universidad de guayaquil facultad de ingenierÍa...
TRANSCRIPT
i
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE INGENIERÍA INDUSTRIAL DEPARTAMENTO ACADÉMICO DE GRADUACIÓN
TRABAJO DE TITULACIÓN
PREVIO A LA OBTENCIÓN DEL TÍTULO DE
INGENIERA EN TELEINFORMÁTICA
ÁREA
REDES INTELIGENTES
TEMA
“PROPUESTA PARA EL DESARROLLO DE UN SGSI
BASADO EN LA NORMA ISO 27001”
AUTORA
MARCILLO BAQUE ALBA GABRIELA
DIRECTOR DEL TRABAJO
ING. COM. SÁNCHEZ DELGADO MARIO ALFREDO, MBA.
2017
GUAYAQUIL – ECUADOR
ii
DECLARACIÓN DE AUTORÍA
“La responsabilidad del contenido de este Trabajo de Titulación, me
corresponde exclusivamente; y el patrimonio Intelectual del mismo a la
Facultad de Ingeniería Industrial de la Universidad de Guayaquil”
Marcillo Baque Alba Gabriela CC 0941570566
iii
AGRADECIMIENTO
Agradezco a todas las personas que me apoyaron incondicionalmente
para alcanzar esta meta en mi vida, mis padres, familiares y amigos, que
día a día estuvieron a mi lado y jamás dudaron de mis capacidades, a mi
tutor Ing. Mario Sánchez y a mi revisor Ing. Neiser Ortiz por todo su apoyo
en la realización de este trabajo, a mis docentes académicos que a lo largo
de la carrera impartieron sus conocimientos y me ayudaron a cumplir este
propósito, a mis amigos Ángel Chacón y Anthony Cujilán por su gran aporte
intelectual, al Lcdo. Joffre Pástor, a su hija Allison Pástor y a todo el
personal que labora en la Unidad Educativa Mundo Hispano por abrirme
una vez más las puertas de su casa y brindarme su apoyo, sin ellos nada
de esto hubiera sido posible.
iv
DEDICATORIA
Este trabajo está dedicado primero a Dios, a mi familia que son lo más
importante en mi vida, en especial a mis padres Wilson y Albita, que me
han apoyado incondicionalmente en cada etapa de mi vida, a mis 2
hermanos Wilson y Roxana, que con su dosis de locura y comprensión
apoyaron mi trabajo; a mi familia que siempre creyeron en mí y nunca me
dejaron sola; a mis 2 ángeles del cielo María y Ramón, su más grande
sueño se ha realizado hoy; a mi novio Roddy, que tuvo cada día una palabra
de aliento; y por último a todas las personas que me dieron fuerzas para
seguir adelante.
v
N°
N°
1.1
1.2
1.3
1.4
1.4.1
1.4.2
1.5
1.6
1.7
1.7.1
1.5.3
N°
2.1
2.1.1
2.1.2
ÍNDICE GENERAL
Descripción
INTRODUCCIÓN
CAPÍTULO I
EL PROBLEMA
Descripción
Planteamiento del problema
Formulación del Problema
Sistematización del Problema
Objetivos
Objetivo General
Objetivos Específicos
Justificación e importancia
Delimitación del problema
Hipótesis o premisas de investigación y su
operacionalización
Hipótesis o premisas de investigación
Operacionalización de las variables
CAPÍTULO II
MARCO TEÓRICO
Descripción
Antecedentes de la Investigación
Organigrama Institucional
Misión
Pág.
1
Pág.
3
7
7
8
8
8
8
10
10
10
11
Pág.
12
13
13
vi
N°
2.1.3
2.1.4
2.1.5
2.1.6
2.2
2.2.1
2.2.2
2.2.3
2.2.4
2.2.5
2.2.5.1
2.2.5.2
2.2.5.3
2.2.5.4
2.2.6
2.2.7
2.2.7.1
2.2.7.2
2.2.7.3
2.2.7.4
2.2.7.5
2.2.7.6
2.2.7.7
2.2.7.8
2.2.7.9
2.2.7.10
2.2.7.11
2.2.7.12
Descripción
Visión
Ideario
Descripción de los procesos y procedimientos para la
matrícula y calificaciones
Proceso para generar calificaciones parciales,
quimestrales y anuales
Marco Teórico
¿Qué es un SGSI?
Definición de la Norma ISO 27000
International Standard Organization (ISO)
ISO 27001
Etapas y procesos PHVA del SGSI ISO 27001
Planificar
Hacer
Verificar
Actuar
Control de la documentación de un SGSI ISO 27001
Documentación requerida de un SGSI ISO 27001
Alcance del SGSI
Políticas y objetivos de seguridad de la información
Metodología e informes de evaluación y tratamiento
de riesgos
Declaración de aplicabilidad
Plan de tratamiento del riesgo
Funciones y responsabilidades de seguridad
Inventario de activos
Uso aceptable de los activos
Política de control de acceso
Procedimientos operativos para gestión de TI
Principios de ingeniería para sistema seguro
Resultados de supervisión y medición
Pág.
14
14
15
16
18
18
20
23
25
27
28
29
30
30
31
33
33
34
34
34
34
35
35
35
36
36
36
37
vii
N°
2.2.7.13
2.2.7.14
2.2.7.15
2.2.7.16
2.2.7.17
2.2.8
2.2.8.1
2.2.8.2
2.2.8.3
2.2.8.4
2.2.8.5
2.2.8.6
2.3
2.4
2.4.1
2.4.2
2.4.3
N°
3.1
3.1.1
3.1.2
3.1.3
Descripción
Programa de auditoría interna
Registros sobre actividades de los usuarios,
excepciones y eventos de seguridad
Resultados de las auditorías internas
Resultados de la revisión por parte de la dirección
Resultados de acciones correctivas
El proceso de manejo de terceros: ¿Cómo proteger
su información?
Evaluación del riesgo
Screening
Selección de cláusulas en el acuerdo
Control de acceso
Supervisión del cumplimiento
Rescisión del contrato
Marco Contextual
Fundamentación Legal
Infracciones Electrónicas previstas en el Código
Penal
Base Constitucional del Ecuador 2008
Tratados internacionales sobre el derecho
constitucional a la protección de datos de carácter
personal
CAPÍTULO III
METODOLOGÍA
Descripción
Metodología del desarrollo
Investigación de campo
Investigación exploratoria
Investigación descriptiva
Pág.
37
37
37
38
38
38
39
39
40
40
40
41
41
42
42
44
44
Pág.
45
46
46
47
viii
N°
3.2
3.2.1
3.2.2
3.3
3.3.1
3.3.2
3.4
3.5
3.5.1
3.5.2
3.6
N°
4.1
4.2
4.3
4.3.1
4.3.1.1
4.3.1.2
4.3.2
4.3.2.1
4.3.2.2
4.3.3
Descripción
Métodos de Investigación
Método Inductivo-Deductivo
Método Analítico-Sintético
Instrumentos de recolección de datos
Cuestionario
Observación
Metodología MEHARI
Población y Muestra
Población
Muestra
Análisis de las encuestas realizadas
CAPÍTULO IV
PROPUESTA
Descripción
Propuesta de Solución
Conclusiones de las encuestas realizadas en relación
a la propuesta
Aplicación de la metodología MEHARI
Fase preparatoria: Evaluar el Contexto
Análisis FODA de la Institución Educativa respecto al
tratamiento de la Información
Establecimiento de estrategias
Fase Valoración del riesgo: Identificación y escala de
valores de funcionamiento
Análisis de Riesgo de la U.E. Mundo Hispano
Análisis de Software
Fase de tratamiento: Planificación y medidas en
contextos específicos
Pág.
47
47
47
47
48
48
48
52
52
52
53
Pág.
72
72
74
74
74
76
78
78
81
82
ix
N°
4.4
4.5
4.6
4.6.1
4.7
4.8
Descripción
Instructivo de políticas de implementación de un SGSI
para la U.E. Mundo Hispano
Capacitación al personal que labora en la U.E Mundo
Hispano
Indicadores de calidad
Análisis y presentación de resultados
Conclusiones
Recomendaciones
ANEXOS
BIBLIOGRAFÍA
Pág.
85
86
88
92
97
99
100
132
x
ABREVIATURAS
ART Artículo
BGU Bachillerato General Unificado
CAP Capítulo
CEO Chief Executive Officer
CISO Chief Information Security Officer
COOP Cooperativa
DDA Declaración de Aplicabilidad
DECE Departamento de Consejería Estudiantil
FODA Fortalezas Oportunidades Debilidades Amenazas
ICD Indicadores Clave de Desempeño
ISMS Information Segurity Management System
ISO International Standard Organization
LOEI Ley Orgánica de Educación Intercultural
OCDE Organización de Cooperación y Desarrollo Económico
PDCA Plan Do Check Act
PHVA Planificar Hacer Verificar Actuar
PEI Proyecto Educativo Institucional
SAC Sistema de Administración Académica
SGSI Sistema de Gestión de la Seguridad de la Información
SI Seguridad de la Información
SNE Sistema Nacional de Evaluación
TI Tecnologías de la Información
UE Unidad Educativa
xi
N°
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
ÍNDICE DE TABLAS
Descripción
Operacionalización de las variables
Población correspondiente a la U.E Mundo Hispano
Acceso a la información
Almacenamiento de la información
Respaldo de la información
Mantenimiento informático
Tipos de control para ingreso de calificaciones
Uso de las máquinas de la institución
Control para acceso de personal
Estado de pcs al finalizar las actividades educativas
Personal autorizado para reportes en caso de
pérdida de información
Nivel de seguridad de la información
Toma de decisiones
Capacitación al personal
Análisis FODA
Análisis de riesgo U.E Mundo Hispano
Estrategias que se pueden aprovechar en la U.E
Mundo Hispano
Indicadores de Calidad
Cronograma de actividades
Pág.
