PONTIFICIA UNIVERSIDAD CATÓLICA DEL ECUADOR SEDE SANTO DOMINGO
Dirección de Postgrados
GESTIÓN TI UTILIZANDO LA NORMA ISO/IEC 27001 PARA LA SEGURIDAD DE LA INFORMACIÓN EN EL INSTITUTO SUPERIOR TECNOLÓGICO TSA’CHILA Trabajo de Titulación previo a la obtención del título de Magíster en Tecnologías de la Información Modalidad Proyecto de titulación con componente de investigación aplicada y/o desarrolloMTI
Línea de Investigación: Tecnologías de la información y la comunicación.
Autoría:
CRISTHIAN DAMIAN ESCOBAR JARAMILLO
Dirección:
Mg. RODOLFO SIRILO CÓRDOVA GÁLVEZ
Santo Domingo – Ecuador Mayo, 2021
PONTIFICIA UNIVERSIDAD CATÓLICA DEL ECUADOR SEDE SANTO DOMINGO
Dirección de Postgrados
HOJA DE APROBACIÓN GESTIÓN TI UTILIZANDO LA NORMA ISO/IEC 27001 PARA LA SEGURIDAD DE LA INFORMACIÓN EN EL INSTITUTO SUPERIOR TECNOLÓGICO TSA’CHILA
Línea de Investigación: Tecnologías de la información y la comunicación. Autoría:
CRISTHIAN DAMIAN ESCOBAR JARAMILLO
Rodolfo Sirilo Córdova Gálvez, Mg. DIRECTOR DE TRABAJO DE TITULACIÓN Franklin Andrés Carrasco Ramírez, Mg. CALIFICADOR
f._____________________
William Javier Ocampo Pazos, Mg. CALIFICADOR
f._____________________
Yullio Cano de la Cruz, Mg. DIRECTOR DE POSTGRADOS
f._____________________
Santo Domingo – Ecuador Mayo, 2021
iii
DECLARACIÓN DE AUTENTICIDAD Y RESPONSABILIDAD Yo, CRISTHIAN DAMIAN ESCOBAR JARAMILLO portador de la cédula de ciudadanía No. 171552427-6 declaro que los resultados obtenidos en la investigación que presento como informe final, previo la obtención del Título de Magíster en Tecnologías de la Información son absolutamente originales, auténticos y personales. En tal virtud, declaro que el contenido, las conclusiones y los efectos legales y académicos que se desprenden del trabajo propuesto de investigación y luego de la redacción de este documento son y serán de mi sola y exclusiva responsabilidad legal y académica. Igualmente declaramos que todo resultado académico que se desprenda de esta investigación y que se difunda, tendrá como filiación la Pontificia Universidad Católica del Ecuador, Sede Santo Domingo, reconociendo en las autorías al director del Trabajo de Titulación y demás profesores que amerita. Estas publicaciones presentarán el siguiente orden de aparición en cuanto a los autores y coautores: en primer lugar, a los estudiantes autores de la investigación; en segundo lugar, al director del trabajo de titulación y, por último, siempre que se justifique, otros colaboradores en la publicación y trabajo de titulación.
Cristhian Damian Escobar Jaramillo CI. 171552427-6
iv
INFORME
DE
TRABAJO
DE
TITULACIÓN
ESCRITO
DE
POSTGRADO Yullio Cano de la Cruz, Mg. Dirección de Postgrados Pontificia Universidad Católica del Ecuador Sede Santo Domingo De mi consideración, Por medio del presente informe en calidad del director del Trabajo de Titulación de Postgrado de MAESTRÍA EN TECNOLOGÍAS DE LA INFORMACIÓN, titulado GESTIÓN TI UTILIZANDO LA NORMA ISO/IEC 27001 PARA LA SEGURIDAD DE LA INFORMACIÓN EN EL INSTITUTO SUPERIOR TECNOLÓGICO TSA’CHILA realizado por el maestrante: CRISTHIAN ESCOBAR JARAMILLO con cédula: No 1715524276, previo a la obtención del Título de Magíster en Tecnologías de la Información, informo que el presente trabajo de titulación escrito se encuentra finalizado conforme a la guía y el formato de la Sede vigente. Santo Domingo, 11 de mayo de 2021 Atentamente,
Rodolfo Sirilo Córdova Gálvez, Mg. Profesor Titular Auxiliar II
v
AGRADECIMIENTOS Mi primer agradecimiento a Dios por guiarme, bendecirme en las decisiones que he tomado a lo largo de mi existencia por ser la fortaleza en los momentos buenos y difíciles. Mi segundo agradecimiento a la Pontificia Universidad Católica del Ecuador – Sede Santo Domingo, a los docentes que contribuyeron en el proceso de formación profesional en la maestría en tecnologías de la información, y un agradecimiento especial a mi tutor Mg. Rodolfo Córdoba, por compartir sus conocimientos con su dirección, enseñanza y colaboración aporto en el desarrollo de este trabajo de investigación.
vi
DEDICATORIA Principalmente dedico este trabajo a Dios, por haberme dado la vida, salud, bienestar y haberme permitido llegar hasta este momento tan importante en mi formación profesional. Dedico este esfuerzo a mi madre Iliana por ser uno de los pilares más importantes de mi vida por brindarme su amor incondicional. A mi padre Ramiro por brindarme sus consejos y ser el apoyo de todos los objetivos que me he propuesto, a mi hermano German por los consejos y motivación que me ha brindado. A Karen por estar conmigo en los buenos momentos y adversidades gracias al gran equipo que formamos, alcanzamos esta meta.
vii
RESUMEN El presente trabajo de investigación denominado “Gestión TI utilizando la norma ISO/IEC 27001 para la seguridad de la información en el Instituto Superior Tecnológico Tsa’chila” tiene como objetivo definir la seguridad de la información utilizando la norma ISO/IEC 27001, la problemática se determinó mediante un árbol de problemas existentes internos y externos describiendo las causas y efectos que acarrea la institución en relación a la seguridad de los procesos TI, se profundizó con la experiencia docente para reforzar las necesidades y las vulnerabilidades para ejecutar los planes y enfoques de estudio propuestos en los objetivos específicos. La información recopilada procede de fuentes bibliográficas teóricas como libros, artículos científicos, tesis que permiten marcar los lineamientos necesarios para construir la base teórico-práctica de la investigación. El trabajo se enmarca a una visión de motivar a la búsqueda de investigar, gestionar, apoyar en todo momento a los procesos de la organización, con la finalidad de cumplir los objetivos enmarcados, la metodología tiene un enfoque cuantitativo por la necesidad de tabular los resultados obtenidos de las encuestas. Se utilizó el diseño no experimental y la investigación aplicada. Palabras clave: Norma ISO; Políticas; Seguridad de datos; Gestión TI.
viii
ABSTRACT The present research work entitled "IT Management using the ISO / IEC 27001 standard for information security in the Instituto Superior Tecnológico Tsa'chila" aims to define information security using the ISO / IEC 27001 standard, the problem It was determined through a tree of existing internal and external problems describing the causes and effects that the institution has in relation to the security of IT processes, it was deepened with the teaching experience to reinforce the needs and vulnerabilities to execute the plans and approaches of study proposed in the specific objectives. The information collected comes from theoretical bibliographic sources such as books, scientific articles, theses that allow marking the necessary guidelines to build the theoretical-practical basis of the research. The work is framed within a vision of motivating the search to investigate, manage, support the processes of the organization at all times, in order to meet the framed objectives, the methodology has a quantitative approach due to the need to tabulate the results obtained from surveys. Nonexperimental design and applied research were used. Keywords: ISO standard; Policies; Data security; IT management.
ix
ÍNDICE DE CONTENIDOS
1.
Introducción........................................................................................................ 1
1.1.
Antecedentes ........................................................................................................ 1
1.2.
Delimitación del problema ................................................................................... 2
1.3.
Formulación y sistematización del problema ....................................................... 3
1.3.1.
Formulación del problema. .................................................................................. 3
1.3.2.
Sistematización del problema. Preguntas específicas. ......................................... 3
1.4.
Justificación de la investigación........................................................................... 4
1.5.
Objetivos de la investigación ............................................................................... 6
1.5.1.
Objetivo general. .................................................................................................. 6
1.5.2.
Objetivos específicos. .......................................................................................... 6
2.
Revisión de la literatura..................................................................................... 7
2.1.
Fundamentos teóricos........................................................................................... 7
2.1.1.
Seguridad de la información ................................................................................ 7
2.1.1.1.
Dimensiones de la seguridad de la información .................................................. 8
2.1.1.1.1.
Confidencialidad .................................................................................................. 8
2.1.1.1.2.
Integridad ............................................................................................................. 8
2.1.1.1.3.
Disponibilidad ...................................................................................................... 8
2.1.1.2.
Elementos de gestión de la seguridad de la información ..................................... 9
2.1.1.3.
Riesgos dentro de la seguridad en la información ............................................... 9
2.1.1.4.
Activos de la Seguridad de la Información ........................................................ 10
2.1.2.
Salvaguardas de información ............................................................................. 10
2.1.3.
Seguridad informática ........................................................................................ 11
2.1.4.
Sistema de gestión en seguridad de la información ........................................... 11
2.1.4.1.
Modelo de sistema de gestión en seguridad de la información .......................... 12
x 2.1.4.2.
Esquema Gubernamental de seguridad de la información (EGSI) .................... 12
2.1.5.
Estándares de seguridad ..................................................................................... 13
2.1.6.
Normas ISO ........................................................................................................ 13
2.1.6.1.
Norma ISO 27001 .............................................................................................. 13
2.1.6.1.1.
Sección 5. Políticas de seguridad ....................................................................... 13
2.1.6.1.2.
Sección 6 Organización de la seguridad de la información ............................... 14
2.1.6.1.3.
Sección 7 Seguridad en los recursos humanos ................................................... 15
2.1.6.1.4.
Sección 8 Gestión de activos.............................................................................. 15
2.1.6.1.5.
Sección 9 Control de acceso .............................................................................. 16
2.1.6.1.6.
Sección 10 Criptografía...................................................................................... 17
2.1.6.1.7.
Sección 11 Seguridad física y del entorno ......................................................... 17
2.1.6.1.8.
Sección 12 Seguridad de las operaciones........................................................... 18
2.1.6.1.9.
Sección 13 Seguridad de las comunicaciones .................................................... 18
2.1.6.1.10.
Sección 14 Adquisición, desarrollo y mantenimiento de sistemas .................... 19
2.1.6.1.11.
Sección 15 Gestión de incidentes de seguridad de la información .................... 20
2.1.6.1.12.
Sección 16 Aspectos de seguridad de la información de la gestión de continuidad del negocio ......................................................................................................... 20
2.1.6.1.13.
Sección 17 Cumplimiento .................................................................................. 21
2.1.6.2.
Ciclo PDCA ....................................................................................................... 22
2.1.6.3.
Estructura de la norma ISO/IEC 27001 ............................................................. 22
3.
Metodología de la investigación ...................................................................... 24
3.1.
Enfoque, diseño y tipo de investigación ............................................................ 24
3.2.
Población y muestra ........................................................................................... 25
3.3.
Técnicas e instrumentos de recogida de datos ................................................... 25
3.4.
Técnicas de análisis de datos.............................................................................. 26
4.
Resultados ......................................................................................................... 27
xi 4.1.
Resultado uno: Análisis de la situación actual en la aplicación de la norma ISO 27001 en el Instituto Superior Tecnológico Tsa’chila. ...................................... 27
4.1.1.
Análisis de la encuesta dirigida al responsable de tecnologías .......................... 27
4.1.1.1.
Resultado e interpretación de objetivos de control de Políticas de seguridad ... 29
4.1.1.2.
Resultado e interpretación de objetivos de control en Organización de seguridad de la información................................................................................................ 30
4.1.1.3.
Resultado e interpretación de controles en Seguridad en los recursos humanos31
4.1.1.4.
Resultado e interpretación de controles en Gestión de activos .......................... 32
4.1.1.5.
Resultado e interpretación de controles en Control de acceso ........................... 34
4.1.1.6.
Resultado e interpretación de controles en criptografía ..................................... 36
4.1.1.7.
Resultado e interpretación de controles en Seguridad física y del entorno ........ 37
4.1.1.8.
Resultado e interpretación de controles en Seguridad de las operaciones ......... 38
4.1.1.9.
Resultado e interpretación de controles en Seguridad de las comunicaciones .. 42
4.1.1.10.
Resultado e interpretación de controles en Adquisición, desarrollo y mantenimiento de sistemas ................................................................................ 43
4.1.1.11.
Resultado e interpretación de controles en Gestión de incidentes de seguridad de la información .................................................................................................... 43
4.1.1.12.
Resultado e interpretación de controles en Aspectos de seguridad de la información de la gestión de continuidad del negocio ....................................... 44
4.1.1.13.
Resultado e interpretación de controles en Cumplimiento ................................ 45
4.1.2.
Interpretación de resultados de la encuesta. ....................................................... 46
4.2.
Resultado dos: Determinar el estado de aplicación de los dominios de la norma 27001 en el Instituto Superior Tecnológico Tsa’chila. ...................................... 53
4.3.
Resultado tres: Política de seguridad para mejorar la seguridad de la información ............................................................................................................................ 62
5.
Discusión ........................................................................................................... 64
6.
Conclusiones y recomendaciones .................................................................... 66
6.1.
Conclusiones ...................................................................................................... 66
xii 6.2.
Recomendaciones ............................................................................................... 66
7.
Referencias bibliográficas ............................................................................... 67
8.
