Espacios. Espacios. Vol. 31 (1) 2010. Pág. 16

Propuesta de metodología de gestión de seguridad de las TIC’s para el sector universitario venezolano

Proposed methodology for management of the security for the information technology and communications ITC’s sector venezuelan university

Vidalina De Freitas*

Recibido: 15-09-09 - Aprobado: 01-08-09


Contenido


RESUMEN:
Con la era de la informática y las telecomunicaciones, los administradores o responsables de la seguridad de la información de las empresas y en particular de las universidades, deben enfrentar los desafíos que implica el mantener las operaciones de manera segura y eficiente de sus sistemas y activos en general. Cada día aumentan los incidentes de seguridad de la información convirtiéndose en una real amenaza para los administradores. El objetivo del presente artículo es presentar a la comunidad académica una metodología que ayude, a los administradores o responsables de las Tecnologías de la Información y las Comunicaciones (TIC’s), disminuir el riesgo asociado a sus activos, beneficiando de esta manera a las universidades en virtud que se obtiene una evaluación de la seguridad lo suficientemente adecuada, orientada a proponer recomendaciones para lograr el éxito del resguardo óptimo de sus activos. La metodología utilizada está fundamentada en investigaciones relacionadas con el tema, la norma ISO 27001:2005 y los estándares SSE_CMM, COBIT, ITIL, ISM3, CISSP CBK y Octave.
Palabras Clave: Seguridad, Resguardo de los activos de información, Gestión de Riesgos, Metodología.

ABSTRACT:
With the era of information technology and telecommunications, or managers responsibles for information security of enterprises and universities, must face the challenges of maintaining the operations safely and efficiently their systems and assets in general. Every day the increasing incidents of information security are becoming a real threat to administrators. The aim of this article is to present to the academic community a methodology that helps administrators or responsibles for Information Technology and Communications (ITC's), to reduce the risk associated with their assets, benefiting the universities since an enoughly advance security evaluation is obtained, targeted to propose recommendations for successful stewardship of the optimum of their assets. The methodology is based on research related to the topic, ISO 27001:2005 and the standards SSE_CMM, COBIT, ITIL, ISM3, CISSP CBK and Octave.
Key Word: Security, Safeguarding information assets, Risk Management, Methodology.

1. Introducción

Cada vez con más frecuencia las empresas se están apoyando en la automatización de los sistemas de información, en los avances de las comunicaciones y en la Internet, haciéndose más dependiente de la tecnología. Por lo que una interrupción en el funcionamiento de los sistemas informáticos de una empresa (originados por cualquier causa, tales como desastres naturales, interrupción de suministro eléctrico o entradas de virus, entre otros), afectaría directamente su funcionamiento o actividades.

Las ventajas potenciales de estas tecnologías para una organización incluyen desde los beneficios de carácter operativo, como el aumento de la eficiencia (por ejemplo, automatización de procedimientos rutinarios), hasta los beneficios de carácter estratégico, como la mejora de los procesos empresariales (Pradas, 1999; Aguila, Padilla, Serarols y Veciana, 2001).

Lo relacionado a la seguridad de los sistemas informáticos en el sector público es muy importante, dado que frecuentemente son parte de la infraestructura crítica, que tratan datos personales o sensitivos (Stoneburner, Goguen y Feringa, 2002).

Sin embargo, en los últimos años se ha visto un incremento en los ataques a los sistemas informáticos de las empresas. Estos ataques van dirigidos a empresas, instituciones y organizaciones públicas.

Esto último se evidencia en un estudio realizado por Espiñeira, Sheldon y Asociados (2007) a 436 empresas venezolanas, donde las empresas encuestadas reportaron un incremento general de incidentes en relación con los resultados obtenidos en el año 2006, y que se corresponde con resultados en mediciones similares a nivel internacional.

Se evidencia que los métodos tradicionales de seguridad, generalmente, eran reactivos, ya hoy en día no son suficientes para combatir estos ataques organizados. Pudiéndose afirmar que la seguridad cobra cada día mayor importancia en el mundo de las empresas. Pero, la seguridad no debe ser percibida como una respuesta meramente tecnológica, más bien debe ser vista como una estrategia con visión global, que comprende el análisis de los procesos de la organización para determinar qué mecanismos se deben desplegar y dar apoyo a la táctica que se haya definido. Por lo tanto, se debe trabajar con un proceso estructurado apoyado en metodologías y estándares.

Para el año 2001, ya algunas organizaciones usaban procesos formales de gestión de riesgo en algunas partes de su negocio (Hoffman, 1998). Sin embargo, hoy en día, no se ha visto un incremento importante. Esta afirmación se evidencia en la encuesta realizada por Espiñeira, Sheldon y Asociados (2007), ya que sólo el 25% de las empresas encuestadas afirmó que las evaluaciones de Seguridad de Información (práctica de seguridad de activos de información) se realizan anualmente, mientras que el 44% las ejecuta eventualmente. Esta baja tasa de divulgación de tecnologías de la gestión de riesgo, se debe a tres razones principales (Kontio, 1997): falta de conocimiento sobre posibles métodos y herramientas, limitaciones prácticas y teóricas de los marcos de gestión de riesgos que entorpecen la facilidad de uso de estos métodos, y aún hoy en día, hay pocos informes con evaluaciones sistemáticas o científicas que proporcionen feedback empírico sobre su viabilidad y beneficios.

En este orden de ideas, de acuerdo a Espiñeira, Sheldon y Asociados (2007), para los encuestados, los principales obstáculos que presenta la práctica de seguridad de activos de información son la falta de cultura/adiestramiento de los usuarios (56%), restricciones de presupuesto (51%), ausencia de personal especializado en seguridad de información (42%) y falta de tiempo dedicado a la seguridad de información (42%).