11
52
53
55
56
58
59
61
62
64
65
67
68
70
76
79
83
90
97
xii
N°
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
ÍNDICE DE FIGURAS
Descripción
Organigrama Institucional U.E Mundo Hispano
Escala Cualitativa - Escala Cuantitativa
Informe de Calificaciones según la LOEI
Diagrama cíclico de la situación de riesgo de una
empresa
Ventajas y Desventajas de la Aplicación de un SGSI
Serie ISO 27000
Dominios de la Norma ISO 27001
Enfoque de procesos ISO 27001
PDCA (PHVA) ISO 27001
Procesos ISO 27001
Estructura de implementación
Control de la documentación de un SGSI
Proceso de manejo de terceros
Riesgos de la seguridad y privacidad de la
información
Proceso de evaluación, tratamiento y gestión del
riesgo MEHARI
Diagrama de las fases de MEHARI
Acceso a la información
Almacenamiento de la información
Respaldo de la información
Mantenimiento informático
Tipos de control para ingreso de calificaciones
Uso de las máquinas de la institución
Control para acceso de personal
Estado de pcs al finalizar las actividades educativas
Pág.
13
16
17
19
22
23
24
26
27
28
31
32
39
49
50
51
54
55
57
58
60
61
63
64
xiii
N°
25
26
27
28
Descripción
Personal autorizado para reportes en caso de
pérdida de información
Nivel de seguridad de la información
Toma de decisiones
Capacitación al personal
Pág.
66
67
69
70
xiv
N°
1
2
3
4
5
ÍNDICE DE ANEXOS
Descripción
Infracciones electrónicas previstas en el Código
Penal
Formato de encuesta
Encuesta y capacitación al personal que labora en la
U.E Mundo Hispano
Auditoría dentro de las instalaciones de la U.E Mundo
Hispano
Instructivo para la U.E Mundo Hispano
Pág.
101
103
107
109
111
xv
AUTOR: MARCILLO BAQUE ALBA GABRIELA. TÍTULO: “PROPUESTA PARA EL DESARROLLO DE UN SGSI
BASADO EN LA NORMA ISO 27001” DIRECTOR: ING. COM. SÁNCHEZ DELGADO MARIO ALFREDO, MBA.
RESUMEN
Teniendo en cuenta el avance tecnológico y la importancia en nuestro
medio de preservar la información digital; se elabora un manual de seguridad con normas e indicadores para el uso adecuado de un SGSI en
la Unidad Educativa Mundo Hispano, situada en el sector Norte de la ciudad de Guayaquil. Se basa en el análisis de las normas internacionales ISO 27001 cuyo objetivo es brindar una regulación, custodia y protección de la
información que se procesa en toda entidad. La problemática está presente por la elevada vulnerabilidad que se evidencia al no poseer políticas de
seguridad ni medios digitales que protejan la confidencialidad y privacidad de la información. El estudio e investigación permite evaluar parámetros y riesgos en la gestión de la información, ante posibles ataques informáticos
y pérdida de información valiosa, no obstante los beneficios son amplios en relación al tiempo, costo y la confianza que se refleja en la imagen
institucional. Se presenta una metodología aplicable a cualquier institución con los parámetros, índices y perspectivas para una futura acreditación internacional. La finalidad de esta propuesta es contar con un adecuado
sistema de gestión de seguridad de la información, el cual actualmente se considera una necesidad, que garantiza la protección de la información y
propicia el uso de SGSI en toda institución educativa.
PALABRAS CLAVES: SGSI, Normas, ISO, 27001, Políticas,
Amenazas, Seguridad
Marcillo Baque Alba Gabriela Ing. Com. Sánchez Delgado Mario Alfredo, MBA. C.C.0941570566 Director del Trabajo
xvi
AUTHOR: MARCILLO BAQUE ALBA GABRIELA.
TITLE: “PROPOSAL FOR THE DEVELOPMENT OF AN ISMS BASED ON ISO 27001 STANDARD”
DIRECTOR: ENG. COM. SÁNCHEZ DELGADO MARIO ALFREDO, MBA.
ABSTRACT
Keeping the technological advance in mind and the importance in our environment about preserving the digital information; a security manual is
created with rules and indicators for the correct use of an ISMS at Unidad Educativa Mundo Hispano, located in the northern sector of the city of Guayaquil. It’s based on the analysis of international standards ISO 27001
which objective is to provide a regulation, custody and protection of the information that is processed in every entity. The problem exists due to the
high vulnerability evidenced by the lack of security policies or digital media that protects the confidentiality and privacy of information. This study and research allow to evaluate parameters and risks in the management of
information, faced with possible computer attacks and loss of valuable information, nevertheless the benefits are wide in relation to the time, cost
and confidence that will be reflected in the institutional image. An applicable methodology is presented to any institution with the parameters, indexes and perspectives for a future international accreditation. The purpose of this
proposal is to have an adequate information security management system, which is currently considered a necessity, which guarantees the protection
of information and encourages the use of ISMS in any educational institution.
KEY WORDS: ISMS, Standards, ISO, 27001, Policies, Threats,
Security
Marcillo Baque Alba Gabriela Eng. Com. Sánchez Delgado Mario Alfredo, MBA.
C.C.0941570566 Director of Work
1
INTRODUCCIÓN
Es común hoy en día depender de un medio para tratar la información
como herramienta, es indispensable revisar los servicios que permite la
organización de diferentes datos en muchas empresas. En las entidades
educativas se manejan datos personales, calificaciones, planificaciones y
datos contables que de presentarse una amenaza o robo de datos por
cualquier medio pondrían en vulnerabilidad la información.
Asegurar y proteger la seguridad de la información en cada
organización, los datos informáticos de perfil de personal, constituyen un
reto de preocupación que se podría afirmar de carácter mundial
independientemente del tamaño o cantidad de información las amenazas
están latentes y son el diario convivir del perfil empresarial.
La institución de estudio es la Unidad Educativa Mundo Hispano
ubicada en el sector noreste de la Ciudad de Guayaquil. El ámbito
educativo involucra el advenimiento de procedimientos que en plena era de
la tecnología puede presentarse como una amenaza ante la inevitable
adecuación de sistemas de seguridad de la información, estos activos
deben estar gestionados ante riesgos sistemáticos para salvaguardar en la
entidad educativa la confidencialidad, integridad y disponibilidad de la
información.
En relación a estas implicaciones la investigación pretende brindar
una respuesta a esta problemática desde una perspectiva de puesta a
prueba presentando un análisis sobre las debilidades, amenazas y
oportunidades relativas a la gestión de la información. Para usar los
parámetros para mantener políticas de seguridad bajo la normalización del
modelo de Sistema de Gestión de Seguridad de la Información ISO 27001.
Introducción 2
Para su realización se consideran los aspectos por capítulos, en el
capítulo l se abarca la problemática desde todos sus parámetros
ejecutando la descripción sistémica de los fundamentos y consecuencias
desde su planteamiento, formulación y sistematización, los objetivos
planteados en la investigación, justificación, delimitación, hipótesis o
premisas y la operacionalización de las variables.
En el capítulo ll se incorporan los antecedentes, el marco teórico,
contextual, conceptual y legal que describan las variables de la
investigación enfocado en el SGSI. Se incluyen aspectos que directamente
se relacionan al proyecto con las políticas y prioridades de la organización
profunda de la entidad educativa.
Los aspectos que se tratan en el capítulo III se enmarcan en la
metodología detallando el camino técnico de estrategias que se usan en
base a las variables dependiente e independiente empleada en el
desarrollo del trabajo adaptado a la población y el contexto que se ha
presentado anteriormente.
Finalmente en el capítulo IV se comprende el tratamiento de la
propuesta de la investigación para adaptar las premisas de las Normas ISO
27001 a la Unidad Educativa Mundo Hispano, se presentan las
conclusiones, recomendaciones, las referencias bibliográficas y los anexos.
Marco Teórico 3
CAPÍTULO I
EL PROBLEMA
1.1 Planteamiento del problema
La inseguridad es uno de los puntos determinantes que invade a la
sociedad hoy en día, es uno de los temas más solicitados en toda empresa
o establecimiento con índices altos de preocupación e importancia. La
inversión en seguridad no es un lujo, las amenazas están presentes en todo
momento y en todo lugar y son capaces de alterar el orden de la sociedad.
En efecto la sociedad ha creado parámetros para protegerse a sí mismo y
desarrollar medidas de seguridad.
En los establecimientos educativos la recolección de información de
datos personales de los estudiantes, docentes y calificaciones de los
periodos lectivos son la parte medular, en este aspecto el uso manual y
altamente vulnerable en las instituciones puede generar dificultades
mayores en el caso de presentarse amenazas latentes en una era
digitalizada.
La Unidad Educativa Mundo Hispano mantiene una presencia activa
en el entorno educativo ofreciendo el servicio de educación de calidad en
los niveles inicial, básico elemental, superior y bachillerato a niños, niñas y
jóvenes del sector norte la ciudad de Guayaquil. El establecimiento
educativo cada año ha implementado políticas de calidad educativa y
pedagógica, mejorando su nivel académico los cuales le han permitido
mantenerse en un nivel alto de educación en el sector norte, con un
incremento considerable de estudiantes en cada periodo lectivo en los
diferentes niveles educativos.
El problema 4
El inconveniente identificado para la investigación es la escasa
eficiencia en la conducción de la información de la entidad educativa, se
considera, como información valiosa a los datos personales de los
estudiantes y docentes, calificaciones, actas de cada año lectivo, entre
otros.
Una situación de debilidad es la pérdida de documentos en forma
física y el fácil acceso a los mismos, considerando que son datos
confidenciales y su impacto puede causar graves consecuencias por
pequeño que haya sido el caso. Se manifiesta además el costo-beneficio
donde se determina invertir en seguridad de la información para
salvaguardar los activos del centro educativo, la demanda en seguridad
está en auge y es evidente la necesidad de mantener estándares de
seguridad.
En la exploración previa se observa a simple vista la vulnerabilidad
ante posibles ataques externos o de tipo intrusivo a los cuales se expone
la información de los estudiantes, cabe señalar que los directivos y
docentes desconocen sobre medidas de control orientadas a la protección
y administración de la información.
Partiendo de los supuestos anteriores se establecen debilidades en
cuestiones de seguridad dentro de la Unidad Educativa Mundo Hispano
(U.E Mundo Hispano), la cual muestra en los usuarios un mal manejo de la
información que se almacena en ordenadores de fácil acceso, formatos
múltiples y protección inadecuada de datos de suma importancia.
Estas acciones evidentes permiten centrar los esfuerzos en la
seguridad de la información y protegerla mediante la disertación y
observaciones de un Sistema de Gestión de Seguridad de la Información.
El plan de investigación pretende ayudar a la U. E. Mundo Hispano en la
El problema 5
toma futura de decisiones oportunas para reducir riesgos vitales de
seguridad.