Anexos ............................................................................................................... 71
xiii
ÍNDICE DE FIGURAS Gráfico 1 Funcionamientos de los sistemas de información. .................................................... 7 Gráfico 2 Dimensiones de la seguridad de la información ........................................................ 8 Gráfico 3 Elementos se seguridad de la información ................................................................ 9 Gráfico 4 Técnicas de manejo del riesgo ................................................................................. 10 Gráfico 5 SGSI desde los componentes de la organización .................................................... 12 Gráfico 6 Políticas de seguridad .............................................................................................. 14 Gráfico 7 Organización de la seguridad de la información ..................................................... 14 Gráfico 8 Seguridad en los recursos humanos ......................................................................... 15 Gráfico 9 Gestión de activos .................................................................................................... 15 Gráfico 10 Control de acceso ................................................................................................... 16 Gráfico 11 Criptografía ............................................................................................................ 17 Gráfico 12 Seguridad física y del entorno ............................................................................... 17 Gráfico 13 Seguridad de las operaciones ................................................................................. 18 Gráfico 14 Seguridad de las comunicaciones .......................................................................... 19 Gráfico 15 Adquisición, desarrollo y mantenimiento de sistemas .......................................... 19 Gráfico 16 Gestión de incidentes de seguridad de la información .......................................... 20 Gráfico 17 Aspectos de seguridad de la información de la gestión de continuidad del negocio .................................................................................................................................................. 21 Gráfico 18 Cumplimiento ........................................................................................................ 21 Gráfico 19 Ciclo PDCA ........................................................................................................... 22 Gráfico 20 Estructura del estándar ISO/IEC 27001:2013........................................................ 23 Gráfico 21 Dominios 5-8 de la norma ISO 27001 ................................................................... 54 Gráfico 22 Dominios 9-11 de la norma ISO 27001 ................................................................. 56 Gráfico 23 Dominio 12 de la norma ISO 27001 ...................................................................... 58 Gráfico 24 Dominio 13-17 de la norma ISO 27001 ................................................................ 60
xiv
ÍNDICE DE TABLAS Tabla 1 Clasificación de la información en la organización ................................................... 10 Tabla 2 Escala de respuesta de encuesta a funcionario........................................................... 28 Tabla 3 Análisis diferencial para interpretación de objetivos de control ................................ 28 Tabla 4 Orientación de la dirección para la gestión de la seguridad de la información ......... 29 Tabla 5 Objetivo de control de Organización interna ............................................................. 30 Tabla 6 Objetivo de control de Dispositivos móviles y teletrabajo ........................................ 30 Tabla 7 Objetivo de control Previo al empleo ........................................................................ 31 Tabla 8 Objetivo de control Durante la ejecución del empleo ................................................ 32 Tabla 9 Objetivo de control Responsabilidad de los activos .................................................. 32 Tabla 10 Objetivo de control Clasificación de la información ............................................... 33 Tabla 11 Objetivo de control de Manejo de medios ............................................................... 33 Tabla 12 Requerimientos de negocio para el control de acceso ............................................ 34 Tabla 13 Objetivo de control Gestión de acceso a usuarios ................................................... 34 Tabla 14 Objetivo de control Responsabilidades del usuario ................................................. 35 Tabla 15 Objetivo de control de acceso a sistemas y aplicaciones ......................................... 36 Tabla 16 Objetivo de control de Controles criptográficos ...................................................... 36 Tabla 17 Objetivo de control de Áreas Seguras...................................................................... 37 Tabla 18 Objetivo de control de Equipos ............................................................................... 37 Tabla 19 Objetivo de control Procedimientos operacionales y responsabilidades ................. 38 Tabla 20 Objetivo de control Protección contra códigos maliciosos ...................................... 39 Tabla 21 Objetivo de control Copias de respaldo ................................................................... 39 Tabla 22 Objetivo de control Registro y seguimiento ............................................................ 40 Tabla 23 Objetivo de control software operacional ................................................................ 40 Tabla 24 Gestión de vulnerabilidad técnica ............................................................................ 41 Tabla 25 Objetivo de control Consideraciones sobre auditorias de sistemas de información 41
xv Tabla 26 Objetivo de control Gestión de seguridad de las redes ............................................ 42 Tabla 27 Objetivo de control Transferencia de información .................................................. 42 Tabla 28 Objetivo de control Requisitos de seguridad de los sistemas de información ......... 43 Tabla 29 Objetivo de control de Gestión de incidentes y mejoras en la seguridad de la información .............................................................................................................................. 43 Tabla 30 Objetivo de control Continuidad de la seguridad de la información ....................... 44 Tabla 31 Objetivo de control Cumplimiento de requisitos legales y contractuales ................ 45 Tabla 32 Objetivo de control Revisiones de seguridad de la información ............................. 45 Tabla 33 ¿Recibe mantenimiento periódico el computador asignado para el desarrollo de sus funciones? ................................................................................................................................ 46 Tabla 34
¿El computador asignado en el desarrollo de sus funciones posee antivirus
actualizado?.............................................................................................................................. 46 Tabla 35 ¿Su equipo cuenta con las seguridades para restringir el acceso a personal no autorizado? ............................................................................................................................... 47 Tabla 36 ¿Conoce si dentro de la institución existen políticas, normativas o Sistema de Gestión de Seguridad de la Información? ............................................................................................. 47 Tabla 37 ¿Considera necesario que la institución desarrolle e implante una normativa de Gestión de Seguridad de la información? ................................................................................ 48 Tabla 38 ¿En temas de seguridad de la información la institución capacita al personal? ...... 48 Tabla 39 ¿El IST Tsa’chila capacita al personal en temas de riesgo operativo? .................... 49 Tabla 40 ¿Cuándo ocurre un evento relacionado con riesgo operativo sabe a quién reportarlo? .................................................................................................................................................. 49 Tabla 41 ¿Existe alguna restricción para navegar en internet? ............................................... 49 Tabla 42 ¿Conoce de alguna restricción sobre el uso del correo electrónico? ....................... 50 Tabla 43 ¿Existe alguna política para el cambio regular de las contraseñas? ........................ 50 Tabla 44 ¿Firmó usted un acuerdo de confidencialidad y de buen uso de sus claves de acceso? .................................................................................................................................................. 51
xvi Tabla 45 ¿La información que usted maneja para el desempeño de sus funciones se respalda periódicamente? ....................................................................................................................... 51 Tabla 46 ¿El acceso que usted requiere a los datos para el desempeño de sus funciones está siempre disponible? ................................................................................................................. 51 Tabla 47 ¿Existen sistemas de seguridad que impidan el acceso a lugares restringidos? ...... 52 Tabla 48 ¿Se cuenta con sistemas de alarma como detectores de humo, incendio? ............... 52 Tabla 49 ¿Existe vigilancia en la entrada del edificio donde Ud. labora? .............................. 53 Tabla 50 ¿Se restringe el acceso de funcionarios a áreas de opciones críticas? ..................... 53 Tabla 51 Sección 6.1. Organización interna ........................................................................... 63
1
1.
1.1.
INTRODUCCIÓN
Antecedentes Las tecnologías de la información son procesos relevantes en el desarrollo de las
organizaciones pequeñas y medianas, contribuyen a mejorar en la toma de decisiones, el flujo de información y procesos tales como la privacidad, control del talento humano en función a mejorar la seguridad de la información. Debido a esto la seguridad en las TICS requiere de procesos indispensables en las organizaciones, ya que para adoptar correctas metodologías se emplean diversas tomas de decisiones para proteger la información como lo es incorporar controles que permiten mantener segura la infraestructura, controlar los activos y mejorar los procesos del personal. La seguridad de la información es fundamental en la sociedad y esto da la necesidad de tener una amplia cantidad de investigaciones a favor de estudiar y mejorar la seguridad de los datos. Actualmente ISO la Organización Internacional de Normalización plasma estándares para mejorar los activos de una organización. Un estudio similar abordó Ruíz Tapia, Estrada Gutiérrez, & Sánchez Paz, (2020) sobre elaborar un modelo que permita mejorar la seguridad de la información aplicado en organizaciones publicas del area educativa y enfocado a la norma ISO 27001, los resultados proporcionaron un nivel de seguridad informatica satisfactorio, en función a la información que las isntituciones educativas manipulan, y a su vez evitan incidentes que afecten los procesos. En el 2018 Vite Cevallos, Davila Cuesta, & Molina Montero, desarrollaron una investigación sobre la gestión de la información en la Universidad Técnica de Machala en base a la normativa 27001, donde el objetivo principal fue que en base a la literatura el marco referencial articular un adecuado funcionamiento a los procesos del área de TIC´s. Los resultados obtenidos fueron en función de garantizar la continuidad del negocio como conocer el impacto de las amenazas de los sistemas de información, un mayor alcance y control sobre los activos de información y seguridad de los recursos humanos.
2 En el año 2019 Astudillo García & Cabrera Duffaut, desarrollaron una investigación similar basado en la norma ISO 27001, donde proponen una política de gestión de seguridad de la información, el objetivo principal fue plantear opciones de gestión políticas de seguridad con fundamentos en la norma 27001:2013 para mejorar la gestión de la información y el centro de procesamiento de datos. Los resultados alcanzados de la investigación fueron gestionar las áreas que involucren las TICs, contrarestar las amenazas e implementar mas controles de seguridad. En un estudio relizado por Ladino, Villa y López (2011), proponen los fundamentos de la norma ISO 27001 y la aplicación que tiene en las empresas donde el eje principal es tener una certificación en mejores prácticas en temas de seguridad de la información.
1.2.
Delimitación del problema En el Instituto Superior Tecnológico Tsa’chila la información es un activo muy
importante, motivo por el cual es necesario realizar una investigación que permita fortalecer la seguridad de la información a través de adecuados lineamientos que permitan lograr el éxito y bienestar institucional. Los estándares son los tópicos que permiten encaminar al Instituto a mejorar la estructura organizacional, desde su planta docente, administrativa enfocando a una optimización adecuada de sus recursos y activos, con el fin de lograr una correcta gestión de seguridad de la información y adecuada a las necesidades y requerimientos. Partiendo de este punto, se hace necesario para lograr una correcta seguridad en la información en el Instituto Superior Tecnológico Tsa’chila una adecuada Gestión TI mediante un estándar internacional que permita responder a las necesidades en vulnerabilidad de la información, es fundamental alinear los procesos con el estándar. La norma ISO 27001 de la familia 27000 está encaminada a lograr una mejora en el Sistema de gestión de seguridad de la información, ofrece controles y dominios que se utilizan para mejorar el nivel de seguridad de la información.
3
1.3.
Formulación y sistematización del problema
1.3.1. Formulación del problema. El trabajo investigativo responde a la pregunta general: ¿Cómo mejorar la seguridad de la información utilizando la norma ISO/IEC 27001 en el Instituto Superior Tecnológico Tsa’chila? 1.3.2. Sistematización del problema. Preguntas específicas. ¿Cómo identificar el estado actual de los procesos informáticos del Instituto Superior Tecnológico Tsa’chila? ¿Cómo identificar los procesos de gestión TI en el Instituto Superior Tecnológico Tsa’chila? ¿Cómo diseñar normas de seguridad para el uso de los bienes informáticos del Instituto Superior Tecnológico Tsa’chila? ¿Cómo establecer áreas de seguridad de la información en el Instituto Superior Tecnológico Tsa’chila? ¿Cómo diseñar estrategias para el uso correcto de la infraestructura tecnológica del Instituto Superior Tecnológico Tsa’chila? ¿Cómo mejorar los procesos de seguridad de la información de los funcionarios del Instituto Superior Tecnológico Tsa’chila? ¿Cómo establecer una política adecuada para el Instituto Superior Tecnológico Tsa’chila? ¿Cómo determinar el estado de los dominios de la norma 27001 en el Instituto Superior Tecnológico Tsa’chila?
4
1.4.
Justificación de la investigación El estudio tiene su justificación en mejorar la gestión de la seguridad de la información
y en base a una normativa, ya que está relacionada directamente a la problemática de la investigación, el beneficio es directamente para la institución y sus bienes. También fundamentar teóricamente a la aplicación de controles para conocer el estado actual de la Institución, Según Rojas Pupo, Tamayo García, & Moreno Pino, (2020) una normativa ISO tiene como objetivo mejorar la seguridad analizando, evaluando y reduciendo los riesgos con la finalidad de tener confidencialidad y solo dando acceso a la información a personas autorizadas y a sus activos de custodio cuando sea requerido. Por esta razón es importante conocer el estado actual de los controles de seguridad informática, para mantener una estructura organizacional en seguridad de la “Información” siendo este el activo de valor más importante y que permite posicionar el nivel de desempeño profesional, docente, académico, investigativo, y desarrollo de la práctica profesional del Instituto Superior Tecnológico Tsa’chila. De acuerdo al Plan Nacional de Desarrollo (2017), el país impulsa ejes transversales dentro de los cuales la seguridad de la información es un tema importante a nivel local y nacional en el Plan toda una vida se establece en el Eje 2; Economía al servicio de la sociedad como lineamiento territorial un acceso equitativo a infraestructura y conocimiento directriz un punto importante para entender la necesidad de manejar de manera estructural la institución. En el objetivo 5 y política 5.6 menciona sobre generar investigación, formar, capacitar y desarrollar la transferencia en tecnologías también describe sobre la innovación y la protección de los datos personales, y estos son factores del cambio en la matriz productiva mediante la inserción de los sectores privados, públicos y las universidades. La necesidad de mejorar la seguridad de la información se la realiza desde el punto de vista organizacional de acuerdo a la norma ISO 27001 define que para mantener un SGSI es necesario establecer controles y políticas acordes a la necesidad de la Instituto Superior Tecnológico Tsa’chila, manejar una correcta planificación, desarrollo y estimación del desempeño y las mejoras son aspectos importantes para lograr el objetivo según la norma. Considerando este aspecto “Seguridad de la información” se justifica el tema de investigación propuesto con el objetivo de proteger la información tanto interna como externa
5 que se genere en el proceso cotidiano de las actividades que se efectúen y seguridad de la Infraestructura, es de prioridad fomentar en el ISTT como organización metodologías agiles que permitan establecer, ejecutar, monitorear, y documentar correctamente la seguridad de la información. Según el Gobierno Electrónico (2019), la investigación tiene el sustento que en Ecuador existe el acuerdo ministerial No. 166 publicado en el año 19 de septiembre de 2013, donde estipula que las entidades de administración pública, institucional y dependiente, la implementación de Esquemas Gubernamentales de Seguridad de la Información abreviado (EGSI) y la norma técnica INEN ISO 27001 donde especifica un código de buenas prácticas para la gestión de seguridad de la información, en función con el plan nacional de gobierno electrónico 2014-2017, que concluye en garantizar la confianza, seguridad en las instituciones y fortalecer la protección de datos. Como resultado los EGSI son herramientas indispensables para los representantes del plan nacional como los ciudadanos y organizaciones tanto públicas como privadas.
6
1.5.
Objetivos de la investigación
1.5.1. Objetivo general. Definir la gestión de la seguridad de la información utilizando la norma ISO/IEC 27001 en el Instituto Superior Tecnológico Tsa’chila
1.5.2. Objetivos específicos. Analizar la situación actual de la aplicación de la norma 27001 para la seguridad de la información en el Instituto Superior Tecnológico Tsa’chila. Especificar el estado de aplicación de los dominios de la norma 27001 en el Instituto Superior Tecnológico Tsa´chila. Desarrollar una política para la seguridad de la información en el Instituto Superior Tecnológico Tsa´chila.
7
2.
2.1.
REVISIÓN DE LA LITERATURA
Fundamentos teóricos
2.1.1. Seguridad de la información La seguridad de la información es un tema muy amplio, e indispensable en las organizaciones, permite mejorar el flujo de los procesos internos y externos del negocio y está vinculado directamente con los activos que se desarrollan. Según Grupo ACMS Consultores (2019), define que es protección, tomar medidas preventivas y procesos que permitan tener un control adecuado para la información que se utiliza en la organización, generar un entorno adecuado para controlar los procedimientos que lleva acabo la empresa y que no sean sustraidos o expuestos ha amenazas. En el presente estudio las tecnologías de la organización más conocidas como TICs están sujetas al desarrollo de la investigación de ahí la necesidad de llevar adecuados procesos de gestión. Según Avenía Delgado, (2017) la seguridad en las tecnologías de la información estan enfocadas en disminuir las amenazas que esten vinculadas con procesos de uso y manipulación de información de manera no autorizada, esto conlleva desde el enfoque de la seguridad un adecuado control y manejo de los riesgos existentes en la organización. Por ello se debe monitorear y evaluar los activos que se protegeran y en base a ello elaborar medidas para prevenir vulnerabilidades y correctivas para combatir riesgos que esten vinculados directamente a la información. A continuación se presenta un aporte significativo del
Objetivos de la empresa
funcionamiento de los sistemas de información en una empresa:
Sistema de información Información
Actividades Personal Recursos
Gráfico 1 Funcionamientos de los sistemas de información. Fuente: Fundamentos de seguridad informática / Carlos Arturo Avenía Delgado, / Bogotá D.C., Fundación Universitaria del Área Andina. 2017
8 2.1.1.1.
Dimensiones de la seguridad de la información
Se presentan 3 dimensiones que según INCIBE (2016), son los pilares fundamentales en donde se deben aplicar controles de protección a la información manejada en la organización:
Integridad
Disponibilidad
Confidencialidad
Gráfico 2 Dimensiones de la seguridad de la información Fuente: https://www.incibe.es/sites/default/files/contenidos/dosieres/metad_proteccion-de-lainformacion.pdf
2.1.1.1.1.
Confidencialidad
Detalla la propiedad de evitar que se divulgue la información a personas, procesos, y sistemas no autorizados. Condición que genera un valor a la información en todas las áreas de la organización (SGSI, 2015). 2.1.1.1.2.
Integridad
Es un aspecto clave dentro de la organización busca la propiedad de intelectual busca de manera exhaustiva no se modifiquen la información de manera no autorizada. Ofrece una protección integra del dato a que no se ha sido modificado, ni destruido de forma no autorizada. Según Areito Bertolin (2008) la integridad de los datos hace énfasis en la cualidad de la información para ser correcta no tiene que ser modificada, manteniendo los datos sin modificaciones, manipulaciones o alteraciones por terceros. 2.1.1.1.3.
Disponibilidad
Tener la información disponible cuando se la solicite para los usuarios es uno de los principales objetivos dentro de los procesos diarios. Según (SGSI, 2015) en una función,
9 cualidad o estado de la información y se tiene a disposición de personal los procesos o aplicaciones. 2.1.1.2.
Elementos de gestión de la seguridad de la información
En los procesos para la gestión de seguridad de la información existe varios tópicos involucrados, a continuación, se menciona:
Identificación de impactos
Identificación de riesgos
Identificación de vulnerabilidade Identificación s de amenazas a los activos Identificació n de activos
Gráfico 3 Elementos se seguridad de la información Fuente: (Areito Bertolin, Seguridad de la información. Redes, informática y sistemas de información. 2008).
2.1.1.3.
Riesgos dentro de la seguridad en la información
Las medidas y alternativas necesarias para manejar los posibles riesgos que un activo o bien puede tener dentro de los procesos en una empresa, esta clasificación se denomina manejo del riesgo este proceso conlleva una estructura bien definida con controles adecuados e identificando y priorizando las decisiones factibles para un buen trabajo. De acuerdo a la investigación de Godoy Lemus (2014) menciona técnicas del manejo de riesgo:
10
Gráfico 4 Técnicas de manejo del riesgo Fuente: Godoy. Lemus, Seguridad de la Información: Revista de la Segunda Cohorte del Doctorado en Seguridad Estratégica, 2014.
2.1.1.4.
