15 minute read
Gráfico 24 Dominio 13-17 de la norma ISO 27001
from GESTIÓN TI UTILIZANDO LA NORMA ISO/IEC 27001 PARA LA SEGURIDAD DE LA INFORMACIÓN EN EL INSTITUTO SUP
by Pontificia Universidad Católica del Ecuador sede Santo Domingo PUCE SD
100,00%
90,00%
Advertisement
80,00%
70,00%
60,00%
50,00%
Estado de aplicabilidad de dominios de la norma 27001
66,66% 66,66% 66,66% 66,66% 66,66% 66,66%
40,00%
30,00%
20,00%
10,00%
0,00%
Gestión de seguridad de las redes Transferencia de información
Requisitos de seguridad de los sistemas de información
13. Seguridad de las comunicaciones 14. Adquisición, desarrollo y mantenimiento de sistemas
Gestión de incidentes y mejoras en la seguridad de la información
15. Gestión de incidentes en la seguridad de la información Continuidad de la seguridad de la información Cumplimiento de requisitos legales y contractuales
16. Aspectos de seguridad de la información de la gestión de continuidad del negocio 17. Cumplimiento
Gráfico 24 Dominio 13-17 de la norma ISO 27001
Fuente: https://www.iso27000.es/iso27002.html Adaptado por: El autor.
13 El dominio Seguridad de las comunicaciones, se encuentra en una fase intermedia con un promedio general de 66.66% de sus objetivos de control que se describen a continuación:
El objetivo de control Gestión de seguridad de las redes se encuentra en una fase intermedia con un 66.66% de aplicabilidad, es necesario generar controles que garanticen prevenir y monitorear el acceso no autorizado, cambios o denegación a la red de la institución y los servicios ofrecidos.
El objetivo de control Transferencia de informaciónse encuentra en una fase intermedia con el 66.66% de aplicabilidad, se debe mejorar el déficit que existe en la transferencia de datos es necesario generar una política que proteja la información. Es necesario generar una política de acuerdos de confidencialidad y no divulgación.
14 El domino Adquisición, desarrollo y mantenimiento de sistemas, se encuentra en una fase intermedia con un promedio general de 66,66 de su objetivo de control:
El objetivo de control Requisitos de seguridad de los sistemas de información se encuentra en una fase intermedia con un 66.66%, es necesario generar una política que marque lineamientos en requisitos de seguridad informática como los servicios dispuestos a los funcionarios docentes en servicio, también se debe mejorar la integridad y disponibilidad de la información.
15 El dominio Gestión de incidentes en la seguridad de la información, se encuentra en una fase intermedia con un promedio general de 66.66% de aplicación del objetivo de control.
El objetivo de control Gestión de incidentes y mejoras en la seguridad de la información se encuentra en una fase intermedia, es necesario aplicar directrices eficientes en gestión de incidentes presentados en la institución, y designar roles para una comunicación fluida con los funcionarios responsables ante situaciones de seguridad presentadas.
16 El dominio Aspectos de seguridad de la información de la gestión de continuidad del negocio, se encuentra en una fase intermedia con un promedio general de aplicabilidad de 66.66% de su objetivo de control.
El objetivo de control Continuidad de la seguridad de información se encuentra en una fase intermedia, es necesario aplicar una política que integre sistemas de gestión para fortalecer la seguridad de información y proteja la continuidad del negocio.
17 El dominio de Cumplimiento, se encuentra en una fase intermedia con un promedio general de 66.66% de aplicabilidad, de su objetivo de control.
El objetivo de control Cumplimiento de requisitos legales y contractuales se encuentra en una fase intermedia de aplicabilidad, es necesario aplicar una política que esté sujeta a obligaciones legales, contractuales para el cumplimiento de seguridad de la información.
A continuación, se establece el desarrollo la política de seguridad de un dominio escogido de los 13 estudiados de la norma ISO 27001.
Se desarrolla la política de seguridad de Acuerdos de confidencialidad del dominio Organización de seguridad de la información del objetivo de control Organización interna dado que en el estudio los resultados de aplicabilidad del objetivo de control alcanzo un porcentaje de fase intermedia con el 70%.
La política de seguridad elaborada se encuentra dentro del dominio Organización de seguridad de la información de la sección 6.