Es relevante tomar en cuenta las delimitaciones que se han
desplegado en tanto que la mayoría de los docentes almacenan
información en una computadora sin claves y de uso múltiple, no se
mantiene una base de datos para la información y la vulnerabilidad es
elevada. Un paso importante para el análisis de la seguridad es detectar
los riesgos o fallas de la seguridad y el conocimiento de los ámbitos
amenaza – incidente – impacto.
El desconocimiento de claves de acceso, herramientas digitales o
rutas para gestionar la información mantienen factores complejos y
preocupantes en la conducción de la información de Mundo Hispano. Se
indica además que no hay un registro de información de años anteriores
por falta de organización digital lo cual amerita buscar oportunas
respuestas a estas dificultades.
La entidad no cuenta con un Sistema de Gestión de Seguridad de la
Información (SGSI) y se visualiza los altos niveles de inseguridad, que la
expone a la extorsión o posibles dificultades legales a las que tendría que
enfrentarse debilitando la calidad y la eficiencia de la Unidad Educativa
Mundo Hispano.
Debe señalarse que la responsabilidad a pesar de cualquier inferencia
recae sobre la entidad educativa y su reincidencia puede ser apreciada
como riesgo para la misma, la inseguridad de la manipulación de la
información puede arriesgar la confidencialidad de datos personales y
privados. Es necesario asegurar los activos de información con el propósito
de proteger los datos cambiantes relacionados a la parte medular del
accionar educativo, estableciendo acuerdos con el propósito de evitar la
vulnerabilidad de la información.
El problema 6
Entre las causas del inconveniente está la falta de seguridad en el
lugar para el ingreso de calificaciones, puesto que se puede acceder, sin
clave de usuario y regularmente la máquina es usada por estudiantes y
otros docentes en ciertas ocasiones, tampoco existe un estándar seguro
para el ingreso de notas, es decir, las actas se envían en un archivo de
Excel al correo electrónico del docente y éste reenvía las actas llenas al
correo de la institución, la secretaria es la encargada de subirlos a la
plataforma que maneja el plantel, pudiendo ella también manipular y
cambiar las calificaciones. Otra situación preocupante es la flexibilidad de
las autoridades educativas en la atención de políticas institucionales, las
cuales facilitan el acceso a la información de periodos escolares anteriores
y actuales.
Tomando en cuenta las premisas anteriores los factores de riesgo son
inminentes. El acceso de personal no autorizado a la información es una
consecuencia que afectaría de forma directa a la institución por el tipo de
información que usa; por ejemplo direcciones, números de teléfono,
nombres de familiares que pueden llegar a manos ajenas. Debido a la falta
de organización de la información, muchos documentos importantes se
extravían, afectando a docentes y a la institución en el cumplimiento de las
actividades en el tiempo establecido por el Rector de la Unidad Educativa.
La escasez de las restricciones en la configuración y acceso al ingreso
de datos, calificaciones, planificaciones entre otros, se muestran como
factores débiles y propensos a agentes de amenaza como: virus
informáticos, hackers, accesos incidentes por mal manejo de usuarios y
claves.
Llama la atención los peligros a los que puede enfrentarse Mundo
Hispano, ante las múltiples amenazas en una sociedad digitalizada donde
la extorsión y la delincuencia digital perjudicarían en forma directa a la
institución, como negligencia en el mal manejo de datos o información
El problema 7
valiosa. Esto afecta de forma directa a la institución y a las familias que han
confiado en la unidad educativa.
Se necesita elaborar un instructivo con normas y reglamentos para
que la U.E. Mundo Hispano proteja de manera eficaz su información y esté
preparada en un futuro si desea adquirir la certificación de la Organización
Internacional de Normalización 27001 (Norma ISO 27001).
Con respecto a estas consideraciones se plantea realizar una
capacitación al personal docente y administrativo sobre las políticas de
seguridad que se deberán seguir para salvaguardar la información de los
estudiantes.
1.2 Formulación del problema
¿Se podrán establecer niveles apropiados de un Sistema de Gestión
de la Seguridad de la Información basado en la Norma ISO 27001 en la U.E
Mundo Hispano?
1.3 Sistematización del problema
1. ¿Qué métodos de estudio serán los más factibles para realizar la
recopilación de información para determinar los parámetros de
riesgo en la U.E Mundo Hispano?
2. ¿Cómo el diseño de un SGSI basado en la Norma ISO 27001
ayudará a minimizar la vulnerabilidad y efectos negativos de la
seguridad de la información en la U.E Mundo Hispano?
3. ¿Qué políticas de seguridad garantizarán la confidencialidad,
integridad y disponibilidad de la información en la U.E Mundo
Hispano?
El problema 8
1.4 Objetivos
1.4.1 Objetivo General
Proponer a la Unidad Educativa Mundo Hispano el uso de un sistema
de gestión de seguridad de la información con políticas claras de acceso
basado en la Norma Técnica Ecuatoriana traducida de la Norma
Internacional ISO 27001 para reducir la vulnerabilidad de la información y
garantizar su óptimo acceso.
1.4.2 Objetivos Específicos
1. Realizar un estudio e investigación recopilando toda la información
necesaria para evaluar los parámetros y riesgos que presenta la
Unidad Educativa Mundo Hispano en referencia con la gestión de la
Información.
2. Presentar los posibles escenarios de fortalezas, oportunidades,
debilidades y amenazas, así como beneficios y costos para la
implementación del sistema de Gestión de Seguridad de la
Información, realizando un estudio de software y un análisis de
riesgos.
3. Propiciar el uso de un Sistema de Gestión en la Seguridad de la
Información que garantice la confidencialidad, integridad y
disponibilidad de la información.
1.5 Justificación e importancia
Uno de los componentes principales llamados activos vulnerables en
toda empresa incluso las instituciones educativas hoy en día es la
administración, organización y seguridad de la información, por tanto, es
El problema 9
preciso la búsqueda de la excelencia en la prestación de servicios para
garantizar la gestión y manejo de la información desde los parámetros de
disponibilidad, confidencialidad e integridad ante posibles debilidades de
mal manejo de la información de la institución. Dentro de las medidas y
normas ISO, se han creado normas certificadas que permiten la
administración y organización en una entidad o institución basándose en
un Sistema de Gestión de Seguridad de la Información.
La propuesta pretende brindar la solución a las dificultades y
deficiencias en la seguridad del manejo de la información para que logren
gestionar de manera adecuada y eficaz la información que genera la
Institución Educativa para que logre rentabilidad, reducir costos, aumentar
la satisfacción de los padres de familia, lograr mejoras continuas, potenciar
la innovación y eliminar los factores de riesgo del mal manejo de la
información. Esta herramienta tiene como finalidad minimizar el riesgo de
forma sistemática y proteger la información.
El estudio como herramienta de parámetros internacionales proveerá
a la institución las condiciones oportunas y viables para que la seguridad
de la información se establezca en un marco de confianza en todos los
actores de la comunidad educativa que es necesario para el crecimiento y
sostenibilidad de la institución educativa. Deben señalarse los beneficios y
el propósito esperado que intenta garantizar la protección y aseguramiento
de la información basado en la Norma ISO 27001 desde la gestión directiva
y administrativa de la Institución.
Este esfuerzo mejora la imagen y la confianza que presta la entidad
educativa en relación a la confianza al identificar, clasificar, valorar y tratar
de forma adecuada los riesgos de Seguridad. Con esta finalidad el SGSI le
permitirá a la entidad fortalecer integralmente los cimientos fundamentales
de la seguridad que responden a la integridad, confidencialidad y
disponibilidad de la información. La implementación de un sistema
El problema 10
mantiene altos índices en gastos de tiempo, personal y recursos
económicos que se pueden ahorrar conociendo y capacitando al personal
con normas estructurales como guía que mejore las prácticas en la
implementación de la seguridad de la información. Fomentar la cultura de
seguridad en los niveles de organización genera pertenencia y apropiación
que salvaguardan la seguridad de la información promoviendo una cultura
de mejora continua de eficacia y cumplimiento.
Esto permite además que se involucre a la comunidad educativa
partiendo de los directivos, docentes, estudiantes, personal de apoyo y
representantes como piezas fundamentales para la creación de políticas de
seguridad. De esta manera, se favorece la integración del personal de la
institución para que garanticen la coherencia entre las futuras y actuales
normas de sistemas de gestión, esta herramienta optimiza los dominios y
controles para que la Institución se prepare para una acreditación
internacional que le agrega valor de calidad institucional.
1.6 Delimitación del problema
1. Elaborar un instructivo con normas y reglamentos para que la
institución proteja de manera eficaz su información y esté preparada
en un futuro si desea adquirir la certificación internacional ISO
27001.
2. Realizar una capacitación al personal docente y administrativo sobre
las políticas de seguridad que se deberán seguir para salvaguardar
la información de los estudiantes.
1.7 Hipótesis o premisas de investigación y su operacionalización
1.7.1 Hipótesis o premisas de investigación
El desarrollo de la propuesta planteada brindará seguridad de la
El problema 11
información para minimizar los factores de riesgo en la U.E Mundo Hispano.
1.7.2 Operacionalización de las variables
La operacionalización de las variables determina el método con el que
las variables serán medidas o analizadas. Para mejor comprensión las
variables se presentan en el siguiente cuadro.
TABLA N° 1
OPERACIONALIZACIÓN DE LAS VARIABLES
VARIABLE DEFINICIÓN DIMENSIONES INDICADORES
Norma Internacional
ISO 27001.
Norma que
permite gestionar la
seguridad de
la información en una
entidad.
Gestión de Riesgos
Políticas Procesos
Procedimientos Controles
Revisiones
Mejoras.
Establecer políticas de
seguridad de la información.
Plan de tratamiento de
riesgos.
Registros y evaluación del
correcto
funcionamiento de SGSI.
Sistema de
Gestión de la Seguridad de
la
Información (SGSI)
Concepto central sobre
el que se construye la norma ISO
27001, la cual permite la
gestión de la seguridad de la información
de las organizaciones
Confidencialidad Integridad
Disponibilidad
Acceso a la información por
personal
autorizado.
Protección al contenido de la
información.
Contar con la información en el
momento
adecuado.