Activos de la Seguridad de la Información
Los activos en una organización representan un nivel de valor muy alto debido al vínculo directo que tiene con el tratamiento de la información de la empresa. Según Maico (2012), toda la información que generan los activos son recursos que se procesan, almacenan o distribuyen se deben asegurar de amenazas para establecer un adecuado desarrollo de la producción que se la conocer como activos de la información. 2.1.2. Salvaguardas de información Es importante identificar las áreas que se deben filtrar para para mejorar la seguridad de la información. Según INCIBE (2016), las salvaguardas son las decisiones necesarias y oportunas para mejorar la protección de la información de la organización. A continuación, se presenta una tabla de como clasificar la información en la organización. Tabla 1 Clasificación de la información en la organización
Categoría
Concepto
Confidencialidad
La información que es Implementar controles protegida por el grado de necesarios proteger los datos importancia en la de acuerdo a su valor organización. Datos de carácter personal del talento humano de la empresa.
Tratamiento
11
Interna
La información de la Etiquetar la información para organización, y que es que sea accesible para el disponible para todos los personal designado o empleados. responsable.
Externa
Información de la organización que utiliza sin restricción y está disponible para cualquier usuario.
No tiene ningún tipo de control ya que es información puesta a consideración de usuarios externos para su uso y Ejemplo: la difusión de conocimiento. publicidad de carreras ofertadas.
Nota. Fuente: https://www.incibe.es/sites/default/files/contenidos/dosieres/metad_proteccion-de-lainformacion.pdf
2.1.3. Seguridad informática La seguridad informática manejas los medios tecnológicos informáticos, según el análisis de varios autores es la encargada de técnicas y procesos que están especializados en transmitir la información de la empresa. Es importante rescatar que la seguridad de la información y seguridad informática en el presente estudio, son dos áreas diferentes ya que tiene puntos esenciales cada una de ellas. Según Aguilera (2011), la seguridad informática es una disciplina que se enfoca en describir y diseñar controles, estándares, procesos y técnicas con la finalidad de tener un sistema de información eficiente, confiable y que mantenga los pilares de la seguridad de la información. A continuación, se presenta los elementos que contemplan la seguridad: •
Los usuarios
•
La información
•
La infraestructura
2.1.4. Sistema de gestión en seguridad de la información En la presente investigación se enfoca en identificar, desarrollar e implementar elementos de gestión de seguridad apegados a mejorar la información de la empresa. Según MINISTERIO DE TELECOMUNICACIONES Y DE LA SOCIEDAD DE LA
12 INFORMACIÓN, (2020), un esquema se seguridad de la información es necesario ya que busca resguardar la integridad, disponibilidad y confidencialidad de la información con base a procedimientos de gestión y selección de controles para un correcto tratamiento a las áreas vulnerables. 2.1.4.1.
Modelo de sistema de gestión en seguridad de la información
A continuación, se presenta un esquema del sistema de gestión de seguridad de la información, según (Instituto colombiano agropecuario, 2018) en el área de la Seguridad de la
Organización de seguridad
información, se estructura los componentes de una organización de la siguiente manera: Principios Políticas Estándares de seguridad Procedimientos Guías Hardware Tecnologías o productos Software
Gráfico 5 SGSI desde los componentes de la organización Fuente: https://www.ica.gov.co/getattachment/Modelo-de-P-y-G/EficienciaAdministrativa/Procesos-y-Procedimientos/ManualSGSI-Agosto-2018.pdf.aspx?lang=es-CO
2.1.4.2.
Esquema Gubernamental de seguridad de la información (EGSI)
La implementación del EGSI procura incrementar la seguridad de la información en las instituciones públicas, así como alcanzar la confianza de los ciudadanos en la Administración Pública. "El Esquema Gubernamental de Seguridad de la información preserva la confidencialidad, integridad y disponibilidad de la información mediante la aplicación de un proceso de gestión de riesgos de seguridad de la información y la selección de controles para el tratamiento de los riesgos identificados" (Gobierno Electrónico, 2020).
13 2.1.5. Estándares de seguridad En la presente investigación los estándares de seguridad dentro de una organización ppermiten establecer procesos de calidad y son los parámetros que establecen las características ideales de un producto o servicio. 2.1.6. Normas ISO En la presente investigación se utiliza un estándar que regulen gestionar la seguridad de la información, las normas ISO definen una serie de estándares que ofrecen un marco de gestión de la seguridad de la información y que es adaptable para utilizar en cualquier organización (ISO 27000, 2019). 2.1.6.1.
Norma ISO 27001
En el presente estudio se desarrolla la investigación y uso de la norma ISO/IEDC 27001 que fue publicada el 15 de octubre de 2005 y su segunda revisión y edición el 25 de septiembre de 2013. Publicada el 15 de octubre de 2005, revisada el 25 de septiembre de 2013 segunda edición). Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. La norma cuenta con el Anexo A, donde se distribuye los dominios objetivos de control y controles que desarrolla la ISO, presentados a continuación (Coelho, Araújo, & Bezerra, 2014). A continuación, se presentan los 13 dominios, 29 objetivos de control y 97 controles utilizados para la presente investigación. Una de las características más notables de la norma ISO/IEC 27001 es que cuenta con la evaluación y aprendizaje de los eventos de seguridad de TI que se enfoca en el programa de respuesta a incidentes en la organización. 2.1.6.1.1.
Sección 5. Políticas de seguridad
Se describe el dominio Política de seguridad de la organización, presenta 2 objetivos de control que buscan brindar orientación y soporte en la gestión de seguridad, mediante la aplicación de políticas que estén alineadas a las necesidades de la empresa (Coelho et al., 2014). La sección 5 de la norma se refiere a la política de seguridad de la información. El objetivo de la categoría de control es proporcionar orientación y apoyo de gestión para la seguridad de la información, mediante la declaración de una política clara y objetiva, ver gráfico 6.
Políticas de seguridad
14
Orientación de la dirección para la gestión de la seguridad de la información
Conjunto de políticas para la seguridad de la información Revisión de las políticas para la seguridad de la información
Gráfico 6 Políticas de seguridad Fuente: https://cedia.edu.ec/dmdocuments/publicaciones/Libros/GTI8.pdf
2.1.6.1.2.
Sección 6 Organización de la seguridad de la información
El dominio Organización de la seguridad de la información tiene como objetivo gestionar controles para mejorar la seguridad de la información, mantener la seguridad del control interno y externo de la organización. Como factor externo se determina a quien no es elemento vinculado a la estructura organizacional (Coelho et al., 2014). En la presente sección se vinculan dos objetivos de control alineados al dominio, ver gráfico 7. Roles y responsabilidad de seguridad de la información
Segregación de deberes.
ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Contacto con grupos de interés especial. Organización interna Seguridad de la información en la gestión de proyectos Política de dispositivos móviles
Teletrabajo
Política de dispositivos móviles Dispositivos móviles y teletrabajo Teletrabajo
Gráfico 7 Organización de la seguridad de la información Fuente: https://cedia.edu.ec/dmdocuments/publicaciones/Libros/GTI8.pdf
15 2.1.6.1.3.
Sección 7 Seguridad en los recursos humanos
El dominio Seguridad en los recursos humanos se enfoca en controles de seguridad que estén sujetos al talento humano de la organización, durante el proceso de prestación de servicios profesionales del funcionario a la organización y se seccionan de dos objetivos de control
Seguridad En Los Recursos Humanos
expuestos (Coelho et al., 2014), ver gráfico 8. Verificación de antecedentes Previo al empleo Términos y condiciones del empleo Responsabilidades de la Alta Gerencia
Durante la ejecución del empleo
Conciencia, educación y entrenamiento de seguridad de la información Proceso disciplinario
Gráfico 8 Seguridad en los recursos humanos Fuente: https://cedia.edu.ec/dmdocuments/publicaciones/Libros/GTI8.pdf
2.1.6.1.4.
Sección 8 Gestión de activos
El dominio Gestión de activos, se agrupan en tres objetivos de control que permiten aplicar la protección de los activos de la empresa, proporcionar el nivel de seguridad de la información, y el manejo de activos (Coelho et al., 2014), ver gráfico 9. Inventario de activos
Gestión de activos
Responsabilidad de los activos
Propiedad de los activos Uso aceptable de los activos Devolución de activos Clasificación de la información
Clasificación de la información
Etiquetado de la información Manejo de Activos Gestión de medios removibles
Manejo de medios
Disposición de los medios Transferencia de medios físicos
Gráfico 9 Gestión de activos Fuente: https://cedia.edu.ec/dmdocuments/publicaciones/Libros/GTI8.pdf
16 2.1.6.1.5.
Sección 9 Control de acceso
El dominio de Control de acceso aborda cuatro objetivos de control relacionados directamente con los privilegios de acceso, control de acceso, acceso a servicios de red, usuarios y contraseñas (Coelho et al., 2014), ver gráfico 10. Política del control de acceso Requerimientos de negocio para el control de acceso Acceso a redes y a servicios de red
Registro y cancelación de registro de usuario
Control de Acceso
Suministro de acceso de usuarios Gestión de derechos de acceso privilegiado Gestión de acceso a usuarios
Gestión de información de autenticación secreta de usuarios Revisión de los derechos de acceso de los usuarios Retiro o ajuste de los derechos de acceso
Responsabilidades del usuario
Uso de información de autenticación secreta Restricción de acceso a la información Procedimientos de ingreso seguro
Control de acceso a sistemas y aplicaciones Sistema de gestión de contraseña Uso de programas utilitarios privilegiados
Gráfico 10 Control de acceso
Fuente: https://cedia.edu.ec/dmdocuments/publicaciones/Libros/GTI8.pdf
17 2.1.6.1.6.
Sección 10 Criptografía
El dominio de Criptografía aborda un objetivo de control y hace énfasis a generar controles para proteger la disponibilidad, confidencialidad y la autenticidad de la información
Criptografía
de la organización (Coelho et al., 2014), ver gráfico 11.
Política sobre el uso de controles criptográficos Controles criptográficos Gestión de llaves
Gráfico 11 Criptografía Fuente: https://cedia.edu.ec/dmdocuments/publicaciones/Libros/GTI8.pdf
2.1.6.1.7.
Sección 11 Seguridad física y del entorno
El dominio de Seguridad física y del entorno aborda dos objetivos de control y hace énfasis en asegurar el acceso físico, infraestructura, instalaciones de la organización, presenta controles que marcan los procesos de seguridad, perímetros físicos, control de las áreas internas de la institución y externas (Coelho et al., 2014), ver gráfico 12. Seguridad física y del entorno
Áreas Seguras
Perímetro de Seguridad Controles de acceso físico Seguridad en oficinas, recintos e instalaciones Protección contra amenazas externas y ambientales Trabajo en áreas seguras Áreas de despacho y carga
Equipos
Ubicación y protección de los equipos Servicios de suministro Seguridad del cableado Mantenimiento de equipos Retiro de activos Seguridad de equipos y activos fuera de las instalaciones Disposición segura o reutilización de equipos Equipos de usuarios desatendidos Política de escritorio limpio y pantalla limpia
Gráfico 12 Seguridad física y del entorno
Fuente: https://cedia.edu.ec/dmdocuments/publicaciones/Libros/GTI8.pdf
18 2.1.6.1.8.
Sección 12 Seguridad de las operaciones
El dominio de Seguridad de las operaciones aborda siete objetivos de control y hace énfasis en generar controles que son alineados a las operaciones y comunicaciones del negocio, para fortalecer la seguridad en temas relacionados con los procesos tecnológicos de la organización (Coelho et al., 2014), ver gráfico 13.
Seguridad de las operaciones Procedimientos operacionales y responsabilidades Procedimientos de operación documentados
Protección contra códigos maliciosos Objetivo de Control: Controles contra códigos maliciosos
Copias de respaldo
Respaldo de información
Registro y seguimiento
Registro de eventos
Gestión de cambios
Protección de la información
Gestión de capacidad
Registros del administrador y del operador
Separación de los ambientes desarrollados, pruebas y operación
Control de software operacional Instalación de software en sistemas operativos
Gestión de vulnerabilidad técnica
Consideraciones sobre auditorias de sistemas de información
Gestión de las vulnerabilidades técnicas Restricciones sobre la instalación de software
Sincronización de relojes
Gráfico 13 Seguridad de las operaciones Fuente: https://cedia.edu.ec/dmdocuments/publicaciones/Libros/GTI8.pdf
2.1.6.1.9.
Sección 13 Seguridad de las comunicaciones
El dominio de Seguridad de las comunicaciones aborda dos objetivos de control y hace énfasis en gestionar correctamente las redes informáticas y desarrollar correctos procedimientos de transferencia de información (Coelho et al., 2014), ver gráfico 14.
Controles de auditorías de sistemas de información
19
Seguridad de las comunicaciones
Controles de redes Gestión de seguridad de las redes
Seguridad de los servicios de red Separación en las redes Políticas y procedimientos de transferencia de información
Transferencia de información
Acuerdos sobre transferencia de información
Mensajería electrónica Acuerdos de confidencialidad o de no divulgación
Gráfico 14 Seguridad de las comunicaciones Fuente: https://cedia.edu.ec/dmdocuments/publicaciones/Libros/GTI8.pdf
2.1.6.1.10.
Sección 14 Adquisición, desarrollo y mantenimiento de sistemas
El dominio Adquisición, desarrollo y mantenimiento de sistemas aborda un objetivo de control y hace énfasis en desarrollar la seguridad de la información en los servicios,
Adquisición, desarrollo y mantenimiento de sistemas
herramientas y aplicaciones que utiliza la organización (Coelho et al., 2014), ver gráfico 15.
Análisis y especificación de requisitos de seguridad de la información Requisitos de seguridad de los sistemas de información
Seguridad de servicios de las aplicaciones en redes publicas Protección de transacciones de los servicios de las aplicaciones
Gráfico 15 Adquisición, desarrollo y mantenimiento de sistemas
Fuente: https://cedia.edu.ec/dmdocuments/publicaciones/Libros/GTI8.pdf
20 2.1.6.1.11.
Sección 15 Gestión de incidentes de seguridad de la información
El dominio Gestión de incidentes de seguridad de la información maneja un objetivo de control, hace énfasis en describir reportes presentados en la organización en relación con la seguridad de la información, reportar a los responsables del incidente y tomar el procedimiento de recolección de evidencia (Coelho et al., 2014), ver gráfico 16.
Gestión de incidentes de seguridad de la información
Responsabilidades y procedimientos Reporte de eventos de seguridad de la información Reporte de debilidades de seguridad de la información Gestión de incidentes y mejoras en la seguridad de la información
Evaluación de eventos de seguridad de la información y decisiones sobre ellos Respuesta a incidentes de seguridad de la información Aprendizaje obtenido de los incidentes de seguridad de la información Recolección de evidencia
Gráfico 16 Gestión de incidentes de seguridad de la información Fuente: https://cedia.edu.ec/dmdocuments/publicaciones/Libros/GTI8.pdf
2.1.6.1.12.
Sección 16 Aspectos de seguridad de la información de la gestión de
continuidad del negocio El dominio Aspectos de seguridad de la información de la gestión de continuidad del negocio maneja un objetivo de control, tiene el objetivo de evitar interrupciones de los procesos cotidianos de la organización y asegurar los procesos que se encuentren vulnerables contra fallas o desastres (Coelho et al., 2014), ver gráfica 17.
Aspectos de seguridad de la información de la gestión de continuidad del negocio
21
Planificación de la continuidad de la seguridad de la información Continuidad de la seguridad de la información
Implementación de la continuidad de la seguridad de la información Verificación, revisión y evaluación de la continuidad de la seguridad de la información
Gráfico 17 Aspectos de seguridad de la información de la gestión de continuidad del negocio Fuente: https://cedia.edu.ec/dmdocuments/publicaciones/Libros/GTI8.pdf
2.1.6.1.13.
Sección 17 Cumplimiento
El dominio Cumplimiento maneja dos objetivos de control, hace énfasis en marcar directrices sobre requisitos de gestión de la información que está sujeta a reglamentos, lineamientos y obligaciones contractuales de la organización (Coelho et al., 2014), ver gráfico 18. Identificación de la legalización aplicable y de los requisitos contractuales Derechos de propiedad intelectual
Cumplimiento
Cumplimiento de requisitos legales y contractuales
Protección de registros Privacidad y protección de información de datos personales Reglamentación de controles criptográficos Revisión independiente de seguridad de la información
Revisiones de seguridad de la información
Cumplimiento con las políticas y normas de seguridad Revisión del cumplimiento técnico
Gráfico 18 Cumplimiento Fuente: https://cedia.edu.ec/dmdocuments/publicaciones/Libros/GTI8.pdf
22 2.1.6.2.
