ( LocalPolíticas) y seleccione el artículo AuditoríaPolítica.

En el panel derecho, seleccione el elemento AuditoríaObjetoAcceso y en la ventana que aparece, especifique qué tipos de eventos de acceso a archivos y carpetas deben registrarse (acceso exitoso / no exitoso):

Después de la selección ajuste requerido Necesito presionar está bien.

Seleccionar archivos y carpetas, cuyo acceso se grabará

Una vez activada la auditoría de acceso a archivos y carpetas, es necesario seleccionar objetos específicos sistema de archivos, cuyo acceso será auditado. Al igual que los permisos NTFS, la configuración de auditoría se hereda de forma predeterminada para todos objetos secundarios(a menos que se configure de otra manera). De la misma manera que al asignar permisos a archivos y carpetas, la herencia de la configuración de auditoría se puede habilitar para todos o solo para los objetos seleccionados.

Para configurar la auditoría para una carpeta / archivo específico, debe hacer clic derecho sobre él y seleccionar Propiedades ( Propiedades). En la ventana de propiedades, vaya a la pestaña Seguridad ( Seguridad) y presione el botón Avanzado... En la ventana de configuración de seguridad avanzada ( AvanzadoSeguridadAjustes) vaya a la pestaña Auditoría ( Revisión de cuentas). La configuración de la auditoría, naturalmente, requiere derechos de administrador. Sobre este escenario la ventana de auditoría mostrará una lista de usuarios y grupos para los que la auditoría está habilitada para este recurso:

Para agregar usuarios o grupos cuyo acceso a este objeto será arreglado, debe presionar el botón Agregar ... y especifique los nombres de estos usuarios / grupos (o especifique Todo el mundo- auditar el acceso de todos los usuarios):

Inmediatamente después de aplicar esta configuración en el registro del sistema de seguridad (puede encontrarla en el complemento ComputadoraGestión -> Visor de eventos), cada vez que acceda a objetos para los que la auditoría esté habilitada, aparecerán las entradas correspondientes.

Alternativamente, los eventos se pueden ver y filtrar mediante el cmdlet de PowerShell: Get-EventLog Por ejemplo, para mostrar todos los eventos del eventid 4660, ejecute el comando:

Seguridad Get-EventLog | ? ($ _. eventid -eq 4660)

Consejo... Es posible nombrar para cualquier evento en Revista de Windows ciertas acciones, como enviar Email o ejecución de script. Cómo se configura se describe en el artículo:

UPD desde el 08/06/2012 (Gracias al comentarista).

En Windows 2008 / Windows 7 para la gestión de auditorías apareció utilidad especial auditpol. Lista llena Los tipos de objetos en los que puede habilitar la auditoría se pueden ver usando el comando:

Auditpol / lista / subcategoría: *

Como puede ver, estos objetos se dividen en 9 categorías:

• Sistema
• Iniciar sesión / Cerrar sesión
• Acceso a objetos
• Uso de privilegios
• Seguimiento detallado
• Cambio de política
• Administración de cuentas
• Acceso DS
• Inicio de sesión de cuenta

Y cada uno de ellos, respectivamente, se divide en subcategorías. Por ejemplo, la categoría de auditoría Acceso a objetos incluye la subcategoría Sistema de archivos y, para habilitar la auditoría de los objetos del sistema de archivos en la computadora, ejecute el comando:

Auditpol / set / subcategory: "Sistema de archivos" / failure: enable / success: enable

Se apaga, respectivamente, con el comando:

Auditpol / set / subcategory: "Sistema de archivos" / error: deshabilitar / éxito: deshabilitar

Aquellos. Si desactiva la auditoría de subcategorías innecesarias, puede reducir significativamente el tamaño del registro y la cantidad de eventos innecesarios.

Una vez activada la auditoría de acceso a archivos y carpetas, es necesario especificar los objetos específicos que controlaremos (en las propiedades de archivos y carpetas). Tenga en cuenta que, de forma predeterminada, la configuración de auditoría se hereda en todos los objetos secundarios (a menos que se indique lo contrario).

La necesidad de implementar sistemas de auditoría para las acciones de los usuarios en organizaciones de cualquier nivel está convencida por la investigación de empresas involucradas en análisis de seguridad de la información.

Un estudio de Kaspersky Lab, por ejemplo, mostró que dos tercios de los incidentes de ciberseguridad (67%) son causados, entre otras cosas, por las acciones de empleados mal informados o distraídos. Al mismo tiempo, según la investigación de ESET, el 84% de las empresas subestiman los riesgos asociados con los factores humanos.

Defenderse contra amenazas asociadas con el usuario "desde adentro" es más desafiante que defenderse contra amenazas externas. Para contrarrestar las "plagas" externas, incluidos los virus y los ataques dirigidos a la red de la organización, basta con implementar el software apropiado o el complejo hardware-software. Mantener una organización a salvo de un atacante interno requerirá más inversión en infraestructura de seguridad y análisis en profundidad. El trabajo analítico incluye la identificación de los tipos de amenazas que son más críticas para el negocio, así como la elaboración de “retratos de infractores”, es decir, determinar qué daño puede causar un usuario en función de sus competencias y poderes.

La auditoría de las acciones de los usuarios está indisolublemente vinculada no solo con la comprensión de qué "brechas" en el sistema de seguridad de la información deben cerrarse rápidamente, sino también con la cuestión de la sostenibilidad empresarial en su conjunto. Las empresas que están comprometidas con la continuidad del negocio deben tener en cuenta que con la creciente complejidad y el aumento de los procesos de informatización y automatización empresarial, el número de amenazas internas no hace más que crecer.