Fuente: Investigación Directa
Elaborado por: Marcillo Baque Alba Gabriela
Marco Teórico 12
CAPÍTULO II
MARCO TEÓRICO
En la aplicación de la propuesta se encamina a usar el recurso
disponible de un Sistema de Gestión para la Seguridad de la Información
(SGSI), se han analizado varios factores y dentro de estos parámetros se
presenta una breve reseña de la U.E Mundo Hispano, todo esto con la
finalidad de recopilar la información necesaria de la institución educativa
desde los siguientes parámetros históricos y actuales.
2.1 Antecedentes de la Investigación
La Unidad Educativa Particular Mixta “Mundo Hispano” está ubicada
en las calles Guillermo Cubillo y Cóndor Base Sur, Coop. El Ceibal de
Colinas de la Alborada, ciudad de Guayaquil Ecuador. Nació como una
oportunidad para dar educación a niños y jóvenes, basándose en principios
del laicismo pero sin descuidar la moral y la ética.
Inicia sus labores en el año de 1984, cuenta con los niveles educativos
de Inicial, Educación General Básica y Bachillerato General Unificado
(BGU) como oferta educativa. La jornada laboral es matutina, con
financiamiento particular y su orientación religiosa es laica.
Dentro de este orden la oferta didáctica que presenta la institución
está basada en el desarrollo de objetivos acordes a las necesidades
formativas, actualización curricular y orientación constructivista que
considera al estudiante como agente educativo principal desde los saberes
previos de cada individuo.
Marco Teórico 13
2.1.1 Organigrama Institucional
El presente organigrama se ha desarrollado para tener en claro la
estructura organizacional de las personas que trabajan en la U.E Mundo
Hispano.
FIGURA N° 1
ORGANIGRAMA INSTITUCIONAL U.E MUNDO HISPANO
Fuente: Unidad Educativa Mundo Hispano Elaborado por: Marcillo Baque Alba Gabriela
2.1.2 Misión
La Unidad Educativa Particular Mixta Mundo Hispano, es una
institución de carácter privado, direccionada hacia la formación final de
bachilleres, bajo el modelo pedagógico holístico, inclusivo, constructivo y
equitativo, con mentalidad de ciudadanos autónomos y democráticos,
capaces de comunicarse efectivamente, utilizar herramientas tecnológicas,
tomar decisiones, resolver problemas y emprender su propio proyecto de
Rector
Talento Humano
Secretaría
Mantenimiento
Vicerrectora
Consejería Estudiantil
Docentes
Colecturía
Marco Teórico 14
vida, con capacidad crítica y creativa, espíritu de solidaridad para enfrentar
con posibilidades de éxito, la educación superior a nivel nacional e
internacional. (Pástor, 2015)
2.1.3 Visión
La Unidad Educativa Particular Mixta Mundo Hispano será un modelo
de centro educativo integral, consciente de la realidad nacional y de las
necesidades de aprendizaje de sus estudiantes, para lo cual se
implementarán proyectos educativos innovadores, ambientales, artísticos,
deportivos, sociales y culturales, que sirvan a la comunidad guayaquileña,
con el compromiso ético y de inclusión, evidenciando altos niveles de
calidad. (Pástor, 2015)
2.1.4 Ideario
Este Ideario que entrega la Institución a la Familia Hispanista expresa
las convicciones, principios y valores que sustentan y promueven la acción
educativa. Servirá para que se comprenda la postura pedagógica en
relación a los padres, a los alumnos, a los profesores, a los ex alumnos y
en general, al personal administrativo y de mantenimiento. La óptica está
basada en un mundo más humano y justo, con gente cálida y feliz.
Teniendo como punto de partida la actitud de servicio y la lealtad al ideario,
la cual se aspira vivirla como comunidad. (Pástor, 2015)
Se concibe un tipo de educación que sea capaz de integrar lo mejor
de las distintas corrientes pedagógicas, estructuras curriculares y opciones
metodológicas para generar un modelo propio de acción educativa que
potencie el proceso de enseñanza- aprendizaje para todos sus actores.
(Pástor, 2015)
Se proyecta como una Institución en la que se proponga el deporte
Marco Teórico 15
como una forma de desarrollo integral de la persona, que ayude a la
educación del sentido de pertenencia a un grupo, del trabajo en equipo, de
los valores de responsabilidad, lealtad y compromiso, desde una
perspectiva de sana competencia, diversión y formación de hábitos para la
vida. (Pástor, 2015)
La U.E Mundo Hispano propone un tipo de educación que pone
atención en las diferencias individuales de los estudiantes, en sus ritmos
de aprendizaje, en sus estilos cognitivos; para que la personalización de
cada uno se haga realidad en un modelo pedagógico coherente con ella.
(Pástor, 2015)
2.1.5 Descripción de los procesos y procedimientos para la
matrícula y calificaciones
Los procesos para realizar la matrícula en la U.E Mundo Hispano
involucra la presencia de los representantes y padres de familia para
realizar los respectivos ingresos y actualización de los datos para la
matrícula a estudiantes antiguos y nuevos, existen ciertos parámetros para
la toma de decisión en aceptar o no al nuevo estudiante.
Para formalizar la matrícula se deben adjuntar los documentos que ha
solicitado la Institución Educativa:
1. Partida de nacimiento del alumno(a).
2. Copia de alguna planilla de servicios básicos (agua, luz o
telefonía fija)
3. Libreta de calificaciones del año anterior o cuadro de
promoción.
4. Copia a colores de cédula de identidad de representantes y si
lo hubiera del estudiante.
5. Ficha de registro de datos.
Marco Teórico 16
Debe señalarse que estos datos se registran en una base digital que
luego se adjunta al libro de matrículas que luego reposan en los archivos
físicos de la Institución Educativa.
El proceso de matrícula finaliza en el momento que la secretaria de la
Institución registra los datos en la página del Ministerio de Educación y
posterior a esto realiza la asignación de paralelos y salones de clase.
2.1.6 Proceso para generar calificaciones parciales, quimestrales y
anuales.
La Evaluación educativa según la Ley Orgánica de Educación
Intercultural (LOEI) afirma que es un proceso continuo de observación,
valoración y registro de información que evidencia el logro de objetivos de
aprendizaje de los estudiantes, mediante sistemas de retroalimentación
que están dirigidos a mejorar la metodología de enseñanza y los resultados
de aprendizaje, según lo recalca el art. 184 del Reglamento.
Las calificaciones de los estudiantes en una institución educativa
hacen referencia al cumplimiento de los objetivos de aprendizaje
establecidos en el currículo y en los estándares de aprendizaje nacionales,
según lo detalla el Art. 194.
FIGURA N° 2
ESCALA CUALITATIVA - ESCALA CUANTITATIVA
Fuente: Instructivo para la aplicación de la evaluación LOEI Elaborado por: LOEI
Marco Teórico 17
Estos resultados son los insumos finales de un estudiante del Sistema
Nacional de Evaluación (SNE) puede ser promovido para el próximo año
escolar (Ministerio de Educación Ecuador, 2012).
Las Entidades Educativas deben publicar en un documento oficial,
informes parciales, quimestrales y anuales de aprendizaje, que declaran la
relevancia de los aprendizajes en medidas cualitativas y cuantitativas
logrados por los estudiantes en cada una de las asignaturas durante el año
escolar de estudios, y en los que se deben incluir recomendaciones para
promover y mejorar el aprendizaje estudiantil.
FIGURA N° 3
INFORMES DE CALIFICACIONES SEGÚN LA LOEI
Fuente: Instructivo para la aplicación de la evaluación LOEI Elaborado por: LOEI
Marco Teórico 18
2.2 Marco teórico
Dentro de este marco se detallan los procesos y parámetros
permitiendo el procesamiento de la información, expresada en la búsqueda
continua de la seguridad de los datos y la conservación de un activo vital
en el funcionamiento de la U.E Mundo Hispano y de cualquier otra índole.
Según ISO 27001.ES (2017) dentro de este orden las herramientas
organizacionales deben fundamentar y garantizar tres principios básicos de
la seguridad de la Información:
Confidencialidad
Integridad
Disponibilidad
De estos parámetros la Institución educativa como se ha descrito
anteriormente mantiene ciertas dificultades y riesgos en el tratamiento
adecuado de la información.
2.2.1 ¿Qué es un SGSI?
SGSI (Sistema de Gestión de la Seguridad de la Información), en su
versión inglés ISMS (Information Security Management System) es
utilizado para establecer y mantener la información en un entorno seguro
dentro de una organización (ISO 27000.ES, 2017).
En la aplicación de esta investigación, la información es todo aquel
conjunto de datos organizados que poseen valor para la misma, no
necesariamente del lugar o espacio donde se almacene o guarde. Estas
pueden ser: datos personales, correos, planificaciones, planes de trabajo,
archivos físicos de datos, correos electrónicos entre otros.
Según la ISO 27001, la SI es la protección de la misma ante diversas
Marco Teórico 19
amenazas con el objetivo de asegurar el progreso de la entidad, minimizar
el riesgo y maximizar las inversiones y oportunidades, en el cual debe ser
documentada y de conocimiento e intervención del personal de la
organización o institución.
De tal forma que los SGSI son esenciales en llevar un rango de
calidad para establecer escalas de competitividad, rendimiento, aprobación
legal e imagen empresarial que logren asegurar la naturaleza de los
objetivos Institucionales y la puesta en marcha de sistemas de mejora de
la calidad de la educación desde procesos con normas internacionales.
Para optimizar los procesos es necesario pensar sobre el uso de la
información, la vulnerabilidad a la que se expone una Institución por el mal
procesamiento y gestión de la información limita y expone al riesgo
inminente que puede conllevar al aumento de los riesgos.
FIGURA N° 4
DIAGRAMA CÍCLICO DE LA SITUACIÓN DE RIESGO DE UNA EMPRESA
Fuente: Tomado de (ISO 27000.ES, 2017) Elaborado por: Agustín López Neira
Marco Teórico 20
Con un SGSI, la entidad tendrá la capacidad de reconocimiento de los
riesgos a los que se enfrenta, para asumir roles que minimicen, transformen
y controlen las debilidades y amenazas de forma organizada.
2.2.2 Definición de la Norma ISO 27000
La familia ISO 27000 plantea la solución del problema de la SI basada
en la implementación de un sistema orientado a la gestión de los riesgos,
por consiguiente se darán a conocer los criterios y la orientación necesaria
para la implementación de estrategias de gestión de la seguridad, códigos,
políticas y rutas en cada escenario real vulnerable.