Ciclo PDCA
El modelo PDCA desarrollado por Deming (1986) se enfoca en estrategias de mejora continua en la seguridad de la información en base a 4 pilares mostrado a continuación: • Determinar una política de seguridad • Establecer el alcance del sistema de gestión de seguridad de la información • Definir controles • Definir roles y responsabilidades
• Implementar el sistema de gestión de seguridad de la información • Implementar los controles de seguridad
Planificar
Hacer
Actuar
Controlar
• Emplear acciones preventivas y correctivas • Emplear mejoras
• Revisiones internas • Elaborar auditorias internas • Desarrollo de indicadores y resoluciones de la norma
Gráfico 19 Ciclo PDCA Fuente: https://www.isotools.org/pdfs-pro/iso-27001-sistema-gestion-seguridad-informacion.pdf
2.1.6.3.
Estructura de la norma ISO/IEC 27001
La norma utilizada en el presente estudio maneja una estructura definida por una serie de criterios a seguir para un adecuado desarrollo de los controles y manejo documental de los sistemas de información alineados a las TI, además está enfocado bajo elementos de gestión de seguridad para evitar inconvenientes con la integración de diversos marcos referenciales, ver gráfico 20.
e
23
Gráfico 20 Estructura del estándar ISO/IEC 27001:2013 Fuente: https://www.researchgate.net/figure/Figura-2-Estructura-del-estandar-ISO-IEC270012013-Gonzalez-Trejo-2013_fig2_333671914
24
3.
3.1.
METODOLOGÍA DE LA INVESTIGACIÓN
Enfoque, diseño y tipo de investigación La presente investigación utiliza un enfoque cuantitativo según Hernández Sampieri &
Carlos (2003) mencionan que son procesos metódicos y empíricos del estudio de investigación, que estan sujetos a la recoleccion de información y analisis de los datos a quienes fueron aplicados para una discución a los resultados recabados para de esta manera tener un análisis claro del fenomeno de estudio. Se utilizo un enfoque cuantitativo en la tabulación de información recolectadas en las encuestas al personal de la Institución y al responsable de tecnologias de la información. Esta investigación se fundamentó en un diseño no experimental transversal, es aquel que se desarrolla sin manipular arbitrariamente las variables. Se enfoca especialmente en la observación de los sucesos y como se ejecutan en su contexto cotidiano para posteriormente analizarlo (Escamilla , 2004, p. 2). Este enfoque se aplica a problemas existentes en el Instituto Superior Tecnológico Tsa’chila sean nuevos o permanentes que necesitan un proceso de indagación para su solución. El tipo de investigación que se utilizo es el de forma aplicada que la caracteriza principalmente por la aplicación o utilización de los conocimientos de la observación o análisis que existió en el lugar de los hechos, el uso de la experimentación, estudio y los resultados de investigación que da como resultado una forma rigurosa, organizada y sistemática de conocer la realidad ( Vargas Cordero, 2009, p. 6). La investigacion aplicada permitió la elaboración de preguntas, análisis y procesamiento de datos que se llevarán a cabo sobre el tema que permitirán conocer las problemáticas, en la institución permitirá profundizar la parte documental como se lleva acabo los procesos internos, externos que se realizan y que vulnerabilidades son las existentes del lugar. Dentro de la organización fue un indicador fundamental observar, conocer las situaciones y procesos en relación al funcionamiento de la seguridad de la información que permitió ejecutar una adecuada propuesta de investigación del presente estudio.
25
3.2.
Población y muestra Hernández Sampieri, Fernández Collado, & Baptista Lucio (2003), mencionan que la
población o el universo de un estudio de investigación son el conjunto de todos los eventos que están involucrados en los problemas de la organización (p. 145). El estudio está realizado a la población de 125 funcionarios, docentes y administrativos que se encuentran vinculados al Instituto Superior Tecnológico Tsa´chila. Otzen & Manterola (2017), mencionan que el muestreo probabilístico aleatorio simple garantiza que las personas que componen una población tienen las mismas posibilidades de ser incluidos en una muestra lo que determina que la selección del sujeto A escogido es independiente de la probabilidad del sujeto B que forma parte de la población. Dentro de la institución la población utilizada se aplica una muestra aleatoria de docentes y administrativos que permita conocer los resultados del presente estudio de investigación.
3.3.
Técnicas e instrumentos de recogida de datos La encuesta según (Martín, 2011) aplica ante la necesidad de encontrar una solución a
un problema, e identificar e interpretar las vulnerabilidades que arrojen los resultados, de la manera más metódica posible, un conjunto de testimonios que puedan cumplir con el propósito establecido (p.36). La técnica aplicada para identificar el funcionamiento interno de los procesos TI es la encuesta mediante la aplicación de un cuestionario a los 95 docentes del Instituto Superior tecnológico Tsa’chila que se encuentra involucrados a procesos de gestión y seguridad de la infraestructura TI. Para responder a los objetivos planteados se recolectará información a los docentes de la muestra con el fin de conocer y responder a las vulnerabilidades, amenazas y riesgos en la seguridad de la información en el Instituto Superior Tecnológico Tsa’chila. Se elaboró una encuesta estructurada al responsable de las Tecnologías de la información con el fin de recabar el impacto del estudio mediante las herramientas y enfoques que se aplicará en la presente investigación y se empleó como instrumento el cuestionario. Según Diaz Bravo & García (2013) es la técnica en la que el investigador recaba y obtiene la información de forma oral y personalizada. La información se realizó en concordancia a temas que giren a la situación problemática y los objetivos planteados en la investigación en relación con la situación que se está estudiando (p.45).
26
3.4.
Técnicas de análisis de datos Los resultados obtenidos de las técnicas e instrumentos aplicados en la institución en
base a la muestra utilizada fueron procesados a través de un análisis estadístico que comprende los resultados que permitirán analizar y tener una correcta visión de forma objetiva las percepciones de las variables de investigación mediante la observación desde el lugar de los hechos que permitirá entender la gestión TI y mejorar la seguridad de la información. En la presente investigación los datos arrojados están presentados mediante un análisis descriptivo que permite describir la información relevante de acuerdo a los resultados obtenidos de la muestra, como plataforma de procesamiento se utilizara el software de Microsoft Excel, que brinda un análisis amplio de las variables, que reflejarán el impacto del estudio mediante los respectivos gráficos y tablas según los ítems que serán estudiados e interpretados.
27
4.
RESULTADOS
A continuación, se detallan los resultados obtenidos mediante los instrumentos de recogida de que han sido desarrollados según los objetivos específicos del presente trabajo de titulación, el resultado del primer objetivo específico es el análisis de la situación actual de la aplicación de la norma ISO 27001 para la seguridad de la información que se obtiene mediante dos encuestas: la primera realizada a los docentes y la segunda al responsable de TI, el resultado del segundo objetivo específico se centró en determinar el estado de aplicación de la norma 27001 en la institución la cual se desarrolló mediante la un análisis diferencial para interpretar el nivel de aplicación de los dominios, objetivos de control, controles, el tercer resultado se enfocó en el desarrollo de una política para mejorar la seguridad de la información en el Instituto Superior Tecnológico Tsa’chila. El presente trabajo de titulación tiene la aprobación de la entidad que está sujeta a la investigación mediante oficio enviado desde PUCE SD se realizó la solicitud formal la misma que se encuentra evidenciada en el Anexo 1 Solicitud de la universidad y apertura de trabajo investigativo en la institución del estudio.
4.1.
Resultado uno: Análisis de la situación actual en la aplicación de la
norma ISO 27001 en el Instituto Superior Tecnológico Tsa’chila. En la investigación, se aplicó 2 tipos encuestas mediante el instrumento de cuestionario que tuvieron su revisión y validación por expertos profesionales del área ver Anexo 2, a continuación, se detalla el resultado de las dos encuestas realizadas a los grupos que se hizo mención al inicio del acápite de resultados.
4.1.1. Análisis de la encuesta dirigida al responsable de tecnologías Se presenta la recolección de los resultados obtenidos mediante una encuesta dirigida al funcionario responsable del área de tecnologías basándose en el método cuantitativo donde se interpreta los resultados alcanzados.
28 Se utilizó la estimación inicial, se han evaluado tópicos obligatorios de la norma, objetivos y controles del estándar 27001, la estimación aplicada es estimativa debido a la interpretación elaborada en la entrevista. El resultado del estado actual de las políticas y controles se define en base a los siguientes indicadores porcentuales que se basan de un análisis diferencial que permite posicionar el nivel de seguridad de acuerdo al criterio del encuestado. La tabla de proyección de resultados de la encuesta al funcionario se compone por los objetivos de control y controles que la integran y pertenecen al dominio basado en la norma 27001, también se presenta un campo donde se marca el periodo en el cual fue realizada la encuesta además cuenta con una ponderación que parte de los ítems consultados al encuestado por el total de los niveles de elección de respuesta, al final se realiza un sumario de las respuestas del objetivo de control y un porcentaje plasmado en base a la ponderación.
Tabla 2 Escala de respuesta de encuesta a funcionario 1
2
3
4
5
6
No
Casi Nunca
Regularmente
Bueno
Muy bueno
Excelente
(Frecuentemente)
(Casi
(Siempre)
siempre) Nota. Elaborado por: El autor
La interpretación se realizó de acuerdo al resultado obtenido en cada objetivo de control perteneciente al dominio se utilizó un análisis diferencial donde se plasma la siguiente escala:
Tabla 3 Análisis diferencial para interpretación de objetivos de control
Porcentajes
Criterios
•
1% - 9%
•
Objetivo de control no se encuentra integrado.
•
10% - 50%
•
Objetivo de control fase inicial.
•
51% - 90 %
•
Objetivo de control fase intermedia.
29 •
91% - 100%
•
Objetivo de control integrado.
Nota. Elaborado por: El autor
4.1.1.1.
Resultado e interpretación de objetivos de control de Políticas de seguridad
Tabla 4 Orientación de la dirección para la gestión de la seguridad de la información Control:
5.1.1 Conjunto de políticas para la seguridad de la información 5.1.2 Revisión de las políticas para la seguridad de la información Periodo: II-2020 Ponderación 42 No Si Preguntas 1 2 3 4 5 ¿Existen políticas de seguridad de la información en el Instituto Superior Tecnológico 3 Tsa’chila? ¿Las políticas de seguridad de la información del Instituto se encuentran debidamente 4 documentadas? ¿Se han generado los procesos de comunicación, que permitan dar a conocer las políticas de 4 seguridad de la información a los funcionarios de la institución? ¿Existe un responsable que se ocupe de documentar las políticas de seguridad de la 4 información? ¿Se efectúan revisiones periódicas a las políticas de seguridad de la información en el Instituto 4 Superior Tecnológico Tsa’chila? ¿Se realizan controles para verificar la efectividad de las políticas de seguridad de la 4 información de la institución? ¿Se lleva un registro manual o digital de las actualizaciones a las políticas de seguridad de la 5 información? Total 28 Porcentaje 66.67%
6
Nota. Fuente: https://normaiso27001.es/a5-politicas-de-seguridad-de-la-informacion/. Adaptado por: El autor
Se puede identificar que existe un 66.67% de aplicabilidad del objetivo de control encontrándose en fase intermedia, de acuerdo al análisis de cada control es necesario fortalecer las políticas de seguridad en la institución, y generar apoyo por las autoridades para los procesos de inducción de las políticas establecidas, realizar una planificación de revisiones a las mismas y generar registros de los cambios realizados.
30 4.1.1.2.
Resultado e interpretación de objetivos de control en Organización de
seguridad de la información Tabla 5 Objetivo de control de Organización interna Control:
Periodo:
1.1 1.2 1.3 1.4 1.5 1.6 II-2020
Roles y responsabilidad de seguridad de la información Segregación de deberes. Contacto con grupos de interés especial. Seguridad de la información en la gestión de proyectos Política de dispositivos móviles Teletrabajo
Preguntas ¿Las responsabilidades, actividades, procedimientos y roles del personal de tecnologías están claramente definidos y fueron formalmente comunicadas? ¿Se encuentran establecidas la respectiva segregación de funciones de los funcionarios de TIC? ¿Las políticas de seguridad de la información y procedimientos que permiten organizar apropiadamente el área de tecnología de información, fueron aprobadas formalmente por la máxima autoridad? ¿Las responsabilidades, actividades, y roles de los usuarios talento humano, de los sistemas de información están claramente definidos y fueron formalmente comunicados? ¿Los proyectos que son elaborados en la institución tienen una estructura determinada en cuanto a la seguridad de la información que manejan los mismos? Total Porcentaje
Ponderación No 1 2 3
30 Si 4
5 5
6
4 4
4 4 21 70%
Nota. Fuente: https://normaiso27001.es/a6-organizacion-de-la-seguridad-de-la-informacion/. Adaptado por: El autor
El objetivo de control tiene una aplicación de fase intermedia en la institución con el 70%, aunque existe gran aplicación de varios controles, es necesario aplicar medidas que permitan designar responsabilidades a los docentes que están autorizadas por las autoridades y que permitan al funcionario ejercer mayor responsabilidad, también es necesario controlar las actividades que desarrollan mediante una política que organice internamente los roles en la institución y mejore la seguridad de la información.
Tabla 6 Objetivo de control de Dispositivos móviles y teletrabajo Control: Periodo:
1.1 1.2 II-2020
Política de dispositivos móviles Teletrabajo
Preguntas ¿Existen políticas para acceder a la información de la institución mediante dispositivos móviles? ¿Cualquier usuario del sistema de información de la institución puede acceder mediante los dispositivos móviles?
Ponderación No 1 2 3
36 Si 4 4 4
5
6
31 ¿Existe un registro del ingreso de los usuarios a la red? ¿Se validan los ingresos de los usuarios? ¿Se puede acceder a la intranet mediante el dispositivo móvil? ¿Se encuentra disponible la función de teletrabajo para todos los funcionarios de la institución?
4 3 4 4 Total Porcentaje
23 63.89%
Nota. Fuente: https://normaiso27001.es/a6-organizacion-de-la-seguridad-de-la-informacion/. Adaptado por: El autor
El resultado muestra que la aplicación del objetivo de control en la institución se encuentra en una fase intermedia con un 63.89%, es necesario aplicar políticas para establecer lineamientos sobre el trabajo virtual y las formas de uso de dispositivos inteligentes en la nueva forma de trabajo.
4.1.1.3.
Resultado e interpretación de controles en Seguridad en los recursos
humanos Tabla 7 Objetivo de control Previo al empleo Control:
Periodo:
1.1 Verificación de antecedentes 1.2 Términos y condiciones del empleo II-2020 Preguntas
¿Existen algún tipo de comunicación en la etapa de selección del personal sobre las políticas de seguridad de la información? ¿Las funciones, responsabilidades, actividades, y procedimientos del personal a contratar están claramente definidos en su contrato de trabajo y fueron formalmente comunicados? Total Porcentaje
Ponderación No 1 2 3
12 Si 4
5 5
6
4 9 75%
Nota. Fuente https://normaiso27001.es/a7-seguridad-relativa-a-los-recursos/. Adaptado por: El autor
El resultado muestra que el objetivo de control previo al empleo se encuentra integrado en fase intermedia con un 75%, es necesario que los funcionarios docentes del instituto comprendan sus responsabilidades e inducir a los roles para los que han sido designados.
32 Tabla 8 Objetivo de control Durante la ejecución del empleo Control:
1.1 1.2 1.3 II-2020
Responsabilidades de la Alta Gerencia Conciencia, educación y entrenamiento de seguridad de la información Proceso disciplinario Periodo: Ponderación 30 No Si Preguntas 1 2 3 4 5 ¿Existe algún mecanismo de difusión por parte del departamento de tecnología, sobre cuáles 3 son las seguridades que deben aplicar a la información que manejan para que la misma no sufra algún tipo de perdida, modificación o manipulación por terceros? ¿Se efectúan capacitaciones constantes a los funcionarios sobre cuáles son las medidas de 2 seguridad que deben aplicar a la información que manejan en la institución? ¿Existe un plan de capacitación informática que contemple las actividades y eventos de 4 capacitación relacionados con las responsabilidades, funciones o actividades que deben cumplir los servidores de acuerdo a su cargo? ¿Se ha realizado supervisiones a los funcionarios sobre las seguridades que aplican a la 5 información que manejan? ¿Se efectúa algún proceso disciplinario en contra de los funcionarios que incurran en malos 3 hábitos que atenten en contra de la seguridad de la información? Total 17 Porcentaje 56,66%
6
Nota. Fuente: https://normaiso27001.es/a7-seguridad-relativa-a-los-recursos/. Adaptado por: El autor
Los resultados arrojan un 56.66% de aplicabilidad ubicando al uso de objetivo de control en fase intermedia es, necesario asegurar que los funcionarios tengan sensibilidad en el uso que le dan a la información de la institución, se debe promover charlas capacitaciones que generen una cultura de seguridad informática.
4.1.1.4.