Pero, a pesar de la importancia que hoy en día se debe dar a la seguridad de los activos, se puede observar que la alta gerencia no se preocupa porque se evalúe e implementen mecanismos de seguridad, esto se puede evidenciar en las repuestas dadas por los encuestados a la firma Espiñeira, Sheldon y Asociados (2007), donde la seguridad de información es altamente importante solo para el 33% de las empresas, mientras que el 31% descartan absolutamente la importancia de este tema y el 36% lo consideran con importancia media o baja. Y más aún, sólo el 45% de las empresas encuestadas manifestaron contar con políticas y procedimientos de seguridad de información documentada formalmente, que en su mayoría son actualizados anualmente.

La seguridad de las Tecnologías de la Información y las Comunicaciones (TIC’s) particularmente en el sector público es muy importante dado que frecuentemente es parte de la infraestructura crítica, que tratan con datos personales o sensitivos. En este sector se realizan funciones que afectan la economía, la vida social, el desarrollo de nuevas leyes y vela por el cumplimiento de éstas. El sector público lo constituye la educación, los servicios sanitarios, la seguridad social, las entidades financieras, entre otras, que son vitales para el desarrollo de la sociedad. En estos organismos tiene relevancia el impacto social, la confianza institucional, la legalidad, entre otros.

El sector universitario, y en particular el sector académico, no escapa de esta realidad. Las universidades manejan grandes volúmenes de datos, además de poseer una infraestructura compleja y dinámica por la misión que debe cumplir.

Por lo que la seguridad de las TIC’s es un aspecto muy importante. La seguridad de la información tiene como principal objetivo la de proteger adecuadamente los activos para asegurar la continuidad de sus operaciones, minimizar los daños de la organización y maximizar el retorno de las inversiones y las oportunidades de negocio (ISO/EIC 27001).

Por ello, han surgido múltiples metodologías y estándares para manejar la seguridad (como ISO 27001:2005, SEE_CMM, Cobit, ITIL, ISM3, entre otros). Sin embargo, se requiere incorporar los cambios necesarios para que se ajusten a los requerimientos particulares de cada empresa.

2. Metodologías y estándares

Durante los últimos años se ha visto el florecimiento de una amplia variedad de métodos, herramientas y técnicas que permiten evaluar y medir los peligros de la sistematización. Estos métodos, herramientas y técnicas son reajustados continuamente para obtener los mejores beneficios.

Así mismo, se han generado normativas para la seguridad de la información como ISO/IEC 17799:2005 e ISO/IEC 27001:2005, las cuales facilitan el análisis, diseño e implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI), e ISO/IEC 27001 que permite certificación.

La metodología propuesta en este artículo es el resultado de un análisis profundo de diferentes referencias teóricas entre las que se destacan: ISO/IEC 27001, ISO 27001 y los estándares SSE_CMM, COBIT, ITIL, ISM3, CISSP CBK y Octave, e investigaciones relacionadas con la seguridad de la información.

Por su parte, el SSE_CMM – ISO/IEC 21827:2002, del inglés Systems Security Engineering – Capability Maturity Model, permite afianzar el proceso de seguridad personalizado para cada organización, medir su capacidad y establecer los planes de mejora que se deseen alcanzar (Velásquez y Estayno, 2007).

La normativa contenida en Cobit (Control Objectives for Information and related Technology), es el estándar mundial para la Auditoria informática. Es un modelo de madurez empleado tradicionalmente para la valoración de los controles de seguridad.

El conjunto de conceptos y técnicas para manejar la infraestructura, desarrollo y operaciones de la tecnología de la información, se encuentra en ITIL, del inglés Information Technology Infrastructure Library, e incluye controles directamente relacionados con la seguridad de información.

Los aspectos relacionados con la seguridad de información a nivel internacional incluyendo en uno de sus dominios el desarrollo de sistemas y aplicaciones con los conceptos que se deben aplicar, se denomina CISSP CBK, por sus siglas en inglés, Certified Information Systems Security Professional – Common Body of Knowledge.

El enfoque para especificar, implementar, operar y evaluar los sistemas de seguridad está representado en ISMMM o ISM3, por sus siglas en inglés, Information Security Management Maturity Model (modelo de madurez de la gestión de la seguridad de la información) (Aceituno, 2006). La metodología que permite evaluar los riesgos de una compañía ante sus activos críticos de información, las necesidades de negocio, las amenazas y las vulnerabilidades, es denominada Octave, del inglés Operationally Critical Threat, Asset and Vulnerability Evaluation. Octave se erige frente a otras metodologías como un modelo robusto, capaz de dar respuesta a todo tipo de vulnerabilidades.

El proceso de adopción de normas, métodos, herramientas o técnicas genera cambios en la estructura, procesos, personas, documentación y hasta en la cultura organizacional (Velásquez y Estayno, 2007), por lo que es necesario facilitarle a las empresas, y en particular a las universidades venezolanas, la adopción de buenas prácticas de calidad y seguridad.

Las universidades tienen la particularidad de poseer redes con características dinámicas, debido al tipo de usuarios, conformados por: estudiantes, docentes e investigadores. La implementación de una metodología involucra un conocimiento claro del sistema de red que se maneje, el flujo de datos, servicios que presta, funcionamiento de la herramienta, determinación de una arquitectura de monitoreo, evaluación de funcionalidad y rendimiento.

La presente propuesta unifica los controles de seguridad de los diferentes estándares y metodologías.

[inicio] [siguiente]


* Email: vfreitas@usb.ve

Vol. 31 (1) 2010
[Índice]