Las normas ISO por lo general se han fundamentado en la función de
trabajar con 8 principios fundamentales:
1. Orientación al cliente: Las organizaciones pueden establecer este
enfoque, tratando de entender y cumplir con los requisitos de sus
clientes y las expectativas tanto actuales como futuras.
2. Liderazgo: Las organizaciones alcanzan sus objetivos cuando los
líderes establecen y mantienen el ambiente interno, en el cual los
empleados pueden llegar a involucrarse totalmente en el logro de los
objetivos de la organización unificada.
3. Participación de las personas: Las organizaciones tienen éxito
mediante la conservación de empleados competentes, el fomento de
la mejora continua de sus conocimientos y habilidades, y
capacitarlos, fomentando la participación y el reconocimiento de los
logros.
4. Enfoque de procesos: Las organizaciones mejoran su rendimiento
cuando los líderes gestionan y controlan sus procesos, así como las
Marco Teórico 21
entradas y salidas que vinculan estos procesos con otros.
5. Enfoque de sistemas de gestión: Las organizaciones mantienen el
éxito cuando los procesos se administran como un sistema
coherente referente a la gestión de la calidad.
6. Mejora continua: Las organizaciones mantendrán los niveles
actuales de desempeño, responderán a las condiciones cambiantes
e identificarán, crearán y explotarán nuevas oportunidades cuando
establezcan y mantengan un enfoque continuo en la mejora.
7. Enfoque de mejora continua: Las organizaciones tienen éxito
cuando han establecido un desarrollo de toma de decisiones en base
a evidencia que implica recopilar información de múltiples fuentes,
identificar hechos, analizar objetivamente los datos, examinar la
causa / efecto y considerar posibles consecuencias.
8. Relación mutuamente beneficiosa con el proveedor: Las
organizaciones que manejan cuidadosamente sus relaciones con los
proveedores y los socios pueden fomentar la participación positiva,
productiva, el apoyo y la retroalimentación de esas entidades.
Una empresa u organización que busca la certificación internacional
de las normas ISO debe tener en consideración que al aplicar cualquier
proceso dentro de una empresa se ponen de manifiesto los puntos en
contra y a favor para que dentro de los estudios realizados la organización
o entidad pueda decidir de manera más óptima y segura, para esto se
consideran ventajas y desventajas de la implementación de un sistema
para la seguridad y gestión de la información, el mismo que será más
detallado en la figura 5.
Marco Teórico 22
FIGURA N° 5
VENTAJAS Y DESVENTAJAS DE LA APLICACIÓN DE UN SGSI
Fuente: Tomado de (Collazos Balaguer, 2013) Elaborado por: Marcillo Baque Alba Gabriela
Marco Teórico 23
2.2.3 International Standard Organization (ISO)
La ISO, es una organización no gubernamental con una red que
abarca 157 países con sede en Ginebra (Suiza). Aunque sus miembros no
son delegados de gobiernos nacionales, muchos de sus institutos
miembros son parte de la estructura gubernamental de sus países, o son
mandados por su gobierno (Calderón, Flores, & Estrella , 2011).
FIGURA N° 6
SERIE ISO 27000
Fuente: Tomado de (International Standard, 2016) Elaborado por: (International Standard, 2016)
Marco Teórico 24
Otros miembros tienen sus raíces únicas en el sector privado, siendo
establecidos por asociaciones nacionales industriales. Por lo tanto, ISO es
capaz de actuar como una organización puente en la que se puede llegar
a un consenso sobre soluciones que satisfagan tanto los requisitos de las
empresas y las necesidades más amplias de la sociedad.
La norma ISO 27001, contempla diez dominios, la siguiente figura
permite apreciar de manera más organizada estos dominios:
FIGURA N° 7
DOMINIOS DE LA NORMA ISO 27001
Fuente: Tomado de (Velasco A. , 2011)
Elaborado por: (Velasco A. , 2011)
Marco Teórico 25
La ISO 27000 es una norma internacional que proporciona a
organizaciones e individuos una visión general de la familia de normas del
SGSI, una introducción a los SGSI y términos utilizados en toda la familia
de normas del SGSI. La intención de esta herramienta es determinar y
redescubrir los elementos para los sistemas de gestión de la seguridad de
la información, que forman el tema de la familia de normas SGSI y define
requisitos relacionados a una serie de estándares desarrollados
(International Standard, 2016).
2.2.4 ISO 27001
Esta norma internacional especifica los requerimientos para el
establecimiento, implementación, operación, monitoreo, revisión,
mantenimiento y mejoras de un SGSI en el contexto de todos los riesgos
de una organización.
Estos requisitos pueden ser convenientes a las necesidades de la
totalidad de la organización o sólo a las partes de ella. La norma puede ser
utilizada por todas las organizaciones, sin importar su tipo, tamaño o
naturaleza (International Standard, 2016).
La norma ISO 27001 concerniente a la protección de datos, enuncia
que de acuerdo con las cláusulas de un contrato se deben proteger los
datos personales conforme con los respectivos reglamentos y legislación
pertinentes (Velasco A. , 2011).
El SGSI, sigue un estándar de ciclo continuo denominado PDCA que
proviene del idioma inglés Plan, Do, Check, Act; lo cual para nuestro estudio
que es en idioma español se utilizara PHVA esto es Planificar, Hacer,
Verificar y Actuar; con una dirección de mejora continua; cada actividad de
gestión que realice la Institución educativa se encamina en estos pasos o
Marco Teórico 26
procesos, que con un equipo de docentes de la Institución coordinados con
el equipo directivo implementarán el sistema.
FIGURA N° 8
ENFOQUE DE PROCESOS ISO 27001
Fuente: Tomado de (ISO 27000.ES, 2017)
Elaborado por: Agustín López Neira
Marco Teórico 27
En la figura N°8 el ciclo se empieza con PLANIFICAR. El propósito
fundamental del SGSI es el de avalar que los riesgos de SI que se
identifiquen en los activos de información, en este caso, que los riesgos que
presenta la U.E Mundo Hispano sean minimizados mediante la
implementación de controles tendientes para lograr con esto minimizar y en
el mejor de los casos evitar las causas que los generen.
2.2.5 Etapas y procesos PHVA del SGSI ISO 27001
1. P (planificar): Establecer el SGSI.
2. H (hacer): Implementar y utilizar el SGSI.
3. V (verificar): Monitorizar y revisar el SGSI.
4. A (actuar): Mantener y mejorar el SGSI.
FIGURA N° 9
PDCA (PHVA) ISO 27001
Fuente: Tomado de (ISO 27000.ES, 2017) Elaborado por: Agustín López Neira
Marco Teórico 28
2.2.5.1 Planificar
En este sentido las etapas de implementación citadas anteriormente
empiezan con el PLANIFICAR perteneciente al estudio de los riesgos que
se han presentado o que se realizan en el establecimiento educativo, en
los ambientes de procesamiento de datos enfocados en una previa
evaluación direccionada a la gestión de los riesgos.
Este proceso continuo se enmarca en el análisis de identificar los
riesgos, analizar y evaluar los riesgos y el tratamiento de los mismos. Se
considera además que se incluyan los objetivos de la seguridad y los
criterios con los que se pretende evaluar los riesgos.
Dentro de esta perspectiva se debe precisar el alcance del SGSI,
establecer la política, los objetivos del SGSI, procesos y procedimientos
relacionados con la gestión de riesgos y la mejora de la SI para
proporcionar resultados en línea con las políticas y objetivos globales de la
organización, dentro de estos parámetros se detalla la implementación de
la propuesta ajustada a la realidad de la Institución educativa que se
contempla para la solución de las necesidades particulares.
FIGURA N° 10
PROCESOS ISO 27001
Fuente: Tomado de (ISO 27000.ES, 2017) Elaborado por: Agustín López Neira
Marco Teórico 29
2.2.5.2 Hacer
En esta fase se realiza la implementación y uso de los SGSI, formular
un plan o método para auditar y analizar los riesgos que identifique la acción
de gestión adecuada, los recursos, las responsabilidades y las prioridades
para la gestión de los riesgos de seguridad de la información, en este
proceso se pretende implementar el plan de tratamiento de riesgos para
lograr los objetivos de control identificados, lo que incluye la consideración
del financiamiento y asignación de roles y responsabilidades, procurar
programas de formación en relación a la SI al personal de la Institución
educativa.
De estas premisas se logra la gestión de las operaciones de un SGSI,
y de los recursos necesarios para la implementación, mantenimiento y
rápida detección y respuesta a los incidentes de seguridad. A partir de estos
datos citados en este proceso se desarrolla el marco normativo necesario
en la Institución desde los parámetros de:
Normas
Manuales
Procedimientos
Instrucciones
Debe señalarse que la implementación y uso del SGSI se organiza en
los siguientes parámetros para definir un plan de tratamiento de riesgos, la
implementación del plan, la implementación de controles, la definición de
sistemas de métricas, la formación y concienciación, la gestión de las
operaciones del SGSI, la gestión de los recursos donde permita la
detección y respuesta a los incidentes de seguridad.
Para cumplir estas premisas se deberá monitorear y revisar los
procedimientos de control relacionados a la revisión regular de la
Marco Teórico 30
efectividad del SGSI realizando auditorías internas en intervalos
planificados.
2.2.5.3 Verificar
La organización o equipo de apoyo para la implementación de este
SGSI deberá ejecutar procedimientos de monitoreo, revisión y otros
controles, se realizan revisiones periódicas de la eficacia del SGSI (incluida
la reunión de la política y los objetivos del SGSI y la revisión de los controles
de seguridad) teniendo en cuenta los resultados de las auditorías de
seguridad, los incidentes, los resultados de las mediciones de la eficacia,
las sugerencias y la retroalimentación de todas las partes interesadas.
En esta fase también se actualizan los planes de seguridad para tener
en cuenta los resultados de las actividades de monitoreo y revisión, y
también registrar acciones y eventos que podrían tener un impacto en la
efectividad o desempeño del SGSI.
2.2.5.4 Actuar
Se debe señalar en este proceso la implementación de mejoras
identificadas en el SGSI, continuando el proceso se realiza el análisis e
implementación de las mejoras identificadas, realizar las acciones
preventivas y correctivas evitando la filtración de datos y malos accesos a
la información.
Para proceder con eficacia se comunican las acciones y mejoras a
todas las partes interesadas con un nivel de detalle adecuado a las
circunstancias y velar por que las mejoras alcancen los objetivos previstos.