Además de rastrear las acciones de un empleado común, es necesario auditar las operaciones de los "superusuarios": empleados con derechos privilegiados y, en consecuencia, más oportunidades para implementar accidental o deliberadamente la amenaza de fuga de información. Estos usuarios incluyen administradores de sistemas, administradores de bases de datos y desarrolladores de firmware. También puede agregar especialistas de TI involucrados y empleados a cargo de la seguridad de la información aquí.

La introducción de un sistema para monitorear las acciones de los usuarios en la empresa le permite registrar y responder rápidamente a la actividad de los empleados. Importante: el sistema de auditoría debe ser inclusivo. Esto significa que la información sobre las actividades de un empleado ordinario, administrador de sistema o un alto directivo necesita ser analizado a nivel sistema operativo, uso de aplicaciones comerciales, a nivel dispositivos de red, llamadas a bases de datos, conexiones de medios externos, etc.

Sistemas modernos La auditoría integral le permite controlar todas las etapas de las acciones del usuario desde el inicio hasta el apagado de la PC (estación de trabajo terminal). Es cierto que en la práctica intentan evitar el control total. Si todas las operaciones se registran en los registros de auditoría, la carga en la infraestructura del sistema de información de la organización aumenta muchas veces: las estaciones de trabajo están "colgadas", los servidores y los canales funcionan a plena carga. La paranoia sobre la seguridad de la información puede dañar una empresa al ralentizar significativamente los procesos de trabajo.

Un especialista en seguridad de la información competente determina principalmente:

• qué datos de la empresa son más valiosos, ya que la mayoría de las amenazas internas estarán asociadas a ellos;
• quién y a qué nivel puede tener acceso a datos valiosos, es decir, describe el círculo de posibles infractores;
• en qué medida las medidas de protección actuales son capaces de resistir acciones intencionales y / o accidentales de los usuarios.

Por ejemplo, los especialistas en ciberseguridad del sector financiero consideran que las amenazas de la fuga de datos de pago y el abuso de acceso son las más peligrosas. En el sector industrial y del transporte, los mayores temores son las fugas de conocimiento y los trabajadores desleales. Existen preocupaciones similares en el negocio de las tecnologías de la información y las telecomunicaciones, donde las amenazas más críticas son la filtración de desarrollos patentados, secretos comerciales e información de pago.

COMO LOS INTERRUPTORES MÁS PROBABLES "TÍPICOS", EL ANALISTA IDENTIFICA:

• Alta gerencia: la elección es obvia: los poderes más amplios posibles, el acceso a la mayor cantidad de Información valiosa... Al mismo tiempo, los responsables de la seguridad a menudo hacen la vista gorda ante las violaciones de las reglas de seguridad de la información por parte de tales figuras.
• Empleados desleales : para determinar el grado de lealtad, los especialistas en seguridad de la información de la empresa deben realizar un análisis de las acciones de un empleado individual.
• Administradores: Los profesionales con acceso privilegiado y privilegios avanzados con profundos conocimientos de TI se ven tentados a obtener Acceso no autorizado Para información importante;
• Empleados de contratistas / subcontratación : al igual que los administradores, los expertos "del exterior", que poseen un amplio conocimiento, pueden implementar diversas amenazas mientras están "dentro" del sistema de información del cliente.

La determinación de la información más significativa y los intrusos más probables ayuda a construir un sistema de control no total, sino selectivo de los usuarios. Esto "descarga" sistema de informacion y libera a los especialistas en seguridad de la información del trabajo redundante.

Además del monitoreo selectivo, la arquitectura de los sistemas de auditoría juega un papel importante en acelerar el rendimiento del sistema, mejorar la calidad del análisis y reducir la carga en la infraestructura. Los sistemas modernos para auditar las acciones de los usuarios tienen una estructura distribuida. En las estaciones de trabajo y servidores finales, se instalan agentes sensores que analizan eventos de cierto tipo y transmiten datos a los centros de consolidación y almacenamiento. Los sistemas de análisis de la información registrada en base a los parámetros establecidos en el sistema encuentran hechos de actividad sospechosa o anómala en los registros de auditoría, que no pueden atribuirse inmediatamente a un intento de implementar una amenaza. Estos hechos se transmiten al sistema de respuesta, que notifica al administrador de seguridad de la violación.

Si el sistema de auditoría es capaz de hacer frente de forma independiente a una infracción (normalmente en tales complejos de SI, se proporciona un método de firma para responder a una amenaza), entonces la infracción se suprime en modo automatico, y toda la información necesaria sobre el intruso, sus acciones y el objeto de la amenaza cae en una base de datos especial. En este caso, la Consola de administración de seguridad le notifica que la amenaza ha sido neutralizada.

Si el sistema no tiene formas de responder automáticamente a una actividad sospechosa, entonces toda la información para neutralizar la amenaza o analizar sus consecuencias se transmite a la consola del administrador de SI para operaciones manuales.

EN EL SISTEMA DE SEGUIMIENTO DE CUALQUIER ORGANIZACIÓN, SE DEBEN ESTABLECER OPERACIONES:

Auditoría del uso de estaciones de trabajo, servidores, así como del tiempo (por horas y días de la semana) de la actividad del usuario en ellos. De esta forma se establece la conveniencia de utilizar los recursos de información.