6. Organización de seguridad de la información
Tabla 51 Sección 6.1. Organización interna
Política Resolución Evidencia
Acuerdos de
confidencialidad
de funcionarios,
internos y
externos del
Instituto
Superior
Tecnológico
Tsa’chila. Desarrollar acuerdos, compromisos de los funcionarios,
personal interno y externo de la institución con el objetivo
de evitar que la información confidencial de la institución
sea vulnerada o compartida. Política de
acuerdo de
confidencialidad,
ver Anexo 3
Nota. Fuente: https://www.iso27000.es/iso27002.html Adaptado por: El autor.
5. DISCUSIÓN
Es importante hacer mención que en la actualidad las organizaciones están migrando a las TICs, pero es necesario hacer énfasis que no están reguladas en base a estándares lo que ocasiona vulnerabilidades en los procesos tecnológicos, en el Instituto Superior Tecnológico Tsa’chila al ser una institución de organismo público está alineada a resguardar la seguridad, infraestructura, activos y el rol del talento humano, se articula con lo mencionado por Ladino A., Villa S., & López E. (2011), describen que las mejores prácticas en una empresa en temas de seguridad de la información tienen su eje principal en utilizar estandares que regulen los procesos de la institución.
La investigación parte de mejorar la seguridad de la información en relación a los procesos tecnológicos, el estudio está basado en la norma ISO 27001 y está estructurado por 3 fases marcadas en los objetivos específicos que se detallan a continuación.
Para conocer el contexto del estado actual de la seguridad de la información en la institución el primer resultado fue la aplicación de dos encuestas empleadas a docentes de la institución, la primera fue una encuesta que estuvo dirigida al funcionario de tecnologías de la información donde se aplicó en un cuestionario la recogida de datos de 13 dominios basado en la norma ISO 27001 en una investigación realizada por Ruíz Tapia, Estrada Gutiérrez, & Sánchez Paz, (2020) determinan que para una correcta gestión de la seguridad de la información se debe conocer el deficit de la institución educativa empleando instrumentos que generen resultados satisfactorios en nivel de seguridad informatica, para despues elaborar un correcto modelo que permita gestionar mejor la información, y esto basado en la norma ISO/IEC 27001. En la investigación el resultado general determina que es necesario mejorar la seguridad, mitigar los procesos tecnológicos, gestionar los activos y documentar las responsabilidades de los funcionarios del Institutos Superior Tecnológico Tsa’chila fueron los datos interpretados de este resultado, la segunda fue una encuesta compuesta por 18 preguntas y realizada a los docentes, donde al ejecutar el análisis de los datos se observó un déficit en áreas, procesos y roles de seguridad de la información.
El resultado dos del trabajo investigativo se desarrolló mediante la documentación de la norma ISO/IEC 27001 que permitió conocer el estado actual del Instituto Superior Tecnológico Tsa´chila para marcar las pautas de los objetivos de control de la norma 27001, en un estudio realizado por Vite Cevallos, Davila Cuesta, & Molina Montero (2018), el marco
referencial de la norma 27001 es indispensable para alinear los procesos de las areas de TI en la institución. En el presente estudió los instrumentos empleados en los docentes y el responsable del area se TI, fueron los ejes para conocer el estado de aplicabilidad de la norma 27001 en la institución, para el análisis se desarrolló en base a un análisis diferencial de los objetivos de control lo que permitió especificar el estado actual.
El resultado tres consistió en desarrollar una política de seguridad para mejorar la seguridad de la información, se alinea con la investigación realizada por Astudillo García & Cabrera Duffaut (2019) donde proponen una politicas para mejorar la gestión informatica fundamentada con la norma 27001:2013 para gestionar el procesamiento de datos dando resultados positivos a departamentos vinculados a las TICs. En el estudio se desarrolla una politica de acuerdos de confidencialidad del dominio Organización de seguridad de la información, donde se determina la documentación para aplicación en la institución
En función a lo expuesto, es necesario fortalecer los procesos de seguridad informática actualmente el gobierno de Ecuador impulsa programas para mantener un Esquema de Seguridad dentro de las organizaciones el Ministerio de telecomunicaciones de la sociedad de la información en el acuerdo ministerial 025-2019 menciona el Esquema Gubernamental de Seguridad de la Información -EGSI-, el cual es de implementación obligatoria en las instituciones de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva (www.gobiernoelectronico.gob.ec, 2019).
