Universidad de Yacambú

Seminario de Trabajo Especial de Grado

Trabajo 3

Por: Brígida Contreras

 

TÍTULO

Lineamientos para la implementación de políticas de seguridad de información en el sistema de estudiantes UPEL

 PLANTEAMIENTO  DEL PROBLEMA

 Actualmente la red global Internet ofrece un mundo de posibilidades de acceso a la información y servicios tales como web, ftp, email, bibliotecas con grandes bases de datos sobre información académica y científica entre muchos otros servicios, Llinas(2000) comenta que múltiples civilizaciones hoy en día se confrontan a nivel mundial, en una competencia desigual en recursos, calidad de vida y creatividad. Tales cambios producen una nueva visión del mundo liderada por el avance de la ciencia y las tecnologías así como innovadores sistemas de educación y de organizaciones socioeconómicas.

Para nadie es un secreto que desde que se consolido Internet como medio de interconexión y comunicación mundial, los incidentes de seguridad relacionados con los sistemas informáticos vienen incrementándose de manera alarmante.  Este hecho viene provocando una creciente necesidad de implantar mecanismos de protección que reduzcan al mínimo los riesgos asociados a los incidentes de seguridad informática.

Es por ello que la información segura se convierte en una necesidad dentro de cualquier institución u organización,  en la actualidad existen diversas formas de perdida de información ya sea por ataques de hackers,  virus informáticos, sabotaje de terceros, etc. todo esto hace necesario establezcan políticas  para proteger  los sistemas de Información.

De lo anterior viene a referencia el caso de España donde  el organismo oficial AENOR aprobó en el año 2004  las normas UNE 71501 y 71502:2004, que establecen los requisitos para proteger y gestionar la seguridad de los Sistemas de Información dentro de las organizaciones,  y en el año 2005 se aprueba el  estándar para la seguridad de la información ISO/IEC 27001 que  fue aprobada y publicado como estándar internacional en octubre de 2005 por la Organización Internacional de  Estandardización y por la comisión Internacional Electrotechnical. La norma ISO/IEC 27001 indican cómo implementar un sistema de gestión que garantice la seguridad de la información en una organización, de acuerdo a la enciclopedia electrónica  wikipedia(s.f) esta norma  “Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información según el famoso “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). “ y a manera general la seguridad de la información tiene asignada la serie 27000 dentro de los estándares ISO/IEC.

En Venezuela con la aprobación de la Ley Orgánica de Telecomunicaciones, publicada en gaceta oficial N° 36.970 del 12 de Junio de 2000, que tiene dentro de sus objetivos Procurar el uso efectivo, eficiente y pacífico de los recursos limitados de telecomunicaciones, así como su adecuada protección., y la Ley Orgánica de Ciencia, Tecnología e Innovación: que según Pagés (s.f) “tiene por objeto desarrollar los principios orientadores que en materia de ciencia, tecnología e innovación” además comenta que el Ministerio de Ciencia y Tecnología coordinará las actividades, en el área de tecnologías de información y una de esas actividades es el de “Establecer políticas orientadas a resguardar la inviolabilidad del carácter privado y confidencial de los datos electrónicos obtenidos en el ejercicio de las funciones de los organismos públicos” .  Lo anteriormente expuesto demuestra que para el gobierno venezolano, es de gran preocupación la seguridad en materia telecomunicaciones y del tratamiento de la información.

            La Universidad Pedagógica Experimental Libertador(UPEL) no es ajena a esta situación, es por ello que dentro del plan de desarrollo 2007-2011plantea en el  eje estratégico denominado Investigación , aspira “consolidar una cultura investigativa de desarrollo y creación intelectual, que impulse la generación y construcción de conocimientos para superar el carácter meramente docente, reproductor y difusor del saber al articular la docencia y la investigación con el uso de las nuevas tecnologías de la comunicación e información”.

La razón para realizar este estudio es hacer un diagnostico sobre la vulnerabilidad de la seguridad de la  información  en el sistema de estudiantes de la UPEL, es importante saber si existen políticas de seguridad en el sistema de estudiantes UPEL, ¿Cuál es la situación de estas políticas?, ¿estas políticas de seguridad son las pertinentes para evitar vulnerabilidad en el sistema?, ¿existirá la factibilidad técnica y financiera para la implementación de políticas de seguridad?

Objetivo General

·        Diseñar los lineamientos  para la implementación de políticas de seguridad de información en el Sistema de Estudiantes UPEL

Objetivos Específicos

·        Efectuar un diagnostico de las políticas  de   seguridad de información en el  sistema de Estudiantes UPEL

·        Establecer la factibilidad técnica y económica de la aplicación de las políticas   de seguridad de  información.

·        Elaborar los lineamientos para la implementación de las políticas   de seguridad que se adoptaran para garantizar la seguridad de los datos.

Justificación

Los tres elementos principales a proteger en cualquier sistema informático son el software, el hardware y los datos. El hardware son  todos los elementos físicos de un sistema informático, como CPU, terminales, cableado, medios de almacenamiento  o tarjetas de red. El software es el conjunto de programas lógicos que hacen funcional al hardware, tanto sistemas operativos como aplicaciones, y los datos es aquella información lógica que pueden ser  paquetes que circulan por un cable de red o entradas de una base de datos. Los datos constituyen el principal elemento de los tres a proteger, ya que es el más amenazado y el más difícil de recuperar.

Observando los diferentes problemas de seguridad que se presentan tanto en hardware, software y datos, y algo que  generalmente afecta a las instituciones públicas es que no se invierte en los recursos necesarios para prevenir, principalmente, el daño y/o pérdida de la información. Para Sanguino(s.f) es “Evidentemente, la seguridad no es un producto, es un proceso… Los productos no tienen un fin en sí mismo sino que tienen que estar integrados dentro de una política coherente de seguridad

De acuerdo al diagnóstico de la situación actual de la Universidad realizado para la elaboración del plan de desarrollo 2007- 2011 en el análisis de las debilidades  podemos encontrar algunas debilidades que referencia que existen “Inadecuadas políticas de mantenimiento de la infraestructura física, tecnológica y mobiliaria”, que la “Incorporación de plataforma tecnológica sin considerar las necesidades de la institución”, y que hay “ausencia de políticas de evaluación, seguimiento y control de los procesos”.

Es oportuno mencionar que se han identificado algunas amenazas relacionadas con la seguridad de la información, en el sistema de estudiantes, mas  sin embargo, no existe una norma o política que resguarde la confidencialidad de la información,  de los potenciales riesgos existentes, aunado a esto  la escasa capacitación del personal en cuanto al manejo de claves, hace mas vulnerable el sistema.

 Es por ello que se hace necesario crear unos lineamientos para conseguir un nivel de seguridad aceptable en el sistema de estudiantes UPEL, entendiendo por `aceptable' un nivel de protección suficiente para que la mayoría de potenciales intrusos interesados en dejar los  datos de nuestra institución vulnerable  ante un ataque contra los mismos.