Resultado e interpretación de controles en Gestión de activos
Tabla 9 Objetivo de control Responsabilidad de los activos Control:
Periodo:
1.1 1.2 1.3 1.4 II-2020
Inventario de activos Propiedad de los activos Uso aceptable de los activos Devolución de activos
Preguntas ¿Existe un inventario de activos informáticos del Instituto Superior Tecnológico Tsa’chila? ¿Se actualiza el inventario de activos informáticos de la institución? ¿Se les asigna propietarios a los activos informáticos? ¿Se les hace conocer formalmente cuales son las responsabilidades del propietario de cada activo informático? ¿Manejan algún tipo de regulación para el uso de los activos informáticos? ¿Se hace la respectiva devolución de los activos informáticos si el responsable del mismo cambia de función o termina el contrato? ¿Se documenta cada devolución de un activo informático? Total Porcentaje
Ponderación No 1 2 3
42 Si 4
5 5 5 5 5
6
5 5 6 36 85.71%
Nota. Fuente: https://normaiso27001.es/a8-gestion-de-activos/. Adaptado por: El autor
33 El presente objetivo control muestra el resultado de un 85.71% de aplicación ubicándose en una fase intermedia, es necesario fortalecer los bienes informáticos de la institución generando inventarios, asignando responsables de uso y custodio y documentando los eventos realizados a los activos con la finalidad de proteger la infraestructura.
Tabla 10 Objetivo de control Clasificación de la información Control:
1.1 1.2 1.3 II-2020
Periodo:
Clasificación de la información Etiquetado de la información Manejo de Activos Ponderación No 1 2 3
Preguntas ¿Existen procedimientos para clasificar la información? ¿Existen procedimientos para el etiquetado de la información? ¿Existen procedimientos para el manejo de activos? ¿Existe alguna regla sobre el manejo de los activos? ¿Hay alguna guía a seguir para el manejo de los activos?
30 Si 4
5 5 5
6
4 4 4 Total Porcentaje
22 73.33%
Nota. Fuente: https://normaiso27001.es/a7-seguridad-relativa-a-los-recursos/. Adaptado por: El autor
El objetivo de control alcanzo un 73.33% en una fase intermedia de aplicación en la institución, se debe enmarcar los procesos para clasificar el nivel de importancia de la información, darle un etiquetado y manejarlo de manera que no afecta la integridad de los datos.
Tabla 11 Objetivo de control de Manejo de medios Objetivo de Control: Control:
Periodo:
1. 1.1 1.2 1.3 II-2020
Manejo de medios Gestión de medios removibles Disposición de los medios Transferencia de medios físicos Ponderación No 1 2 3
Preguntas ¿Existe una política sobre la gestión de medios removibles? ¿Tienen un estándar para elaborar dicho procedimiento? ¿Se documenta la asignación de cada medio removible a un propietario? ¿Existe algún estándar para la transferencia de los medios físicos? ¿Se documenta la transferencia de cada medio físico? Total Porcentaje
30 Si 4 4 4 4 4 4
5
6
20 66,66%
Nota. Fuente: https://normaiso27001.es/a7-seguridad-relativa-a-los-recursos/. Adaptado por: El autor
34 Se proyecta que el objetivo de control alcanza un 66.66% ubicándose una fase intermedia, es necesario desarrollar e implementar procedimientos para manejo de medios, gestión disponibilidad y transferencia de acuerdo a una estructura de tratamiento del medio y adoptado por el Instituto Superior Tecnológico Tsa’chila.
4.1.1.5.
Resultado e interpretación de controles en Control de acceso
Tabla 12 Requerimientos de negocio para el control de acceso Objetivo de Control: Control: Periodo:
1. 1.1 1.2 II-2020
Requerimientos de negocio para el control de acceso Política del control de acceso Acceso a redes y a servicios de red Ponderación No 1 2 3
Preguntas ¿La entidad cuenta con una política de control de acceso a las redes informáticas? ¿Existe algún mecanismo de difusión a los servidores de la institución de estas políticas? ¿Dicha política se encuentra debidamente documentada? ¿El acceso a los recursos de tecnología de información de la institución se encuentra restringido?
24 Si 4
5 5 5
6
4 5
Total Porcentaje
19 79.16%
Nota. Fuente: https://normaiso27001.es/a9-control-de-acceso/. Adaptado por: El autor
El objetivo de control se ubica en la fase intermedia con el 79.16% de aplicación, tienen un adecuado manejo en varios controles, pero se debe fortalecer la documentación en base a una política que limiten los procesos que se llevan en el Instituto Superior Tecnológico Tsa’chila.
Tabla 13 Objetivo de control Gestión de acceso a usuarios Objetivo de Control: Control:
Periodo:
1. 1.1 1.2 1.3 1.4 1.5 1.6 II-2020
Gestión de acceso a usuarios Registro y cancelación de registro de usuario Suministro de acceso de usuarios Gestión de derechos de acceso privilegiado Gestión de información de autenticación secreta de usuarios Revisión de los derechos de acceso de los usuarios Retiro o ajuste de los derechos de acceso Ponderación Preguntas
¿Existe documentación de los registros que se realizan de cada usuario?
No 1
2
3
54 Si 4 4
5
6
35 ¿Se expide un certificado de cancelación de registros de usuario cuando se ha dado por terminada la relación laboral con el funcionario? ¿Cuándo un usuario ha cambiado de funciones se daba de baja a ese usuario y se le asigna otro con diferentes privilegios según su cargo? ¿Se documenta el proceso de la pregunta 3? ¿Se realiza un proceso formal para la gestión de información de autenticación secreta de usuarios? ¿El proceso de autenticación de usuario se encuentra documentado? ¿Se efectúa un cambio de clave cada cierto periodo de tiempo? ¿Se efectúan revisiones periódicas al derecho de acceso de los usuarios? ¿Se realiza una revisión periódica de la asignación de los privilegios? Total Porcentaje
4 4 4 4 4 4 4 4 36 66.66%
Nota. Fuente: https://normaiso27001.es/a9-control-de-acceso/. Adaptado por: El autor
Se proyecta la aplicación del objetivo de control de un 66.66% en una fase intermedia de aplicabilidad, se ve la necesidad de proteger el ingreso de los funcionarios a los servicios de la institución y es necesario mitigar y proteger los servicios que utilizan los docentes.
Tabla 14 Objetivo de control Responsabilidades del usuario Control: Periodo:
1.1 II-2020
Uso de información de autenticación secreta
Preguntas ¿Existe una política sobre el uso de información de autenticación secreta? ¿Los usuarios poseen contraseñas seguras? ¿Se le asigna responsabilidades de seguridad de la información por escrito al funcionario con respecto a su perfil de usuario? ¿Se efectúan revisiones periódicas sobre esta política? Total Porcentaje
Ponderación No 1 2 3
24 Si 4 4 4 4
5
6
4 16 66.66%
Nota. Fuente: https://normaiso27001.es/a9-control-de-acceso/. Adaptado por: El autor
El objetivo de control se encuentra aplicado en una fase intermedia con el 66.66%, es necesario aplicar una política sobre el uso de información de autenticación secreta de la institución, generar lineamientos de contraseñas seguras, y generar una política de responsabilidad del uso que le dé a su información.
36 Tabla 15 Objetivo de control de acceso a sistemas y aplicaciones Objetivo de Control: Control:
Periodo:
1. Control de acceso a sistemas y aplicaciones 1.1 Restricción de acceso a la información 1.2 Procedimientos de ingreso seguro 1.3 Sistema de gestión de contraseña 1.4 Uso de programas utilitarios privilegiados II-2020
Ponderación No 1 2 3
Preguntas ¿Se encuentran aplicados diferentes tipos de restricciones a la información según el perfil de usuario? ¿Se controla el acceso seguro de los usuarios al sistema? ¿Se lleva un control de cada acceso de los usuarios al sistema? ¿Las contraseñas son de alta calidad? ¿Las contraseñas son actualizadas periódicamente? ¿Se lleva un control de los programas utilitarios? Total Porcentaje
36 Si 4 4
5
6
4 4 4 4 4 24 66.66%
Nota. Fuente: https://normaiso27001.es/a9-control-de-acceso/ Adaptado por: El autor
El objetivo de control se encuentra en una fase intermedia con un 66.66% de aplicación, es necesario proteger los sistemas y servicios que brinda la institución y resguardar el acceso con una política de control de acceso.
4.1.1.6.
Resultado e interpretación de controles en criptografía
Tabla 16 Objetivo de control de Controles criptográficos Control: Periodo:
1.1 1.2 II-2020
Política sobre el uso de controles criptográficos Gestión de llaves Ponderación No 1
Preguntas ¿Existe una política de uso de las medidas criptográficas para proteger la información? ¿El departamento de TICs cuenta con algún tipo de técnica criptográfica como medida de protección de la información? ¿Se realiza la gestión de claves criptográficas? ¿En la entidad se efectúan controles criptográficos en cada departamento?
2
3 3
20 Si 4 5
6
2
Total Porcentaje
3 3 11 55%
Nota. Fuente: https://normaiso27001.es/a10-criptografia/. Adaptado por: El autor
El objetivo control se cumple en un 55% de aplicabilidad y se ubica en una fase intermedia, es necesario asegurar el uso apropiado y eficaz de la criptografía en los equipos de funcionarios para proteger la confidencialidad, autenticidad, integridad de la información del Instituto Superior Tecnológico Tsa’chila.
37 4.1.1.7.
Resultado e interpretación de controles en Seguridad física y del entorno
Tabla 17 Objetivo de control de Áreas Seguras Control:
1.1 1.2 1.3 1.4 1.5 1.6 II-2020
Periodo:
Perímetro de Seguridad Controles de acceso físico Seguridad en oficinas, recintos e instalaciones Protección contra amenazas externas y ambientales Trabajo en áreas seguras Áreas de despacho y carga Ponderación No 1 2 3 3 3 3 3 3
Preguntas ¿Se han definido barreras físicas a áreas restringidas? ¿La infraestructura tecnológica de la institución se encuentra en un área segura? ¿En la entidad existen controles de acceso físico a la misma? ¿Se lleva un registro de las personas que acceden a la institución? ¿Se documenta el acceso o salida de algún equipo informático? ¿Existe control en el acceso físico a cada departamento? ¿Existen cámaras de vigilancia en la institución monitoreadas constantemente? ¿Hay protección física contra amenazas ambientales? ¿Poseen control térmico? ¿Existen procedimientos documentados para trabajar en áreas seguras?
60 Si 4
5
6
4 4 3 1 Total Porcentaje
3 30 50%
Nota. Fuente: https://normaiso27001.es/a11-seguridad-fisica-y-del-entorno/. Adaptado por: El autor
De acuerdo a los resultados el presente objetivo de control se encuentra en fase intermedia proyectando un 50% en la escala estimativa, es necesario establecer políticas que resguarden la infraestructura tecnológica, manejar registros de accesos que realicen los funcionarios y generar reportes de eventos relacionados con la seguridad de física de la institución.
Tabla 18 Objetivo de control de Equipos Control:
Periodo:
1.1 1.2 1.3 1.4 1.5 1.6 1.7 1.8 1.9 II-2020
Ubicación y protección de los equipos Servicios de suministro Seguridad del cableado Mantenimiento de equipos Retiro de activos Seguridad de equipos y activos fuera de las instalaciones Disposición segura o reutilización de equipos Equipos de usuarios desatendidos Política de escritorio limpio y pantalla limpia
Preguntas ¿En la entidad la ubicación de los equipos informáticos se encuentra en un área segura? ¿Se protegen los equipos de los accesos de personal no autorizado? ¿Existe protección de los equipos contra fallas de energía?
Ponderación No 1 2 3
60 Si 4 4 4 4
5
6
38 ¿El cableado que existe es de alto nivel de seguridad? ¿Se realiza el mantenimiento de los equipos periódicamente? ¿Cuándo se retiran los activos informáticos se registra algún tipo de documentación para la misma? ¿Existe algún tipo de norma para la seguridad de los activos que salen de la institución? ¿Hay algún tipo de normativa para el borrado de información sensible que contengan medios de almacenamiento? ¿Existe alguna normativa para los equipos de los usuarios desatendidos? ¿La entidad cuenta con alguna política de escritorio limpio y pantalla limpia? Total Porcentaje
5 4 3 4 4 4 3 39 65%
Nota. Fuente: https://normaiso27001.es/a11-seguridad-fisica-y-del-entorno/. Adaptado por: El autor
El objetivo de control tiene un estado de fase intermedia con el 65%, es necesario establecer lineamiento que permitan mejorar los procedimientos de los equipos mencionados en cada control.
4.1.1.8.
Resultado e interpretación de controles en Seguridad de las operaciones
Tabla 19 Objetivo de control Procedimientos operacionales y responsabilidades Control:
1.1 1.2 1.3 1.4 II-2020
Procedimientos de operación documentados Gestión de cambios Gestión de capacidad Separación de los ambientes desarrollados, pruebas y operación Periodo: Ponderación No Preguntas 1 ¿Existe documentación sobre los procedimientos de operación? ¿Han sido socializados los procedimientos de operación con el personal de la institución? ¿Existe algún tipo de control en la gestión de cambios de los medios de procesamiento de la información? ¿Se controla periódicamente el rendimiento de la infraestructura informática? Total Porcentaje
2
3
24 Si 4 4
5
6
3 4 4 15 58.33%
Nota. Fuente: https://normaiso27001.es/a12-seguridad-de-las-operaciones/. Adaptado por: El autor
El objetivo de control tiene una aplicación de fase intermedia con un 58.33%, se debe documentar periódicamente el rendimiento de la infraestructura informática, socializar los procedimientos de temas de TI a los docentes de la institución.
39 Tabla 20 Objetivo de control Protección contra códigos maliciosos Control: Periodo:
1.1 II-2020
Controles contra códigos maliciosos Ponderación No 1 2 3
Preguntas ¿Existe controles de prevención y detección contra códigos maliciosos? ¿Se efectúan revisiones regulares para la prevención de código malicioso? ¿Se realizan actualizaciones periódicas del software contra código malicioso? ¿Los equipos informáticos se encuentran protegidos con antivirus?
24 Si 4 4 4 4
5
6
5 Total Porcentaje
17 70.83%
Nota. Fuente: https://normaiso27001.es/a12-seguridad-de-las-operaciones/. Adaptado por: El autor
El objetivo de control se encuentra en una fase intermedia con el 70.83%, es necesario fortalecer los equipos informáticos con antivirus para evitar que los códigos maliciosos afecten la seguridad de la información, se deben establecer lineamientos preventivos y correctivos con los equipos vulnerables de la institución.
Tabla 21 Objetivo de control Copias de respaldo Control: Periodo:
1.1 II-2020
Respaldo de información
Preguntas ¿La entidad cuenta con una política definida para las copias de respaldo de la información? ¿Se realizan periódicamente copias de respaldo de la información? ¿Existe documentación sobre las copias de respaldo? Total Porcentaje
Ponderación No 1 2 3
18 Si 4 4 4 4
5
6
12 66.66%
Nota. Fuente: https://normaiso27001.es/a12-seguridad-de-las-operaciones/. Adaptado por: El autor
El objetivo de control muestra un estado de aplicación del 66.66% de acuerdo a la escala estimativa se ubica en una fase intermedia, es necesario establecer una política que estipule los respaldos de información que manejan los funcionarios de forma periódica.
40 Tabla 22 Objetivo de control Registro y seguimiento Control:
1.1 1.2 1.3 1.4 II-2020
Periodo:
Registro de eventos Protección de la información Registros del administrador y del operador Sincronización de relojes
Preguntas
Ponderación No 1 2 3
¿Se lleva un control de los eventos que se han efectuado en el sistema? ¿Se realizan periódicamente copias de respaldo de la información? ¿Se registra las actividades que realizan el administrador y operador del sistema? ¿Los relojes de los equipos informáticos se encuentran en la misma hora simultáneamente? Total Porcentaje
24 Si 4 4 4 4 4
5
6
16 66.66%
Nota. Fuente: https://normaiso27001.es/a12-seguridad-de-las-operaciones/. Adaptado por: El autor
El resultado del objetivo de control proyecta una fase intermedia de aplicación con un 66.66%, se debe establecer una política que gestione y documente los eventos de cambios de los sistemas de la institución y mantener directrices en los equipos informáticos de la institución para mantener la sincronización de hora y fecha.