6. CONCLUSIONES Y RECOMENDACIONES
6.1. Conclusiones
Mediante el análisis de datos aplicados a los docentes y realizada una investigación en base a la norma ISO 27001 se interpretó los resultados de las encuestas para tener un análisis del estado actual en el Instituto Superior Tecnológico Tsa’chila. Se empleó un análisis diferencial para interpretar los resultados de cada dominio consultado al responsable de tecnologías.
El desarrollo del análisis de la situación actual permitió especificar el estado de los dominios, objetivos de control y controles para mejorar la seguridad de la información en base a la norma ISO 27001.
A través del diagnóstico elaborado utilizando las bases de la norma ISO 27001, se diseñó una política de seguridad para alinear al Instituto Superior Tecnológico Tsa’chila a un estándar que mejore la gestión de seguridad de la información.
6.2. Recomendaciones
Se recomienda realizar charlas a los docentes del Instituto Superior Tecnológico Tsa´chila en temas de seguridad de la información para que tengan conocimiento de temas informáticos y de esta manera dar un análisis más claro y profundo de las temáticas que se realicen en investigaciones futuras.
Sensibilizar a los funcionarios docentes con el perfil informático en adoptar lineamientos que permitan mejorar en la medida posible los procesos de TICs que se realizan en el Instituto Superior Tecnológico Tsa´chila.
Se recomienda la conformación de un comité de seguridad de información, para desarrollar, definir, y aprobar las políticas expuestas las mismas que deben tener una inducción a los funcionarios del Instituto Superior Tecnológico Tsa’chila. Realizar un seguimiento y actualización de las políticas de seguridad aprobadas e introducidas en la institución con el propósito de mantener la confidencialidad, integridad y disponibilidad en la institución.
7. REFERENCIAS BIBLIOGRÁFICAS
Abreu, J. (2012). Hipótesis, método & diseño de investigación. Daena: International Journal of
Good Conscience.
Aguilera. (2011). Redes seguras (Seguridad informática). . Madrid, España: : Editex.
Amutio Gómez, M. (2012). Magerit – versión 3.0. Madrid: Ministerio de Hacienda y
Administraciones Públicas.
Areito Bertolin, J. (2008). Seguridad de la información. Redes, informática y sistemas de
información. Madrid: Paraninfo, S.A.
Astudillo García, C. W., & Cabrera Duffaut, A. E. (2019). Políticas de gestión de seguridad de
la información, fundamentadas en la norma ISO/IEC 27001, centro de datos diseñado
con el estándar ANSI/TIA 942. Dominio de las ciencias, 27.
Avenía Delgado, C. A. (2017). Fundamentos de seguridad. Bogotá: Fondo editorial Areandino.
Benavides Ruano, M., Enriquez Rosero, E. R., & Solarte Solarte, F. N. (2015). Metodología
de análisis y evaluación de riesgos aplicados a. Revista Tecnológica ESPOL, 16.
Diaz Bravo, L., & García, T. (2013). La entrevista, recurso flexible y dinámico. México D.F:
Investigación en educación médica.
Diaz Sanjuán, L. (2010). La observación. Facultad Psicología UNAM, 29.
Escamilla , M. D. (2004). Fundamentos de la metodología. Estado de Hidalgo: UAEH.
Gobierno Electronico . (10 de enero de 2020). Obtenido de
https://www.gobiernoelectronico.gob.ec/
Gobierno Electronico. (2019). www.gobiernoelectronico.gob.ec. Obtenido de
https://www.gobiernoelectronico.gob.ec/egsi/
Godoy Lemus, R. (2014). Seguridad de la Información: Revista de la Segunda Cohorte del
Doctorado en Seguridad Estratégica. Guatemala: Revista de la Segunda Cohorte del
Doctorado en Seguridad Estratégica. C.
Grupo ACMS Consultores. (2019). Grupo ACMS Consultores. Obtenido de
https://www.grupoacms.com/blog/seguridad-la-informacion/
Hernández Sampieri , R., Fernández Collado, C., & Baptista Lucio, P. (2003). Metodología de
la investigación . México: McGraw-Hill Interamericana.
Incibe. (2016). Instituto Nacional de Ciberseguridad. Obtenido de
https://www.incibe.es/sites/default/files/contenidos/dosieres/metad_proteccion-de-la-
informacion.pdf
Instituto colombiano agropecuario. (2018). Manual del Sistema de Gestión de sistema de
gestión integrado. , 53.