PHVA es un ciclo de vida continuo, es decir que la fase de Actuar lleva
de nuevo a la fase de Planificar para iniciar un nuevo ciclo de las fases.
Marco Teórico 31
Téngase en cuenta que no tiene que haber una secuencia estricta de
las fases, sino que, por ejemplo, puede haber actividades de implantación
que ya se lleven a cabo cuando otras de planificación aún no han finalizado;
o que se monitoreen controles que aún no están implantados en su
totalidad (ISO 27000.ES, 2017).
FIGURA N° 11
ESTRUCTURA DE IMPLEMENTACIÓN
Fuente: Tomado de (Avant, 2011) Elaborado por: Alaro Avant
2.2.6 Control de la documentación de un SGSI ISO 27001
Para los documentos generados se deben incluir registros de
decisiones de gestión, esto asegurará que las acciones sean trazables de
acuerdo con las decisiones y políticas de gestión; y finalmente asegurar
que los resultados registrados sean reproducibles. La figura 12 mostrará
los lineamientos que permitirán el control de la documentación de un SGSI.
Marco Teórico 32
FIGURA N° 12
CONTROL DE LA DOCUMENTACIÓN DE UN SGSI
Fuente: Tomado de (ISO 27000.ES, 2017) Elaborado por: (ISO 27000.ES, 2017)
Marco Teórico 33
Según ISO 27000. ES (2017), la documentación del SGSI incluirá:
1. Declaraciones documentadas de la política y los objetivos del SGSI.
2. El alcance del SGSI.
3. Procedimientos y controles en apoyo del SGSI.
4. Una descripción de la metodología de evaluación de riesgos.
5. El informe de evaluación del riesgo
6. El plan de tratamiento de riesgos
7. Los procedimientos documentados que la organización necesita
para garantizar la planificación, el funcionamiento y el control
eficaces de sus procesos de SI y describir cómo medir la eficacia de
los controles
8. Registros requeridos por esta Norma Internacional.
9. La Declaración de Aplicación
2.2.7 Documentación requerida por ISO 27001
2.2.7.1 Alcance del SGSI
Esta Norma Internacional especifica los requisitos para establecer,
implementar, operar, monitorear, revisar, mantener y mejorar un SGSI
documentado dentro del contexto de los riesgos comerciales generales de
la organización. También los requisitos para la implementación de controles
de seguridad adaptados a las necesidades de las organizaciones
Marco Teórico 34
individuales o partes de ellas (International Standard, 2016).
2.2.7.2 Políticas y objetivos de seguridad de la información
La Política del SGSI suele ser un documento corto y de alto nivel que
describe el propósito principal del SGSI. Las organizaciones más pequeñas
y medianas suelen fusionarla con la política de seguridad de la información.
Los objetivos del SGSI suelen ser un documento autónomo, pero también
pueden fusionarse en la Política del SGSI (27001 Academy, 2014).
2.2.7.3 Metodología e informes de evaluación y tratamiento de riesgos
La metodología de evaluación de riesgos suele ser un documento de
4-5 páginas, y debe escribirse antes de que se lleve a cabo la evaluación
del riesgo y el tratamiento del riesgo. El informe de evaluación de riesgos
debe escribirse después de que se realice la evaluación del riesgo y el
tratamiento del riesgo, y se resumen todos los resultados (27001 Academy,
2014).
2.2.7.4 Declaración de aplicabilidad
La Declaración de Aplicabilidad (DDA) se basa en los resultados del
tratamiento del riesgo, que es un documento central dentro del SGSI
porque describe no sólo si los controles son aplicables, sino también cómo
se aplicarán. También podría considerar la Declaración de Aplicabilidad
como un documento que describe el perfil de seguridad de su empresa.
(27001 Academy, 2014).
2.2.7.5 Plan de tratamiento del riesgo
Este es básicamente un plan de acción sobre cómo implementar
varios controles definidos por el DDA, se desarrolla basado en la
Marco Teórico 35
Declaración de Aplicabilidad, y se utiliza activamente, también se actualiza
a lo largo de toda la implementación del SGSI. A veces se puede combinar
en el plan del proyecto. (27001 Academy, 2014).
2.2.7.6 Funciones y responsabilidades de seguridad
El mejor método es describirlos a lo largo de todas las políticas y
procedimientos, tan precisamente como sea posible. Evite expresiones
como "debe hacerse", y en su lugar utilice algo así como "CISO (Chief
Information Security Officer) en español el director de la SI realizará xyz
todos los lunes a las horas zxy". Algunas empresas prefieren describir las
funciones y responsabilidades de seguridad en sus descripciones de
trabajo; Sin embargo, esto puede llevar a mucho papeleo (27001 Academy,
2014).
2.2.7.7 Inventario de activos
Si usted no tenía un inventario antes del proyecto ISO 27001, la mejor
manera de crear dicho documento es directamente del resultado de la
evaluación del riesgo. Durante la evaluación del riesgo, todos los activos y
sus propietarios deben ser identificados de cualquier manera, por lo que
usted apenas copia los resultados de allí (27001 Academy, 2014).
2.2.7.8 Uso aceptable de los activos
Esto se suele escribir en la forma de una política, y tal documento
puede cubrir una amplia gama de temas porque la norma no define este
control muy bien. Probablemente la mejor manera de abordarlo es: (1)
dejarlo para el final de su implementación del SGSI, y (2) todas las áreas y
controles que usted no ha cubierto con otros documentos y que conciernen
a todos los empleados, cubrirlos con esta política (27001 Academy, 2014).
Marco Teórico 36
2.2.7.9 Política de control de acceso
En este documento, sólo puede cubrir la parte comercial de aprobar
el acceso a cierta información y sistemas, o también el aspecto técnico del
control de acceso. Además, puede elegir definir reglas para sólo acceso
lógico, o también para el acceso físico. Usted debe escribir este documento
sólo después de terminar su evaluación de riesgos y proceso de tratamiento
de riesgos (27001 Academy, 2014).
2.2.7.10 Procedimientos operativos para gestión de TI
Se puede escribir esto como un solo documento, o como una serie de
políticas y procedimientos, si usted tiene una empresa más pequeña,
tenderá a tener un número menor de documentos. Normalmente, puede
cubrir todas las áreas entre ellas gestión de cambios, servicios de terceros,
copia de seguridad, seguridad de red, código malicioso, eliminación y
destrucción, intercambio de información, comercio electrónico, supervisión
del sistema, etc. Usted debería escribir este documento sólo después de
finalizar su evaluación de riesgos y proceso de tratamiento de riesgos.
(27001 Academy, 2014)
2.2.7.11 Principios de ingeniería para sistema seguro
Dado que en las empresas e instituciones cada vez más datos se
procesan y almacenan con terceros, la protección de estos datos se está
convirtiendo en un problema cada vez más importante para los
profesionales de la seguridad de la información. No es de extrañar que la
nueva revisión 2013 de la ISO 27001 haya dedicado una sección completa
a este problema inminente. Por lo que se debe agregar principios de
ingeniería con respecto a la seguridad para agregar técnicas de seguridad
para los negocios, organizaciones, tecnologías y datos (27001 Academy,
2014).
Marco Teórico 37
2.2.7.12 Resultados de supervisión y medición
Para describir las medidas de controles, se lo realiza por medio de
políticas y procedimientos que interpretan a cada control, por lo general,
esta definición se realiza cuando se finaliza un documento. Los tipos ICD
(Indicadores Clave de Desempeño) deben estar definidos por cada
descripción lo que permitirá medir un determinado grupo de controles.
Es primordial informar los resultados a las personas que se
encuentren involucradas a la evaluación de los controles (27001 Academy,
2014).
2.2.7.13 Programa de auditoría interna
La elaboración de un programa interno de auditoría se desarrolla por
medio de un plan anual, la cantidad de auditoría internas varían según el
tamaño de la empresa, para las pequeñas se necesita solo una, mientras
que las empresas más grandes se necesitan alrededor de veinte (27001
Academy, 2014).
2.2.7.14 Registros sobre actividades de los usuarios, excepciones y
eventos de seguridad
Normalmente se mantienen en dos formas: (1) en forma digital,
producida automática o semiautomáticamente como registros de varios
sistemas informáticos y otros, y (2) en papel, donde cada registro se escribe
manualmente (27001 Academy, 2014).
2.2.7.15 Resultados de las auditorías internas
Un auditor interno debe elaborar el informe de auditoría, que incluye
los resultados de la auditoría (observaciones y acciones correctivas). Dicho
Marco Teórico 38
informe debe ser producido dentro de un par de días después de que se
realice una auditoría interna. (27001 Academy, 2014).
2.2.7.16 Resultados de la revisión por parte de la dirección
Estos expedientes son normalmente en forma de actas de la reunión
tienen que incluir todos los materiales que fueron tratados en la reunión de
la gerencia, así como todas las decisiones que fueron hechas, las minutas
pueden ser en papel o en forma digital. (27001 Academy, 2014)
2.2.7.17 Resultados de acciones correctivas
Estos están tradicionalmente incluidos en las formas de acción
correctiva o en las formas de acción preventiva. Sin embargo, es mucho
mejor incluir dichos registros en alguna aplicación que ya se utiliza en una
organización, por ejemplo, la Mesa de Ayuda, porque las acciones
correctivas y preventivas no son más que listas de tareas con
responsabilidades, tareas y plazos claramente definidos. (27001 Academy,
2014).
2.2.8 El proceso de manejo de terceros: ¿Cómo proteger su
información?
Básicamente, para cumplir con la norma ISO 27001 debe seguir este
proceso:
Evaluar riesgos
Acuerdos
Control de Accesos
Seguimiento
Terminación
Marco Teórico 39
FIGURA N° 13
PROCESO DE MANEJO DE TERCEROS
Fuente: Tomado de (ISO 27000.ES, 2017) Elaborado por: Marcillo Baque Alba Gabriela
2.2.8.1 Evaluación del riesgo
(cláusula 6.1.2). Debe evaluar los riesgos de confidencialidad,
integridad y disponibilidad de su información, si subcontrata parte de sus
procesos o permite que un tercero acceda a su información. Por ejemplo,
durante la evaluación de riesgo puede darse cuenta de que parte de su
información podría estar expuesta al público y causar un daño enorme, o
que alguna información podría perderse permanentemente.