Tabla 23 Objetivo de control software operacional Objetivo de Control: Control: Periodo:
1. 1.1 II-2020
Control de software operacional Instalación de software en sistemas operativos Preguntas
¿Existen políticas para la instalación de software en sistemas operativos? ¿Existe un control para la instalación de software en sistemas operativos? ¿Se lleva un registro físico o digital del control que se realiza sobre la instalación de software? Total Porcentaje
Ponderación No 1 2 3
18 Si 4 4 4 4
5
6
12 74%
Nota. Fuente: https://normaiso27001.es/a12-seguridad-de-las-operaciones/. Adaptado por: El autor
El objetivo de control se encuentra en la fase intermedia de aplicación con el 74%, es necesario establecer una política que gestione la instalación de programas utilitarios, sistemas operativos, para asegurar la integridad de los equipos informáticos.
41 Tabla 24 Gestión de vulnerabilidad técnica Control:
1.1 1.2 II-2020
Periodo:
Gestión de las vulnerabilidades técnicas Restricciones sobre la instalación de software Ponderación No 1 2 3
Preguntas ¿Existe alguna política sobre las vulnerabilidades técnicas? ¿Se lleva un registro de la gestión de vulnerabilidades del sistema? ¿Existe una política sobre la restricción sobre la instalación de software en los puestos de trabajo? Total Porcentaje
18 Si 4 4 4 4
5
6
12 66.66%
Nota. Fuente: https://normaiso27001.es/a12-seguridad-de-las-operaciones/. Adaptado por: El autor
El objetivo de control muestra un nivel de fase intermedia con un 66.66%, es necesario generar una política que marque lineamientos en debilidades de servicios de software que ofrece el instituto y restringir instalación de programas no autorizados realizados por funcionarios.
Tabla 25 Objetivo de control Consideraciones sobre auditorias de sistemas de información Control: Periodo:
1.1 II-2020
Controles de auditorías de sistemas de información Ponderación Preguntas
¿Se han efectuado auditorias de los sistemas de información? ¿Se lleva un registro de estas auditorías? ¿Se tiene documentación física de los controles que se han tomado después de las auditorias? Total Porcentaje
No 1
2
3
18 Si 4 4 4 4
5
6
12 66.66%
Nota. Fuente: https://normaiso27001.es/a12-seguridad-de-las-operaciones/. Adaptado por: El autor
El objetivo de control se proyecta en un nivel de aplicación de fase intermedia con el 66.66%, es necesario generar una política sobre las elaboraciones de auditorías de seguridad de información y documentar las áreas vulnerables de los resultados obtenidos.
42 4.1.1.9.
Resultado e interpretación de controles en Seguridad de las comunicaciones
Tabla 26 Objetivo de control Gestión de seguridad de las redes Control:
Periodo:
1.1 1.2 1.3 II-2020
Controles de redes Seguridad de los servicios de red Separación en las redes Ponderación No 1 2 3
Preguntas ¿Existe una guía o plan en donde se indique cual debería ser el control de las redes? ¿Existe documentación sobre el control de las redes? ¿Se encuentran definidas las características de la red? ¿Se encuentran separadas las redes en el rango determinado y sugerido? Total Porcentaje
24 Si 4 4 4 4 4
5
6
16 66.66%
Nota. Fuente: https://normaiso27001.es/a13-seguridad-en-las-comunicaciones/. Adaptado por: El autor
El objetivo de control se encuentra en una fase intermedia con un 66.66% de aplicación, es necesario generar una política que controles la seguridad de red, permita el uso seguro de las comunicaciones de red en el instituto.
Tabla 27 Objetivo de control Transferencia de información Control:
1.1 1.2 1.3 1.4
Periodo:
Políticas y procedimientos de transferencia de información Acuerdos sobre transferencia de información Mensajería electrónica Acuerdos de confidencialidad o de no divulgación Ponderación No 1
Preguntas
2
¿Existe una política sobre la transferencia de información? ¿Existe un manual para elaborar el procedimiento de la transferencia de la información? ¿Se tiene un control sobre la mensajería instantánea dentro de la institución? ¿Existen acuerdos de confidencialidad de la información? ¿Se realizan actualizaciones a dichos acuerdos de confidencialidad de la información? Total Porcentaje
3
30 Si 4 4 4 4 4 4
5
6
20 66,66%
Nota. Fuente: https://normaiso27001.es/a13-seguridad-en-las-comunicaciones/. Adaptado por: El autor
El objetivo de control presenta un 66.66% de aplicación y se encuentra en una fase intermedia, es necesario establecer una política de seguridad que permita documentar los
43 registros de transferencias de información y mejorar la integridad, disponibilidad y confidencialidad de la información.
4.1.1.10.
Resultado e interpretación de controles en Adquisición, desarrollo y
mantenimiento de sistemas Tabla 28 Objetivo de control Requisitos de seguridad de los sistemas de información Objetivo de Control: Control:
1. 1.1 1.2 1.3
Requisitos de seguridad de los sistemas de información Análisis y especificación de requisitos de seguridad de la información Seguridad de servicios de las aplicaciones en redes publicas Protección de transacciones de los servicios de las aplicaciones Periodo: Ponderación 30 No Si Preguntas 1 2 3 4 ¿Existen procedimientos que determinen la etapa de análisis y especificación de los requisitos 4 de seguridad de la información? ¿Estos procedimientos son debidamente documentados? 4 ¿Se aplica algún tipo de control en los servicios de las aplicaciones en redes públicas? 4 ¿Existen controles de las transacciones de los servicios de aplicaciones? 4 ¿Estos accesos se encuentran registrados? 4 Total 20 Porcentaje 66,66%
5
6
Nota. Fuente: https://normaiso27001.es/a14-adquisicion-desarrollo-y-mantenimiento-de-los-sistemasde-informacion/ . Adaptado por: El autor
El objetivo de control se encuentra aplicado en una fase intermedia con el 66.66%, es necesario establecer los lineamientos de los servicios utilizados en la institución documentar los procedimientos que realizan los funcionarios con la finalidad de mejorar la seguridad de la información.
4.1.1.11.
Resultado e interpretación de controles en Gestión de incidentes de
seguridad de la información Tabla 29 Objetivo de control de Gestión de incidentes y mejoras en la seguridad de la información Control:
Periodo:
1.1 1.2 1.3 1.4 1.5 1.6 1.7
Responsabilidades y procedimientos Reporte de eventos de seguridad de la información Reporte de debilidades de seguridad de la información Evaluación de eventos de seguridad de la información y decisiones sobre ellos Respuesta a incidentes de seguridad de la información Aprendizaje obtenido de los incidentes de seguridad de la información Recolección de evidencia Ponderación 42
44
Preguntas ¿Se encuentran definidos las responsabilidades y procedimientos con respecto a los incidentes de seguridad de la información? ¿Se realizan reportes en torno a los incidentes que se han presentado en la institución con respecto a la seguridad de la información? ¿Se realizan evaluaciones de eventos de seguridad de la información? ¿Se elaboran reportes sobre las evaluaciones realizadas de los eventos de seguridad de la información? ¿Se asegura una rápida respuesta ante cualquier incidente de la seguridad de la información? ¿Se lleva un registro de los incidentes que se han presentado con anterioridad? ¿Existe alguna evidencia de los incidentes de seguridad de la información presentados? Total Porcentaje
No 1
2
3
Si 4 4
5
6
4 4 4 4 4 4 28 66.66%
Nota. Fuente: https://normaiso27001.es/a16-gestion-de-incidentes-de-la-seguridad-de-la-informacion/ Adaptado por: El autor
El objetivo de control muestra un 66.66% de aplicación ubicándose en un estado de fase intermedia, es necesario establecer una política que responsabilice a los funcionarios de los procesos en seguridad de información que estén bajo su cargo y generar las evidencias de los eventos surgidos.
4.1.1.12.
Resultado e interpretación de controles en Aspectos de seguridad de la
información de la gestión de continuidad del negocio Tabla 30 Objetivo de control Continuidad de la seguridad de la información Control:
1.1 1.2 1.3
Planificación de la continuidad de la seguridad de la información Implementación de la continuidad de la seguridad de la información Verificación, revisión y evaluación de la continuidad de la seguridad de la información Periodo: Ponderación 24 No Si Preguntas 1 2 3 4 5 ¿Se ha elaborado un plan de contingencia en donde se determine que procesos se deban realizar 4 en caso de crisis? ¿Se ha realizado un análisis de impacto en caso de que ocurra alguna catástrofe? 4 ¿Se han elaborado análisis de riesgos a los que se encuentran sometidos la institución en cuanto 4 a su seguridad de la información? ¿Se ha elaborado un plan de recuperación ante desastres para la institución? 4 Total 16 Porcentaje 66.66%
6
Nota. Fuente: https://normaiso27001.es/a17-aspectos-de-seguridad-de-la-informacion-en-la-gestionde-continuidad-del-negocio/. Adaptado por: El autor
45 El objetivo de control tiene un 66.66% de aplicación en una fase intermedia, es necesario elaborar un análisis de los activos tanto del hardware como software y los procesos TI que existen en la institución.
4.1.1.13.
Resultado e interpretación de controles en Cumplimiento
Tabla 31 Objetivo de control Cumplimiento de requisitos legales y contractuales Control:
1.1 1.2 1.3 1.4 1.5
Identificación de la legalización aplicable y de los requisitos contractuales Derechos de propiedad intelectual Protección de registros Privacidad y protección de información de datos personales Reglamentación de controles criptográficos Periodo: Ponderación 36 No Si Preguntas 1 2 3 4 ¿Se actualizan los requisitos legales de la entidad con respecto a la seguridad de la 4 información? ¿Existe un Inventario del software que se ejecuta en la institución? 4 ¿Se lleva un control, de que todo software que se ejecuta en la institución esté debidamente 4 licenciado o en suceso sea software libre? ¿Se le ha hecho conocer al usuario que es ilegal duplicar software o documentación que se 4 encuentre protegidos por derechos de autor sin la debida autorización del autor? ¿Se pide autorización por escrito para manejar los datos de funcionarios, proveedores etc.? 4 ¿En la entidad existen controles criptográficos? 4 Total 24 Porcentaje 66,66%
5
6
Nota. Fuente: https://normaiso27001.es/a18-cumplimiento/. Adaptado por: El autor
Se muestra un cumplimiento del objetivo de control fase intermedia con el 66.66%, es necesario desarrollar una política que gestione el cumplimiento legal del funcionario con las responsabilidades asignadas por la institución en ámbitos de seguridad de información.
Tabla 32 Objetivo de control Revisiones de seguridad de la información Control:
Periodo:
1.1 1.2 1.3
Revisión independiente de seguridad de la información Cumplimiento con las políticas y normas de seguridad Revisión del cumplimiento técnico Ponderación No 1
Preguntas
2
3
¿Se realiza una revisión de forma independiente a los procesos de la seguridad de la información? ¿Se verifica si se cumplen las normas de seguridad de la periódicamente? ¿Se realiza un monitoreo de los sistemas de información periódicamente?
18 Si 4 4 4 4
Total Porcentaje
12 66.66%
Nota. Fuente: https://normaiso27001.es/a18-cumplimiento/. Adaptado por: El autor
5
6
46 El objetivo de control muestra un nivel de fase intermedia con un 66.66% de aplicabilidad, es necesario aplicar procedimientos para monitorear la ejecución de las responsabilidades de los funcionarios y realizar auditorías anuales para mejorar las prácticas en seguridad de la información.
4.1.2. Interpretación de resultados de la encuesta. En base a la recolección de datos aplicados mediante un cuestionario a los docentes que están involucrados al manejo de información del Instituto, se presenta el análisis cuantitativo el cual tuvo el objetivo de entender e interpretar los procesos en calidad de Gestión TI, en función a los resultados arrojados se plasma la tabulación de la información obtenida.
Tabla 33 ¿Recibe mantenimiento periódico el computador asignado para el desarrollo de sus funciones?
Alternativas
Frecuencia
Porcentaje
Si
9
60%
No
6
40%
Nota. Elaborado por: El autor
Los resultados muestran que un porcentaje del 60% recibe mantenimiento periódico de su computador asignado para el trabajo y el 40% no lo recibe, existe la necesidad de tener políticas que gestionen los mantenimientos periódicos de los equipos de la institución para el desarrollo de funciones de los docentes de la institución.
Tabla 34 ¿El computador asignado en el desarrollo de sus funciones posee antivirus actualizado?
Alternativas Si
Frecuencia
Porcentaje
9
60%
47 No
6
40%
Nota. Elaborado por: El autor
Los resultados muestran que el 60% si tiene actualizado el virus de su equipo de trabajo y el 40% no cuentan con antivirus actualizado, los equipos de los funcionarios no cuentan con las actualizaciones de software de antivirus.
Tabla 35 ¿Su equipo cuenta con las seguridades para restringir el acceso a personal no autorizado?
Alternativas
Frecuencia
Porcentaje
Si
3
20%
No
12
80%
Nota. Elaborado por: El autor
Un total de 80% de docentes mencionan que sus equipos no cuentan con restricción de acceso a personas no autorizadas y el restante 20% mencionan que, si se encuentran protegidos, se interpreta que existe la necesidad de aplicar políticas para mejorar la seguridad de los equipos de los funcionarios.
Tabla 36 ¿Conoce si dentro de la institución existen políticas, normativas o Sistema de Gestión de Seguridad de la Información?
Alternativas
Frecuencia
Porcentaje
Si
4
26,7%
No
11
73,3%
Nota. Elaborado por: El autor
Se muestra que la planta docente desconoce con 73,3% si dentro de la institución aplican o rigen normas, políticas de seguridad y solo el 26,7% menciona que si existe, por lo
48 cual se entiende que las políticas normativas o Sistema de Gestión de Seguridad de la Información no han sido establecidas de manera general a los funcionarios.
Tabla 37 ¿Considera necesario que la institución desarrolle e implante una normativa de Gestión de Seguridad de la información?
Alternativas
Frecuencia
Porcentaje
Si
15
100%
No
0
0%
Nota. Elaborado por: El autor
De acuerdo a la tabulación el 100% considera necesario el uso de normativas de gestión de seguridad de la información, el total de los encuestados consideran favorable las normativas de gestión de seguridad de la información.
Tabla 38 ¿En temas de seguridad de la información la institución capacita al personal?
Alternativas
Frecuencia
Porcentaje
Si
3
20%
No
12
80%
Nota. Elaborado por: El autor
La tabulación proyecta que el 20% la institución si capacita al personal y el 80% menciona lo contrario, se identifica que la mayor parte de funcionarios no han sido capacitados en temas de seguridad de la informática.
49 Tabla 39 ¿El IST Tsa’chila capacita al personal en temas de riesgo operativo?
Alternativas
Frecuencia
Porcentaje
Si
2
13,3 %
No
13
86,7%
Nota. Elaborado por: El autor
El 13,3% de funcionarios menciona que su ha recibido capacitación en temas de riesgo operativo, y el 86,7 menciona no haber recibido capacitación en estas áreas, se interpreta que no existe un correcto manejo de capacitaciones en temas de riesgo operativo.
Tabla 40 ¿Cuándo ocurre un evento relacionado con riesgo operativo sabe a quién reportarlo?
Alternativas
Frecuencia
Porcentaje
Si
5
33,3%
No
10
66,7%
Nota. Elaborado por: El autor
El 33,3% contesta que, si conoce a quien reportar los incidentes relacionados a riesgo operativo mientras que el 66,7% no sabe a quién reportar, se puede interpretar la necesidad de plasmar procedimientos que permitan a los funcionarios conocer y actuar en estas situaciones de riesgo operativo.
Tabla 41 ¿Existe alguna restricción para navegar en internet?
Alternativas
Frecuencia
Porcentaje
Si
6
40%
No
9
60 %
Nota. Elaborado por: El autor
50 La tabulación demuestra que el 40% si tiene restricciones en la navegación en internet y el 60% no tiene restricciones, se interpreta que no existe una adecuada política institucional sobre restricciones para navegar en internet.
Tabla 42 ¿Conoce de alguna restricción sobre el uso del correo electrónico?
Alternativas
Frecuencia
Porcentaje
Si
4
26,7 %
No
11
73,3 %
Nota. Elaborado por: El autor
La tabulación indica que un 26,7 % considera tener restricciones en uso de correo electrónico y el 73,3% considera lo contrario, es necesario establecer controles que permitan al funcionario conocer el correcto uso del correo electrónico.
Tabla 43 ¿Existe alguna política para el cambio regular de las contraseñas?
Alternativas
Frecuencia
Porcentaje
Si
3
20%
No
12
80%
Nota. Elaborado por: El autor
En la tabla se muestra que un porcentaje del 80% menciona que no existe políticas de cambios de contraseña y el 20% considera lo contrario, se interpreta que es necesario establecer los procedimientos que tienes que realizar los funcionarios sobre el cambio regular de contraseñas.