ISO 27000. (2019). iso2700.es. Obtenido de https://www.iso27000.es/iso27000.html
ISO Tools. (2020). Normas ISO. Obtenido de https://www.isotools.org/normas/
Ladino A., M. I., Villa S., P. A., & López E., A. M. (2011). Fundamentos ISO 27001 y su
aplicación en las empresas. Scientia et Technica Año XVII, 6.
López, P. L. (2004). Población muestra y muestreo. Cochabamba: Punto cero.
Maico, G. (2012). Combinación de ITIL, Cobit e ISO / IEC 27002 para estructurar tecnología
de información integral para la gestión en organizaciones. Navus, 77.
Martín, F. A. (2011). La encuesta: una perspectiva general metodológica. Vol. 35. CIS, 2011.
Mexico D,F: CIS.
Ministerio de telecomunicaciones y de la sociedad de la información. (10 de enero de 2020).
Gobierno electronico. Obtenido de https://www.gobiernoelectronico.gob.ec/egsi-v2/
Morales Ibarra, R. (2019). Fundamentos de Muestreo . Universidad Autónoma del Estado de
México, 90.
Nuñez Moscoso, J. (2016). Los métodos mixtos en la investigación en educación. Scielo, 18.
Otzen, T., & Manterola, C. (2017). Técnicas de Muestreo sobre una Población a Estudio.
Scielo, 6.
Pineda, E. B., & Alvarado, E. L. (2008). Metodología de la investigación. Washington:
McGraw-Hill Interamericana Editores, S.A. de C.V., .
Pineda, E., & de Alvarado, E. (2008). Metodología de la investigación.
Plan Nacional de Desarrollo 2017-2021-Toda una Vida. (2017).
https://www.planificacion.gob.ec/. Obtenido de https://www.planificacion.gob.ec/wp-
content/uploads/downloads/2017/10/PNBV-26-OCT-FINAL_0K.compressed1.pdf
Rodríguez Rodríguez, J. M., & Daureo Campillo, M. J. (2003). Sistemas de informacion:
Aspectos técnicos y legales. Almeria: Alme.
Rojas Pupo, Y., Tamayo García, P. F., & Moreno Pino, M. (2020). Metodología para la gestión
de la seguridad de la información basadaen los aspectos mas relevantes de la norma
cubana NC ISO / IEC 27001_2016. RILCO, 12.
Ruíz Tapia, J. A., Estrada Gutiérrez, C. E., & Sánchez Paz, M. (2020). Propuesta de un modelo
de un sistema de gestión de calidad en seguridad de la información basado en la norma
ISO 27001 instituciones educativas . RILCO, 26.
SGSI. (21 de Mayo de 2015). SGSI Blog especializado en Sistemas de Gestión. Obtenido de
https://www.pmg-ssi.com/2015/05/iso-27001-que-significa-la-seguridad-de-la-
informacion/
Silva Coelho, F. E., Segadas de Araújo, L. G., & Kowask Bezerra, E. (julio de 2014). Cedia.
Obtenido de https://cedia.edu.ec/dmdocuments/publicaciones/Libros/GTI8.pdf
Tapia, M. (2000). Metodología de investigacion. Ingenieria en gestión informatica. Santiago:
Infor.
Vargas Cordero , Z. R. (2009). La investigación aplicada: una forma de conocer. Redalyc, 12.
Vite Cevallos, H., Davila Cuesta, J., & Molina Montero, B. (2018). Gestion de la información
en las instituciones de educación superior (IES) con base a la norma ISO 27001. Jorunal
of sicence and reserach ciencia e investigación, 6.
8. ANEXOS
Anexo 1 Solicitud de la universidad y apertura de trabajo investigativo en la institución del estudio.