Con base en los resultados de la evaluación de riesgos, puede decidir
si los próximos pasos en este proceso son necesarios o no. Por ejemplo,
es posible que no necesite realizar una verificación de antecedentes o
insertar cláusulas de seguridad, pero probablemente necesitará para su
desarrollo algún tipo de software (27001 Academy, 2017).
2.2.8.2 Screening
(control A.7.1.1) / auditoría. Aquí es donde usted necesita realizar
verificaciones de antecedentes con sus proveedores potenciales en caso
de una empresa, socios o personal que labora en la entidad u organización.
Cabe recalcar que esta verificación se debe realizar de manera exhaustiva.
Por supuesto, usted siempre tiene que asegurarse de permanecer dentro
Marco Teórico 40
de los límites legales al hacer esto. Las técnicas disponibles varían
ampliamente, desde la verificación de la información financiera de la
empresa hasta el control de los antecedentes penales de los CEO (Chief
Executive Officer) / propietarios de la empresa. También es posible que
deba auditar sus controles y procesos de SI existentes (27001 Academy,
2017).
2.2.8.3 Selección de cláusulas en el acuerdo
(control A.15.1.2). Una vez que conozca los riesgos existentes y cuál
es la situación específica en la empresa que ha elegido como proveedor /
socio, puede comenzar a redactar las cláusulas de seguridad que deben
insertarse en un acuerdo. Puede haber decenas de tales cláusulas, que van
desde el control de acceso y el etiquetado de información confidencial, todo
el camino al que se necesitan entrenamientos de sensibilización y qué
métodos de cifrado se van a utilizar (27001 Academy, 2017).
2.2.8.4 Control de acceso
(control A.9.4.1). Tener un acuerdo con un proveedor no significa que
necesitan acceder a todos sus datos. Usted tiene que asegurarse de darles
el acceso en una “necesidad de saber.” Es decir, que deben acceder sólo
a los datos que necesiten para realizar su trabajo (27001 Academy, 2017).
2.2.8.5 Supervisión del cumplimiento
(control A.15.2.1). Usted puede esperar que su proveedor cumpla con
todas las cláusulas de seguridad existentes en el acuerdo, pero esto a
menudo no es el caso. Esta es la razón por la cual usted tiene que
monitorear y, si es necesario, auditar si cumplen con todas las cláusulas.
Por ejemplo, si se permite el acceso a sus datos sólo a un número menor
de sus empleados, esto es algo que debe verificar. (27001 Academy, 2017)
Marco Teórico 41
2.2.8.6 Rescisión del contrato
No importa si su acuerdo ha terminado en circunstancias amistosas
o menos amigables, debe asegurarse de que todos sus activos se
devuelven (control A.8.1.4), y todos los derechos de acceso se eliminan
(A.9.2.6) (27001 Academy, 2017).
2.3 Marco Contextual
Se delimita en el ámbito físico donde se desarrolla la investigación en
la U.E Mundo Hispano ubicada en el sector norte de la ciudad de Guayaquil,
cuenta con 198 estudiantes en los diferentes niveles de educación y en este
marco la Institución mantiene un riesgo muy delicado que es el acceso de
riesgo a la Información por no contar con un SGSI.
De este modo se han planteado varias premisas de investigación
como objetivo para lograr la implementación de las políticas de calidad de
la norma ISO 27001 para el tratamiento de la información y el adecuado
ingreso de datos para su posterior almacenamiento.
Dentro de este contexto se propone a la U.E Mundo Hispano el uso
de un SGSI con políticas claras de acceso basado en la Norma Técnica
Ecuatoriana traducida de la Norma Internacional ISO 27001 para reducir la
vulnerabilidad a la información y garantizar su óptimo acceso.
En la elaboración de la investigación se plantea el uso de los objetivos
específicos en el tratamiento de la información. Se propone la realización
de un estudio e investigación en la recopilación de toda información
necesaria para evaluar los parámetros y riesgos que presenta la U.E Mundo
Hispano en referencia con la gestión de la Información.
Se procede a presentar los posibles escenarios de fortalezas,
Marco Teórico 42
oportunidades, debilidades y amenazas, además beneficios y costos para
la implementación del SGSI, realizando un estudio de software y un análisis
de riesgos. Y finalmente se propone el uso de un SGSI que garantice la
confidencialidad, integridad y disponibilidad de la información.
Aunque garantizar niveles de prevención totales es casi que
imposible, las organizaciones pueden confiar en que el SGSI, mediante el
seguimiento continuo de los controles establecidos, garantiza niveles
óptimos para la protección de los activos de las organizaciones.
La institución debe tener en cuenta que el SGSI que se implante, debe
estar en constante revisión con el propósito de mejorar su eficacia en
respuesta a los cambios internos o externos que se presenten debido a
requerimientos del negocio, políticas empresariales, marco legal, entre
otros lo que se lograría a través de la reforma de los controles y/o
procedimientos que afecten a la seguridad de la información.
Con un SGSI, la U.E Mundo Hispano conoce los riesgos a los que
está sometida su información y los asume, minimiza, transfiere o controla
mediante una sistemática definida, documentada y conocida por todos, que
se revisa y mejora constantemente.
2.4 Fundamentación Legal
2.4.1 Infracciones Electrónicas previstas en el Código Penal
1. CAP. V. De los Delitos contra la inviolabilidad del secreto.
De acuerdo con el ARTÍCULO 202 indica que se debe reservar la
confidencialidad de la información y de los datos, se penalizará (prisión y
multa) en caso de que se divulguen su contenido.
En caso de que el daño pertenece a una organización y el resultado
Marco Teórico 43
son pérdidas millonarias la sanción aumenta. (Ver Anexo 1)
2. CAP. V. -De la violación de los Deberes de los Funcionarios
Públicos, de la Usurpación de Atribuciones y de los Abusos de
Autoridad.
Según el ARTÍCULO 262 expresa que se ejecutará una pena de 3 a
6 años de reclusión menor en caso de que un Funcionario Público destruya
mensajes de manera intencional. (Ver Anexo 1)
3. CAP. III. De la Falsificación de Documentos en general
De acuerdo con el ARTÍCULO 353 indica que un individuo o grupo de
personas que modifiquen los datos serán penalizados según la ley, así
como la alteración y distorsión de los mismos. (Ver Anexo 1)
4. CAP. II. Del Robo
En el ARTÍCULO 553 expresa que sí un grupo de personas utilizan
sistemas de información de manera fraudulenta para adquisición de bienes
ajenos se realizará sanción de acuerdo a la ley, además aumentará la
sanción si estas personas utilizan dicha información para manipular claves
y tarjetas magnéticas. (Ver Anexo 1)
5. CAP. V. De las Estafas y otras defraudaciones
De acuerdo con el ARTÍCULO 563 quién utilice medios informáticos
para realizar estafas será penalizado con prisión y multa. (Ver Anexo 1)
2.4.2 Base Constitucional del Ecuador 2008
Marco Teórico 44
Acorde con el Art.66 señala sobre la protección de datos personales
garantizando la seguridad de información, en caso de difusión de dichos
datos se requiere de total autorización del titular.
2.4.3 Tratados internacionales sobre el derecho constitucional a la
protección de datos de carácter personal
Se puede mencionar los siguientes, entre otros:
1. Convención europea de Salvaguardia de los Derechos del Hombre
y las Libertades Fundamentales
2. La Convención Americana de Derechos Humanos – Costa Rica
3. La Declaración Americana de Derechos y Deberes del Hombre –
Colombia
4. La Declaración Universal de Derechos Humanos- Organización de
las Naciones Unidas
5. El Pacto Internacional de Derechos Civiles y Políticos - Nueva York
6. La Convención Europea de Salvaguardia de los Derechos del
Hombre y Libertades Fundamentales
7. Tratado de la Unión Europea
8. El Parlamento Europeo
Metodología 45
CAPÍTULO III
METODOLOGÍA
3.1 Metodología de desarrollo
En el proyecto de investigación se prevee potenciar a la Institución
educativa con herramientas aplicables a la realidad y al contexto en la
búsqueda e implementación de un Sistema de Gestión de la Seguridad de
la Información que identifique y determine las amenazas, riesgos y
vulnerabilidades en los procesos del tratamiento de datos en calificaciones,
matrículas y antecedentes importantes de la entidad educativa.
Se define en el proyecto, en el marco de los objetivos específicos
direccionados a las actividades del SGSI, en un análisis del equipo de
trabajo para dar seguimiento a cada actividad que se inicia con la
renovación de los sistemas de información como lo es la infraestructura
tecnológica.
Se precisa con el equipo cooperativo un comité responsable para que
ejecuten reuniones y se direccione el organigrama de un SGSI que
identifique los activos de la información y los parámetros que se especifican
en la norma internacional ISO 27001.
Por otra parte se formalizan entrevistas y documentos que sustenten
los chequeos y el alcance pertinente para salvaguardar los activos de la
información del organismo educativo. Se proyecta un plan de pruebas para
sistematizar con el equipo directivo fechas, reuniones, actividades de
formación y seguimiento continuo de cada proceso, de estas sesiones se
extraen datos para correlacionar con los parámetros del SGSI ISO 27001.
Metodología 46
3.1.1 Investigación de campo
Consiste en la indagación y recolección de datos e información
necesarias para el desarrollo de la investigación. Se realiza el análisis a los
miembros de la comunidad educativa para recopilar la información
pertinente.
La investigación de campo según Santa Palella Stracuzzi y Feliberto
Martins (2012) consiste en la recolectar los datos de la realidad, es decir
del lugar en donde ocurren los hechos, sin manipular o controlar las
variables. El investigador no manipula variables debido a que esto hace
perder el ambiente de naturalidad en el cual se manifiesta.
De este modo se verifican los datos proporcionados por docentes,
personal administrativo y estudiantes para recabar la información pertinente
para el caso de estudio en la U.E Mundo Hispano como lugar evidenciable
del estudio realizado.
3.1.2 Investigación exploratoria
La investigación exploratoria se emplea para especificar los recursos
y parámetros necesarios en los SGSI.
Según Fidias Arias (2012) es aquella que se efectúa sobre un tema u
objeto desconocido o poco estudiado, por lo que sus resultados constituyen
una visión aproximada de dicho objeto, es decir, un nivel superficial de
conocimientos.
Se explican los elementos que se van a usar en cada fase o proceso
del sistema que conlleva recursos, medios, necesarios para el desarrollo
de la investigación, en efecto se proyecta analizar los datos con referencia
a resultados en la recolección de la información.