51 Tabla 44 ¿Firmó usted un acuerdo de confidencialidad y de buen uso de sus claves de acceso?
Alternativas
Frecuencia
Porcentaje
Si
3
20%
No
12
80%
Nota. Elaborado por: El autor
La tabulación proyecta que el 80% no firmo acuerdos de confidencialidad y buen uso de claves de acceso y el 20% menciona que, si lo realizo, es necesario generar una política de compromiso de los funcionarios sobre en adecuado manejo de usuarios y contraseñas.
Tabla 45 ¿La información que usted maneja para el desempeño de sus funciones se respalda periódicamente?
Alternativas
Frecuencia
Porcentaje
Si
7
46,7 %
No
8
53,3 %
Nota. Elaborado por: El autor
La tabulación demuestra que el 53,3% menciona que no se realiza los respaldos de información y el 46,7% menciona que, si se realiza, existe la necesidad mejorar los respaldos periódicos de información de equipos de funcionarios de la institución.
Tabla 46 ¿El acceso que usted requiere a los datos para el desempeño de sus funciones está siempre disponible?
Alternativas
Frecuencia
Porcentaje
Si
6
40%
No
9
60%
Nota. Elaborado por: El autor
52 La tabulación demuestra que el 40% considera que siempre está disponible los datos para el desempeño de sus funciones y 60% considera que no está disponible, es necesario establecer políticas que permitan dar una disponibilidad mayor a los funcionarios.
Tabla 47 ¿Existen sistemas de seguridad que impidan el acceso a lugares restringidos?
Alternativas
Frecuencia
Porcentaje
Si
7
42,9 %
No
8
57,1 %
Nota. Elaborado por: El autor
Los datos muestran que el 57,1% de docentes consideran que no existe impedimentos a lugares restringidos, y el 42,9 % considera que, si existe esta restricción, se interpreta que los accesos a lugares restringidos no se encuentran bien definidos y es necesario aplicar un documento ligado zonas o áreas restringidas.
Tabla 48 ¿Se cuenta con sistemas de alarma como detectores de humo, incendio?
Alternativas
Frecuencia
Porcentaje
Si
10
66,7%
No
5
33,3%
Nota. Elaborado por: El autor
El personal docente de acuerdo a la recopilación de esta pregunta considera que el 66,7% la institución si cuenta con equipos, sistemas detectores de humo, incendio y el 33,3% considera que no cuenta, es necesario inducir sobre los bienes que dispone dentro de la institución para conocimiento de los funcionarios.
53 Tabla 49 ¿Existe vigilancia en la entrada del edificio donde Ud. labora?
Alternativas
Frecuencia
Porcentaje
Si
14
93,3
No
1
6,7
Nota. Elaborado por: El autor
La tabla proyecta que el 93,3 % de la planta docente menciona que, si existe vigilancia mientras que el 6,7% menciona lo contrario, lo que demuestra que las seguridades de guardianía, y equipamiento físico del instituto si se aplican. Tabla 50 ¿Se restringe el acceso de funcionarios a áreas de opciones críticas?
Alternativas
Frecuencia
Porcentaje
Si
10
66,7 %
No
5
33,3%
Nota. Elaborado por: El autor
La tabulación muestra que el 66,7 % considera que si existe restricción en el acceso de funcionarios a lugares de opciones críticas y el 33,3 % menciona que no existen estas restricciones, existen las restricciones parciales, es necesario generar mecanismos, procedimientos de control de acceso a zonas críticas.
4.2.
Resultado dos: Determinar el estado de aplicación de los dominios de
la norma 27001 en el Instituto Superior Tecnológico Tsa’chila. Para determinar el estado de aplicación se utiliza dos encuestas, la primera aplicada a los docentes, y la segunda al responsable de TI, permitió tener el análisis real de la norma 27001 en la institución. A continuación, en los gráficos se muestra el estado de aplicación de los dominios de la norma 27001 mediante los gráficos se encuentra la aplicabilidad de cada objetivo de control con el porcentaje alcanzado, posteriormente se determina la fase en que se
54 encuentra los dominios aplicando el porcentaje general promediado de los objetivos de control, para determinar el estado de aplicación real a los eventos de seguridad de la información en la institución.
Estado de aplicabilidad de dominios de la norma 27001 100,00%
85,71%
90,00% 75%
80,00% 70,00%
66,67%
73,33%
70%
66,66%
63,89% 56,66%
60,00% 50,00% 40,00% 30,00% 20,00% 10,00%
5. Políticas de seguridad
6. Organización de seguridad de la información
7. Seguridad en los recursos humano
Manejo de medios
Clasificación de la información
Responsabilidad de activos
Durante la ejecución del empleo
Previo al empleo
Dispositivos móviles y teletrabajo
Organización interna
Orientación de la dirección para la gestión de la seguridad de la información.
0,00%
8. Gestión de activos
Gráfico 21 Dominios 5-8 de la norma ISO 27001 Fuente: https://www.iso27000.es/iso27002.html Adaptado por: El autor.
5
El dominio políticas de seguridad se encuentra en una fase intermedia, posee un promedio general de 66.67% de aplicabilidad a continuación se detalla el estado del objetivo de control.
55 El estado de aplicabilidad del objetivo de control Orientación de la dirección para la gestión de la seguridad de la información alcanza un 66.67% ubicándose en una fase intermedia, se debe mejorar la brecha que existe en la implantación de políticas de seguridad en la institución, es necesario definir políticas y revisiones periódicas.
6
El dominio de la Organización de seguridad de la información se encuentra en una fase intermedia, el promedio del dominio de sus objetivos de control es de 66.95% a continuación se detalla el estado de los objetivos de control. El objetivo de control Organización interna tiene un promedio de 70% en una fase
intermedia, se debe mejorar la designación en responsabilidades y roles a los docentes en función a la seguridad informática. El objetivo de control Dispositivos móviles y teletrabajo alcanzan un 63,89% y se ubican en una fase intermedia, a continuación, se describen mejoras a realizar, crear controles criptográficos que permitan autenticar los dispositivos de los funcionarios y usuarios externos en las redes del Instituto.
7
El dominio Seguridad de los recursos humanos se encuentra en la fase intermedia con un promedio general de 65.83% de los siguientes objetivos de control: El objetivo de control Previo al empleo alcanzo un 75% ubicándose en una fase
intermedia, es necesario desarrollar lineamientos sobre verificaciones de antecedentes de las personas a contratar en el Instituto Superior Tecnológico Tsa’chila. El objetivo de control Durante la ejecución del empleo alcanzo un 56.66% de aplicación ubicándose en una fase intermedia, es necesario fortalecer es control definiendo las responsabilidades y roles a cumplir en función de la seguridad informática a los funcionarios durante su vinculación en la institución.
8
El dominio de Gestión de activos se encuentra en una fase intermedia alcanza un promedio general de 79,52% de aplicabilidad de los siguientes objetivos de control:
56 El objetivo de control Responsabilidad de activos alcanzo un 85.71% ubicándose en una fase intermedia, es necesario generar directrices para clasificar la información de acuerdo a su valor, confidencialidad, y disponibilidad. El objetivo de control Clasificación de la información alcanzo un 73.33% ubicándose en una fase intermedia, es necesario desarrollar un catálogo de clasificación del dato en base a términos de importancia, requisitos legales, e importancia para la institución. El objetivo de control Manejo de medios alcanzo un 66.66% ubicándose en una fase intermedia, es necesario aplicar procedimientos con el uso de medios removibles en uso, envió y eliminación de la información de acuerdo a la clasificación dispuesta por el Instituto Superior Tecnológico Tsa’chila.
Estado de aplicabilidad de dominios de la norma 27001 100,00% 90,00% 80,00%
79,16% 66,66%
70,00%
66,66%
66,66%
65%
55%
60,00%
50%
50,00% 40,00% 30,00% 20,00% 10,00%
9. Control de acceso
10. Criptografia
Gráfico 22 Dominios 9-11 de la norma ISO 27001 Fuente: https://www.iso27000.es/iso27002.html Adaptado por: El autor.
Equipos
Áreas seguras
Controles criptográficos
Control de acceso a sistemas y aplicaciones
Responsabilidad del usuario
Gestión de acceso a usuarios
Requerimientos de negocio para el control de acceso
0,00%
11. Seguridad fisica y del entorno
57 9
El dominio Control de acceso se encuentra en una fase intermedia con un promedio general de aplicabilidad de 69.79% de los siguientes objetivos de control: El objetivo de control Requerimientos de negocio para el control de acceso alcanza un
79.16% de aplicabilidad y se ubica en una fase intermedia, es necesario restringir el acceso a la información y a las áreas que está vinculada el procesamiento de la información. El objetivo de control Gestión de acceso a usuarios alcanza un 66.66% de aplicabilidad y se ubica en una fase intermedia, se debe aplicar procedimientos seguros, en la gestión de usuarios y contraseñas que manejan los docentes. El objetivo de control Responsabilidad del usuario alcanza un 66.66% y se ubica en una fase intermedia, es necesario elaborar una política del manejo de la información del docente de la institución. El objetivo de Control de acceso a sistemas y aplicaciones alcanza un 66.66% y se ubica en una fase intermedia de aplicabilidad, es necesario aplicar una política para restringir el acceso a servicios informáticos de la institución.
10 El dominio de Criptografía se encuentra en una fase intermedia con un promedio general de 55% de aplicabilidad a continuación, se detalla el estado del objetivo de control. Se describe el estado de aplicación del objetivo de control Controles criptográficos alcanzando un 55% de aplicabilidad en una fase intermedia, es necesario utilizar cifrado de información para proteger los datos críticos o vulnerables, también se debe emplear firmas digitales o autenticación por códigos para proporcionar una integridad en la información almacenada.
11 El dominio Seguridad física y del entorno cuenta con una fase intermedia con el promedio general de 57.50% de aplicabilidad de los siguientes objetivos de control: El objetivo de control de Áreas seguras alcanzo un 50% y se ubica en una fase intermedia de aplicabilidad, se debe combatir el acceso a la infraestructura de personal no
58 autorizado, marcar lineamiento para proteger las instalaciones y describir amenazas o riesgos que puedan ocurrir en la institución. El objetivo de control Equipos alcanzo un 65% y se ubica en una fase intermedia de aplicabilidad, es necesario proteger los activos como equipos informáticos, evitar daños, o hurto de activos, que irrumpan los procesos del Instituto Superior Tecnológico Tsa´chila.
Estado de aplicabilidad de dominios de la norma 27001 100,00% 90,00%
66,66%
66,66%
Consideraciones sobre auditorias de sistemas de información
60,00%
66,66%
Gestión de vulnerabilidad técnica
70,00%
74%
66,66%
Registro y mantenimiento
70,83%
Copias de respaldo
80,00% 58,33%
50,00% 40,00%
30,00% 20,00% 10,00%
Control de software operacional
Protección contra códigos maliciosos
Procedimientos operacionales y responsabilidades
0,00%
12. Seguridad de las operaciones
Gráfico 23 Dominio 12 de la norma ISO 27001 Fuente: https://www.iso27000.es/iso27002.html Adaptado por: El autor.
59 12 El dominio Seguridad en las operaciones, se encuentra en una fase intermedia con un promedio general de 67.11% de aplicabilidad de sus objetivos de control que se describen continuación: El objetivo de control Procedimientos operacionales y responsabilidades se encuentra en una fase intermedia con un 58.33% de aplicabilidad, se debe mejoras los procesos que realiza el funcionario ya que existe un déficit en documentar los roles del funcionario, y los cambios que se empleen en la Institución. El objetivo de control Protección contra códigos maliciosos se encuentra en una fase intermedia con un 70.83% de aplicabilidad, carece de una política de prevención y mitigación con el malware es necesario utilizar un antivirus que proteja la seguridad de la información. El objetivo de control Copias de respaldo se encuentra en una fase intermedia con un 66.66% de aplicabilidad, se debe generar una política que regule periódicamente los respaldos de información. El objetivo de control Registro y mantenimiento se encuentra en una fase intermedia con un 66.66% de aplicabilidad, no existe un control de documentación sobre los eventos ocurridos en la institución. El objetivo de control Software operacional se encuentra en una fase intermedia con un 74% de aplicabilidad, es necesario manejar controles que garanticen la integridad de los sistemas de la institución. El objetivo de control Gestión de vulnerabilidad técnica se encuentra en una fase intermedia con un 66.66% de aplicabilidad, es necesario marcar lineamientos de responsabilidad sobre revisiones periódicas de los servicios de las plataformas tecnológicas de la institución, mediante pruebas periódicas sobre vulnerabilidades. El objetivo de control Consideraciones sobre auditorias de sistemas de información se encuentra en una fase intermedia con un 66.66% de aplicabilidad, las autoridades, responsables de áreas y responsable de TI de la institución mantiene el control de auditorías de acuerdo a disposiciones de instancias superiores.
60
Estado de aplicabilidad de dominios de la norma 27001 100,00%
90,00%
80,00%
70,00%
66,66%
66,66%
66,66%
66,66%
66,66%
66,66%
Gestión de seguridad de las redes
Transferencia de información
Requisitos de seguridad de los sistemas de información
Gestión de incidentes y mejoras en la seguridad de la información
Continuidad de la Cumplimiento de seguridad de la requisitos legales y información contractuales
14. Adquisición, 15. Gestión de desarrollo y incidentes en la mantenimiento de seguridad de la sistemas información
16. Aspectos de 17. Cumplimiento seguridad de la información de la gestión de continuidad del negocio
60,00%
50,00%
40,00%
30,00%
20,00%
10,00%
0,00%
13. Seguridad de las comunicaciones
Gráfico 24 Dominio 13-17 de la norma ISO 27001 Fuente: https://www.iso27000.es/iso27002.html Adaptado por: El autor.
61
13 El dominio Seguridad de las comunicaciones, se encuentra en una fase intermedia con un promedio general de 66.66% de sus objetivos de control que se describen a continuación: El objetivo de control Gestión de seguridad de las redes se encuentra en una fase intermedia con un 66.66% de aplicabilidad, es necesario generar controles que garanticen prevenir y monitorear el acceso no autorizado, cambios o denegación a la red de la institución y los servicios ofrecidos. El objetivo de control Transferencia de información se encuentra en una fase intermedia con el 66.66% de aplicabilidad, se debe mejorar el déficit que existe en la transferencia de datos es necesario generar una política que proteja la información. Es necesario generar una política de acuerdos de confidencialidad y no divulgación.
14 El domino Adquisición, desarrollo y mantenimiento de sistemas, se encuentra en una fase intermedia con un promedio general de 66,66 de su objetivo de control: El objetivo de control Requisitos de seguridad de los sistemas de información se encuentra en una fase intermedia con un 66.66%, es necesario generar una política que marque lineamientos en requisitos de seguridad informática como los servicios dispuestos a los funcionarios docentes en servicio, también se debe mejorar la integridad y disponibilidad de la información.
15 El dominio Gestión de incidentes en la seguridad de la información, se encuentra en una fase intermedia con un promedio general de 66.66% de aplicación del objetivo de control. El objetivo de control Gestión de incidentes y mejoras en la seguridad de la información se encuentra en una fase intermedia, es necesario aplicar directrices eficientes en gestión de incidentes presentados en la institución, y designar roles para una comunicación fluida con los funcionarios responsables ante situaciones de seguridad presentadas.
62 16 El dominio Aspectos de seguridad de la información de la gestión de continuidad del negocio, se encuentra en una fase intermedia con un promedio general de aplicabilidad de 66.66% de su objetivo de control. El objetivo de control Continuidad de la seguridad de información se encuentra en una fase intermedia, es necesario aplicar una política que integre sistemas de gestión para fortalecer la seguridad de información y proteja la continuidad del negocio.
17 El dominio de Cumplimiento, se encuentra en una fase intermedia con un promedio general de 66.66% de aplicabilidad, de su objetivo de control. El objetivo de control Cumplimiento de requisitos legales y contractuales se encuentra en una fase intermedia de aplicabilidad, es necesario aplicar una política que esté sujeta a obligaciones legales, contractuales para el cumplimiento de seguridad de la información.
4.3.
Resultado tres: Política de seguridad para mejorar la seguridad de la
información A continuación, se establece el desarrollo la política de seguridad de un dominio escogido de los 13 estudiados de la norma ISO 27001. Se desarrolla la política de seguridad de Acuerdos de confidencialidad del dominio Organización de seguridad de la información del objetivo de control Organización interna dado que en el estudio los resultados de aplicabilidad del objetivo de control alcanzo un porcentaje de fase intermedia con el 70%. La política de seguridad elaborada se encuentra dentro del dominio Organización de seguridad de la información de la sección 6.
63 6. Organización de seguridad de la información Tabla 51 Sección 6.1. Organización interna Política
Resolución
Evidencia
Acuerdos de
Desarrollar acuerdos, compromisos de los funcionarios,
Política de
confidencialidad
personal interno y externo de la institución con el objetivo
acuerdo de
de funcionarios,
de evitar que la información confidencial de la institución
confidencialidad,
internos y
sea vulnerada o compartida.
ver Anexo 3
externos del Instituto Superior Tecnológico Tsa’chila.