Anexo 2 Validación de instrumentos a expertos
Anexo 3 Política de Acuerdo de confidencialidad
POLÍTICA DE ACUERDOS DE CONFIDENCIALIDAD DE FUNCIONARIOS,
INTERNOS Y EXTERNOS DEL INSTITUTO SUPERIOR TECNOLÓGICO
TSA’CHILA
ÍNDICE DE POLÍTICA
1. Sumario ..............................................................................................................................1
2. Alcance ..............................................................................................................................1
3. Normas generales de comportamiento..............................................................................2
3.1. Obligación de discreción, secreto y confidencialidad.........................................................2
4. Mecanismos establecidos para garantizar la confidencialidad........................................3
5. Difusión de información......................................................................................................3
6. Incumplimiento de la política .............................................................................................4
1. Sumario
La presente política está encaminada en establecer las obligaciones que los funcionarios del Instituto Superior Tecnológico Tsa’chila en adelante (ISTT), deben manejar la información que este bajo su custodio en la institución absoluta responsabilidad y evitar la divulgación a personas externas a la institución que provoque el riesgo de la confidencialidad. Es considerada información confidencial:
✓ La información que maneje la ISTT está declarada como confidencial.
✓ Toda documentación que se manipule o entregue a responsables en el ISTT debe ser receptada bajo un acuerdo de confidencialidad.
✓ Datos de los funcionarios del ISTT y personas externas vinculadas a la institución.
✓ Información vinculada con las actividades del ISTT que no haya sido difundida por la institución.
2. Alcance
El acuerdo de confidencialidad es ajustable para los funcionarios del ISTT, y en el documento hace énfasis en las actividades individuales y en conjunto que debe cumplir el TTHH.
La política comprenderá los procesos, actividades, designaciones establecidas por el ISTT y autoridades superiores, y los eventos que se presenten deben ser redactados mediante oficio para estimar el nivel de incumplimiento ocurrido.
3. Normas generales de comportamiento
3.1. Obligación de discreción, secreto y confidencialidad
La difusión de información personal, ya sea intencional o no, puede afectar negativamente la imagen del ISTT y la relación entre los docentes. Por lo tanto, se han establecido las siguientes pautas para garantizar que la información se utilice de acuerdo con los estándares de privacidad y confidencialidad.
✓ Los funcionarios deben mantener mesura con la información que manipulan, cumplir con el deber de discreción y confidencialidad con respecto a las actividades propias de su puesto de trabajo o de las que responden a su participación en designaciones del
ISTT.
✓ La información que manipulen los funcionarios se utilizara con objetivos legítimos, responsables y honestos, y se dispondrá si fuese el caso de la penalización en base a la normativa que regule el ISTT como organismo público.
o Ecuador dispone del reglamento de ley de protección de datos personales, elemento que sirve como respaldo a procedimientos ejecutados en el ISTT.
✓ El funcionario debe conocer de la normativa y darle un uso responsable a la información que maneje según los roles designados por el ISTT.
✓ Los funcionarios docentes bajo ninguna circunstancia, pueden difundir datos confidenciales sin la autorización del ISTT, esto aplica durante su vinculación laboral o ya finalizada con la Institución.
✓ En caso de incurrencia de eventos presentados en el ISTT, se debe informar a las autoridades del ISTT, lo siguiente:
• Uso inadecuado de la información, difusión de datos confidenciales por parte de funcionarios o externos.
• Intento de persona externa al ISTT de obtener información confidencial de los funcionarios.
✓ Compromiso de acuerdo de confidencialidad firmado por los funcionarios del ISTT, al incorporarse a la institución.
✓ Los documentos deben estar estipulados con severidad en mantener la confidencialidad y la firma del funcionario o responsable es obligatoria y supone la aceptación de responsabilidad que presenta el documento.
✓ Inscripción de cláusulas de confidencialidad por parte del funcionario de los acuerdos firmados por el ISTT.
✓ Las empresas externas al ISTT que deseen tener acceso a la institución debido a procesos que lo requieran deben firmas un documento de confidencialidad para el desarrollo de su trabajo.
✓ Restringir el acceso no autorizado en la red interna de la institución.
✓ Accesos restringidos a la información disponible en la red informática interna.
5. Difusión de información
La máxima autoridad es la responsable de autorizar compartir información confidencial no hecha pública por responsable del ISTT.
Compartir información impresa o digital elaborado por responsables del ISTT bajo cualquier finalidad, publicaciones de redes sociales, fotográficas o grabaciones en las áreas del ISTT, y también cualquier evento que involucre materiales de la institución o vincule su nombre deberá contar con la aprobación de autoridades superiores.
6. Incumplimiento de la Política
Incidencias ocurridas por parte de esta política por parte de funcionarios se deberá informar de manera inmediata a los miembros responsables de este documento para tomar las acciones del caso.
Adaptado por: Cristhian Escobar