Nota. Fuente: https://www.iso27000.es/iso27002.html Adaptado por: El autor.
64
5.
DISCUSIÓN
Es importante hacer mención que en la actualidad las organizaciones están migrando a las TICs, pero es necesario hacer énfasis que no están reguladas en base a estándares lo que ocasiona vulnerabilidades en los procesos tecnológicos, en el Instituto Superior Tecnológico Tsa’chila al ser una institución de organismo público está alineada a resguardar la seguridad, infraestructura, activos y el rol del talento humano, se articula con lo mencionado por Ladino A., Villa S., & López E. (2011), describen que las mejores prácticas en una empresa en temas de seguridad de la información tienen su eje principal en utilizar estandares que regulen los procesos de la institución. La investigación parte de mejorar la seguridad de la información en relación a los procesos tecnológicos, el estudio está basado en la norma ISO 27001 y está estructurado por 3 fases marcadas en los objetivos específicos que se detallan a continuación. Para conocer el contexto del estado actual de la seguridad de la información en la institución el primer resultado fue la aplicación de dos encuestas empleadas a docentes de la institución, la primera fue una encuesta que estuvo dirigida al funcionario de tecnologías de la información donde se aplicó en un cuestionario la recogida de datos de 13 dominios basado en la norma ISO 27001 en una investigación realizada por Ruíz Tapia, Estrada Gutiérrez, & Sánchez Paz, (2020) determinan que para una correcta gestión de la seguridad de la información se debe conocer el deficit de la institución educativa empleando instrumentos que generen resultados satisfactorios en nivel de seguridad informatica, para despues elaborar un correcto modelo que permita gestionar mejor la información, y esto basado en la norma ISO/IEC 27001. En la investigación el resultado general determina que es necesario mejorar la seguridad, mitigar los procesos tecnológicos, gestionar los activos y documentar las responsabilidades de los funcionarios del Institutos Superior Tecnológico Tsa’chila fueron los datos interpretados de este resultado, la segunda fue una encuesta compuesta por 18 preguntas y realizada a los docentes, donde al ejecutar el análisis de los datos se observó un déficit en áreas, procesos y roles de seguridad de la información. El resultado dos del trabajo investigativo se desarrolló mediante la documentación de la norma ISO/IEC 27001 que permitió conocer el estado actual del Instituto Superior Tecnológico Tsa´chila para marcar las pautas de los objetivos de control de la norma 27001, en un estudio realizado por Vite Cevallos, Davila Cuesta, & Molina Montero (2018), el marco
65 referencial de la norma 27001 es indispensable para alinear los procesos de las areas de TI en la institución. En el presente estudió los instrumentos empleados en los docentes y el responsable del area se TI, fueron los ejes para conocer el estado de aplicabilidad de la norma 27001 en la institución, para el análisis se desarrolló en base a un análisis diferencial de los objetivos de control lo que permitió especificar el estado actual. El resultado tres consistió en desarrollar una política de seguridad para mejorar la seguridad de la información, se alinea con la investigación realizada por Astudillo García & Cabrera Duffaut (2019) donde proponen una politicas para mejorar la gestión informatica fundamentada con la norma 27001:2013 para gestionar el procesamiento de datos dando resultados positivos a departamentos vinculados a las TICs. En el estudio se desarrolla una politica de acuerdos de confidencialidad del dominio Organización de seguridad de la información, donde se determina la documentación para aplicación en la institución En función a lo expuesto, es necesario fortalecer los procesos de seguridad informática actualmente el gobierno de Ecuador impulsa programas para mantener un Esquema de Seguridad dentro de las organizaciones el Ministerio de telecomunicaciones de la sociedad de la información en el acuerdo ministerial 025-2019 menciona el Esquema Gubernamental de Seguridad de la Información -EGSI-, el cual es de implementación obligatoria en las instituciones de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva (www.gobiernoelectronico.gob.ec, 2019).
66
6.
6.1.
CONCLUSIONES Y RECOMENDACIONES
Conclusiones Mediante el análisis de datos aplicados a los docentes y realizada una investigación en
base a la norma ISO 27001 se interpretó los resultados de las encuestas para tener un análisis del estado actual en el Instituto Superior Tecnológico Tsa’chila. Se empleó un análisis diferencial para interpretar los resultados de cada dominio consultado al responsable de tecnologías. El desarrollo del análisis de la situación actual permitió especificar el estado de los dominios, objetivos de control y controles para mejorar la seguridad de la información en base a la norma ISO 27001. A través del diagnóstico elaborado utilizando las bases de la norma ISO 27001, se diseñó una política de seguridad para alinear al Instituto Superior Tecnológico Tsa’chila a un estándar que mejore la gestión de seguridad de la información.
6.2.
Recomendaciones Se recomienda realizar charlas a los docentes del Instituto Superior Tecnológico
Tsa´chila en temas de seguridad de la información para que tengan conocimiento de temas informáticos y de esta manera dar un análisis más claro y profundo de las temáticas que se realicen en investigaciones futuras. Sensibilizar a los funcionarios docentes con el perfil informático en adoptar lineamientos que permitan mejorar en la medida posible los procesos de TICs que se realizan en el Instituto Superior Tecnológico Tsa´chila. Se recomienda la conformación de un comité de seguridad de información, para desarrollar, definir, y aprobar las políticas expuestas las mismas que deben tener una inducción a los funcionarios del Instituto Superior Tecnológico Tsa’chila. Realizar un seguimiento y actualización de las políticas de seguridad aprobadas e introducidas en la institución con el propósito de mantener la confidencialidad, integridad y disponibilidad en la institución.
67
7.
REFERENCIAS BIBLIOGRÁFICAS
Abreu, J. (2012). Hipótesis, método & diseño de investigación. Daena: International Journal of Good Conscience. Aguilera. (2011). Redes seguras (Seguridad informática). . Madrid, España: : Editex. Amutio Gómez, M. (2012). Magerit – versión 3.0. Madrid: Ministerio de Hacienda y Administraciones Públicas. Areito Bertolin, J. (2008). Seguridad de la información. Redes, informática y sistemas de información. Madrid: Paraninfo, S.A. Astudillo García, C. W., & Cabrera Duffaut, A. E. (2019). Políticas de gestión de seguridad de la información, fundamentadas en la norma ISO/IEC 27001, centro de datos diseñado con el estándar ANSI/TIA 942. Dominio de las ciencias, 27. Avenía Delgado, C. A. (2017). Fundamentos de seguridad. Bogotá: Fondo editorial Areandino. Benavides Ruano, M., Enriquez Rosero, E. R., & Solarte Solarte, F. N. (2015). Metodología de análisis y evaluación de riesgos aplicados a. Revista Tecnológica ESPOL, 16. Diaz Bravo, L., & García, T. (2013). La entrevista, recurso flexible y dinámico. México D.F: Investigación en educación médica. Diaz Sanjuán, L. (2010). La observación. Facultad Psicología UNAM, 29. Escamilla , M. D. (2004). Fundamentos de la metodología. Estado de Hidalgo: UAEH. Gobierno
Electronico
.
(10
de
https://www.gobiernoelectronico.gob.ec/
enero
de
2020).
Obtenido
de
68 Gobierno
Electronico.
(2019).
www.gobiernoelectronico.gob.ec.
Obtenido
de
https://www.gobiernoelectronico.gob.ec/egsi/ Godoy Lemus, R. (2014). Seguridad de la Información: Revista de la Segunda Cohorte del Doctorado en Seguridad Estratégica. Guatemala: Revista de la Segunda Cohorte del Doctorado en Seguridad Estratégica. C. Grupo
ACMS
Consultores.
(2019).
Grupo
ACMS
Consultores.
Obtenido
de
https://www.grupoacms.com/blog/seguridad-la-informacion/ Hernández Sampieri , R., Fernández Collado, C., & Baptista Lucio, P. (2003). Metodología de la investigación . México: McGraw-Hill Interamericana. Incibe.
(2016).
Instituto
Nacional
de
Ciberseguridad.
Obtenido
de
https://www.incibe.es/sites/default/files/contenidos/dosieres/metad_proteccion-de-lainformacion.pdf Instituto colombiano agropecuario. (2018). Manual del Sistema de Gestión de sistema de gestión integrado. , 53. ISO 27000. (2019). iso2700.es. Obtenido de https://www.iso27000.es/iso27000.html ISO Tools. (2020). Normas ISO. Obtenido de https://www.isotools.org/normas/ Ladino A., M. I., Villa S., P. A., & López E., A. M. (2011). Fundamentos ISO 27001 y su aplicación en las empresas. Scientia et Technica Año XVII, 6. López, P. L. (2004). Población muestra y muestreo. Cochabamba: Punto cero. Maico, G. (2012). Combinación de ITIL, Cobit e ISO / IEC 27002 para estructurar tecnología de información integral para la gestión en organizaciones. Navus, 77.
69 Martín, F. A. (2011). La encuesta: una perspectiva general metodológica. Vol. 35. CIS, 2011. Mexico D,F: CIS. Ministerio de telecomunicaciones y de la sociedad de la información. (10 de enero de 2020). Gobierno electronico. Obtenido de https://www.gobiernoelectronico.gob.ec/egsi-v2/ Morales Ibarra, R. (2019). Fundamentos de Muestreo . Universidad Autónoma del Estado de México, 90. Nuñez Moscoso, J. (2016). Los métodos mixtos en la investigación en educación. Scielo, 18. Otzen, T., & Manterola, C. (2017). Técnicas de Muestreo sobre una Población a Estudio. Scielo, 6. Pineda, E. B., & Alvarado, E. L. (2008). Metodología de la investigación. Washington: McGraw-Hill Interamericana Editores, S.A. de C.V., . Pineda, E., & de Alvarado, E. (2008). Metodología de la investigación. Plan
Nacional
de
Desarrollo
2017-2021-Toda
una
Vida.
(2017).
https://www.planificacion.gob.ec/. Obtenido de https://www.planificacion.gob.ec/wpcontent/uploads/downloads/2017/10/PNBV-26-OCT-FINAL_0K.compressed1.pdf Rodríguez Rodríguez, J. M., & Daureo Campillo, M. J. (2003). Sistemas de informacion: Aspectos técnicos y legales. Almeria: Alme. Rojas Pupo, Y., Tamayo García, P. F., & Moreno Pino, M. (2020). Metodología para la gestión de la seguridad de la información basadaen los aspectos mas relevantes de la norma cubana NC ISO / IEC 27001_2016. RILCO, 12.
70 Ruíz Tapia, J. A., Estrada Gutiérrez, C. E., & Sánchez Paz, M. (2020). Propuesta de un modelo de un sistema de gestión de calidad en seguridad de la información basado en la norma ISO 27001 instituciones educativas . RILCO, 26. SGSI. (21 de Mayo de 2015). SGSI Blog especializado en Sistemas de Gestión. Obtenido de https://www.pmg-ssi.com/2015/05/iso-27001-que-significa-la-seguridad-de-lainformacion/ Silva Coelho, F. E., Segadas de Araújo, L. G., & Kowask Bezerra, E. (julio de 2014). Cedia. Obtenido de https://cedia.edu.ec/dmdocuments/publicaciones/Libros/GTI8.pdf Tapia, M. (2000). Metodología de investigacion. Ingenieria en gestión informatica. Santiago: Infor. Vargas Cordero , Z. R. (2009). La investigación aplicada: una forma de conocer. Redalyc, 12. Vite Cevallos, H., Davila Cuesta, J., & Molina Montero, B. (2018). Gestion de la información en las instituciones de educación superior (IES) con base a la norma ISO 27001. Jorunal of sicence and reserach ciencia e investigación, 6.
71
8.
ANEXOS
Anexo 1 Solicitud de la universidad y apertura de trabajo investigativo en la institución del estudio.
72
73
74 Anexo 2 Validación de instrumentos a expertos
75
Anexo 3 Política de Acuerdo de confidencialidad
POLÍTICA DE ACUERDOS DE CONFIDENCIALIDAD DE FUNCIONARIOS, INTERNOS Y EXTERNOS DEL INSTITUTO SUPERIOR TECNOLÓGICO TSA’CHILA
ÍNDICE DE POLÍTICA 1. Sumario .............................................................................................................................. 1 2. Alcance
.............................................................................................................................. 1
3. Normas generales de comportamiento .............................................................................. 2 3.1. Obligación de discreción, secreto y confidencialidad ......................................................... 2 4. Mecanismos establecidos para garantizar la confidencialidad........................................ 3 5. Difusión de información ...................................................................................................... 3 6. Incumplimiento de la política ............................................................................................. 4
1. Sumario La presente política está encaminada en establecer las obligaciones que los funcionarios del Instituto Superior Tecnológico Tsa’chila en adelante (ISTT), deben manejar la información que este bajo su custodio en la institución absoluta responsabilidad y evitar la divulgación a personas externas a la institución que provoque el riesgo de la confidencialidad. Es considerada información confidencial: ✓ La información que maneje la ISTT está declarada como confidencial. ✓ Toda documentación que se manipule o entregue a responsables en el ISTT debe ser receptada bajo un acuerdo de confidencialidad. ✓ Datos de los funcionarios del ISTT y personas externas vinculadas a la institución. ✓ Información vinculada con las actividades del ISTT que no haya sido difundida por la institución.
2. Alcance El acuerdo de confidencialidad es ajustable para los funcionarios del ISTT, y en el documento hace énfasis en las actividades individuales y en conjunto que debe cumplir el TTHH. La política comprenderá los procesos, actividades, designaciones establecidas por el ISTT y autoridades superiores, y los eventos que se presenten deben ser redactados mediante oficio para estimar el nivel de incumplimiento ocurrido.
1
3. Normas generales de comportamiento 3.1. Obligación de discreción, secreto y confidencialidad La difusión de información personal, ya sea intencional o no, puede afectar negativamente la imagen del ISTT y la relación entre los docentes. Por lo tanto, se han establecido las siguientes pautas para garantizar que la información se utilice de acuerdo con los estándares de privacidad y confidencialidad. ✓ Los funcionarios deben mantener mesura con la información que manipulan, cumplir con el deber de discreción y confidencialidad con respecto a las actividades propias de su puesto de trabajo o de las que responden a su participación en designaciones del ISTT. ✓ La información que manipulen los funcionarios se utilizara con objetivos legítimos, responsables y honestos, y se dispondrá si fuese el caso de la penalización en base a la normativa que regule el ISTT como organismo público. o Ecuador dispone del reglamento de ley de protección de datos personales, elemento que sirve como respaldo a procedimientos ejecutados en el ISTT. ✓ El funcionario debe conocer de la normativa y darle un uso responsable a la información que maneje según los roles designados por el ISTT. ✓ Los funcionarios docentes bajo ninguna circunstancia, pueden difundir datos confidenciales sin la autorización del ISTT, esto aplica durante su vinculación laboral o ya finalizada con la Institución. ✓ En caso de incurrencia de eventos presentados en el ISTT, se debe informar a las autoridades del ISTT, lo siguiente: •
Uso inadecuado de la información, difusión de datos confidenciales por parte de funcionarios o externos.
•
Intento de persona externa al ISTT de obtener información confidencial de los funcionarios.
2
4. Mecanismos establecidos para garantizar la confidencialidad ✓ Compromiso de acuerdo de confidencialidad firmado por los funcionarios del ISTT, al incorporarse a la institución. ✓ Los documentos deben estar estipulados con severidad en mantener la confidencialidad y la firma del funcionario o responsable es obligatoria y supone la aceptación de responsabilidad que presenta el documento. ✓ Inscripción de cláusulas de confidencialidad por parte del funcionario de los acuerdos firmados por el ISTT. ✓ Las empresas externas al ISTT que deseen tener acceso a la institución debido a procesos que lo requieran deben firmas un documento de confidencialidad para el desarrollo de su trabajo. ✓ Restringir el acceso no autorizado en la red interna de la institución. ✓ Accesos restringidos a la información disponible en la red informática interna.
5. Difusión de información La máxima autoridad es la responsable de autorizar compartir información confidencial no hecha pública por responsable del ISTT. Compartir información impresa o digital elaborado por responsables del ISTT bajo cualquier finalidad, publicaciones de redes sociales, fotográficas o grabaciones en las áreas del ISTT, y también cualquier evento que involucre materiales de la institución o vincule su nombre deberá contar con la aprobación de autoridades superiores.
3
6. Incumplimiento de la Política Incidencias ocurridas por parte de esta política por parte de funcionarios se deberá informar de manera inmediata a los miembros responsables de este documento para tomar las acciones del caso.
Adaptado por: Cristhian Escobar
4