Metodología 47
3.1.3 Investigación descriptiva
La investigación descriptiva consiste en la caracterización de un
hecho, fenómeno, individuo o grupo, con el fin de establecer su estructura
o comportamiento. Los resultados de este tipo de investigación se ubican
en un nivel intermedio en cuanto a la profundidad de los conocimientos se
refiere (Arias, 2012).
3.2 Métodos de Investigación
Durante el desarrollo de este proyecto se tesis se utilizarán los
siguientes métodos de investigación.
3.2.1 Método Inductivo-Deductivo
Se manejará el método inductivo deductivo, ya que ayudará a la
identificación y determinación de los controles de seguridad o aspectos que
en base al criterio de la normativa son aplicables al modelo de negocio, así
como descartar aquellos que no sean necesarios.
3.2.2 Método Analítico-Sintético
Fragmentación y distinción de los componentes del Sistema de
Gestión de Seguridad de la Información. Este método de análisis y síntesis
se utilizará para la obtención de un cuerpo compuesto el cual es el Sistema
de Gestión de Seguridad de la información a partir de compuestos más
sencillos los cuales son todos los controles y apartados que van a ser
aplicados para el modelo de negocio.
3.3 Instrumentos de recolección de datos
Para el desarrollo de este proyecto de investigación se han utilizado
Metodología 48
los siguientes mecanismos de recolección de información.
3.3.1 Cuestionario
Por medio de un análisis realizado a las preguntas formuladas a las
principales autoridades de la Entidad Educativa se podrá evidenciar si este
proyecto cumple con los objetivos y expectativas previamente establecidas.
3.3.2 Observación
Por medio de la observación se logrará obtener la mayor cantidad de
datos que aporte de manera relevante a este proyecto de investigación, con
esto se logrará registrarla para realizar un análisis posterior.
3.4 Metodología MEHARI
Para medir y valorar la efectividad del proceso de implementación con
un instructivo de desarrollo en la gestión de la información se toma la
ilustración adaptada a la institución educativa de la metodología MEHARI,
la misma que es usada para el análisis de riesgo en materia de seguridad
para auditores o personal de gestión de riesgo. Se registra el análisis
directo e individual de las situaciones o escenarios de riesgo que van
ligadas al estudio realizado.
Esta herramienta es usada para establecer bases de datos y
conocimiento adecuado para llevar a cabo las certificaciones
internacionales ISO. En la figura 14 se describen los riesgos a los que se
enfrenta la información, sin desvincular que estos datos son susceptibles a
cambios y modificaciones, los cuales su funcionabilidad es cambiante en la
labor diaria y de este análisis nacen las decisiones y políticas necesarias a
implementar.
Metodología 49
FIGURA N° 14
RIESGOS DE LA SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
Fuente: Tomado de (Clusif, 2010).
Elaborado por: Adaptación de Marcillo Baque Alba Gabriela
El principal objetivo de MEHARI es proporcionar una metodología de
evaluación y gestión del riesgo en el dominio de la Seguridad de la
Información conforme a los requerimientos de la norma ISO/IEC 27005
(Clusif, 2011)
En la figura 15 se muestran las fases para la valoración y gestión de
riesgo de la metodología MEHARI. (Velasco, Quinayás, & Donado, 2016).
Se adapta específicamente a los puntos de inferencia para determinar
el desarrollo de la actividad realizada organizando y preparando las líneas
correlacionales en el marco de la seguridad.
De igual manera en cada proceso establecido se plantea el análisis
referencial que acompaña la reorganización estructural de la institución
para disminuir los factores de riesgo y precisar los requerimientos de
seguridad pertinentes.
Metodología 50
FIGURA N° 15
PROCESO DE EVALUACIÓN, TRATAMIENTO Y GESTIÓN DEL
RIESGO MEHARI
Fuente: Tomado de (Clusif, 2011) Elaborado por: Adaptación de Marcillo Baque Alba Gabriela
El enfoque de los sistemas de seguridad se basa en procesos y fases
enmarcados en una adaptación considerando los aspectos más relevantes
de la metodología MEHARI.
En los controles de seguridad, se estructuran mecanismos que
vinculan el tratamiento de los riesgos en tres fases detalladas en la figura
14, la fase preparatoria, la fase de valoración del riesgo y la fase de
planificación del tratamiento del riesgo.
Metodología 51
FIGURA N° 16
DIAGRAMA DE LAS FASES DE MEHARI
Fuente: Tomado de (Clusif, 2011) Elaborado por: Adaptación de Marcillo Baque Alba Gabriela
Como se detalla en los gráficos 14, 15 y 16, se encuentran las fases
de la metodología MEHARI que se sugiere para la implementación en el
proceso de evaluación, tratamiento y gestión del riesgo, detallando también
las fases para su seguimiento.
En la tabla 4 se presenta las actividades que se aspiran realizar en
cada fase y sub fase del proceso en la aplicación de la metodología
MEHARI para los Sistemas de Gestión de la Seguridad de la Información
SGSI aplicando las normativas internacionales ISO 27001.
Metodología 52
En estos espacios se han detallado las adaptaciones específicas en
la institución educativa, considerando además la formación del personal y
la redistribución laboral con cierta normativa fija en el tratamiento de la
información.
3.5 Población y muestra
3.5.1 Población
Para el desarrollo de la investigación se ha considerado realizar la
investigación en la Ciudad de Guayaquil Ecuador en el sector norte en la
Unidad Educativa Mundo Hispano, directivo, administrativo, docente,
personal de apoyo y miembros de la institución educativa. El total de la
población es de 26 personas, distribuidas de la siguiente manera.
TABLA N° 2
POBLACIÓN CORRESPONDIENTE A LA U.E MUNDO HISPANO
Cargo Número de personas
Rector 1 persona
Vicerrector 1 persona
Consejero Estudiantil 1 persona
Administrativo 1 persona
Secretaria 1 persona
Docente 21 personas
Fuente: Departamento de Talento Humano U.E Mundo Hispano Elaborado por: Marcillo Baque Alba Gabriela
3.5.2 Muestra
Se toma en cuenta para la obtención de la información pertinente
realizar encuestas dirigidas al personal que mantiene el contacto directo e
indirecto con el proceso de la información y datos de la institución:
calificaciones, datos personales y datos específicos que manejan los
Metodología 53
docentes y personal administrativo. En esta investigación no se tomará
muestra, ya que la población es de tamaño menor.
3.6 Análisis de las encuestas realizadas
La encuesta se realizó a toda la población que labora en la U.E Mundo
Hispano. Siendo el total de 26 personas que trabajan en la Institución. La
interpretación de los datos y su respectiva tabulación se detalla en
preguntas, tablas de información y diagramas circulares para identificar los
datos relevantes a favor de la investigación.
Se descubren además las premisas que validan el propósito de la
investigación, en dónde se detalla la proposición un sistema de gestión de
seguridad de la información con una política sencilla de acceso basado en
la norma internacional ISO 27001.
1.- ¿Cree usted que el acceso a la información se da sólo a personas
autorizadas?
TABLA N° 3
ACCESO A LA INFORMACIÓN
INDICADORES PARÁMETROS CANTIDAD PORCENTAJ
E
1.- ¿Cree usted que
el acceso a la
información se da
sólo a personas
autorizadas?
SIEMPRE 13 50%
CASI SIEMPRE 5 19%
ALGUNAS VECES 2 8%
MUY POCAS VECES 2 8%
NUNCA 4 15%
TOTAL 26 100%
Fuente: Datos de personas encuestadas que laboran en la U.E Mundo Hispano
Elaborado por: Marcillo Baque Alba Gabriela
Metodología 54
FIGURA N° 17
ACCESO A LA INFORMACIÓN
Fuente: Datos de personas encuestadas que laboran en Mundo Hispano Elaborado por: Marcillo Baque Alba Gabriela
Interpretación de datos y análisis:
A esta interrogante los encuestados asumen con un 50% que siempre
se le ha permitido el acceso a la información a personal debidamente
autorizado y el 19% casi siempre, a pesar que hay un 15% que asume que
nunca se ha valorado esta condición, y las variables muy pocas veces y
algunas veces suman un 16%.
Se puede concluir que la U.E Mundo Hispano tiene problemas con el
acceso a la información, según la puntuación interna, más de la mitad de
las personas encuestadas deberían haber respondido que el acceso a la
información es sólo a personal debidamente autorizado por la dirección o
una persona de rango superior.
2.- ¿Dónde almacena generalmente su información personal referente
a la institución (trabajos de alumnos, registros de calificaciones, etc.)?
Metodología 55
TABLA N° 4
ALMACENAMIENTO DE LA INFORMACIÓN
INDICADORES PARÁMETROS CANTIDAD PORCENTAJE
2.- ¿Dónde almacena
generalmente su
información personal
referente a la institución
(trabajos de alumnos,
registros de
calificaciones, etc.)?
Cuaderno o libreta 9 35%
Documento digital
(Word, Excel, etc.) 13 50%
Casilleros o armarios 1 4%
Otros, Especifique
cuál: 3 11%
TOTAL 26 100%
Fuente: Datos de personas encuestadas que laboran en Mundo Hispano Elaborado por: Marcillo Baque Alba Gabriela
FIGURA N° 18
ALMACENAMIENTO DE LA INFORMACIÓN
Fuente: Datos de personas encuestadas que laboran en Mundo Hispano Elaborado por: Marcillo Baque Alba Gabriela
Metodología 56
Interpretación de datos y análisis:
Los encuestados de la U.E. Mundo Hispano en su mayoría con un
44% almacenan la información en documentos digitales referentes a la
institución, un 33% todavía lo realiza de forma básica y escrita en un
registro o libreta, el 15% en casilleros y armarios y el 8% en otros medios
digitales como Google Drive, Edmodo y sistema académico SAC 2.3, el
cual es el sistema académico que maneja la entidad educativa. Cabe
resaltar que la tecnología predomina en los medios de almacenamiento y
se manifiesta la fragilidad de almacenamiento escrito tradicional con un
48%.
Esto quiere decir que se debe mejorar el almacenamiento de la
información, cambiar totalmente el mismo a tecnología digital, para evitar
pérdidas de libretas, cuadernos o cualquier otro medio en el que se tenga
información de la institución.
3.- ¿Con qué frecuencia respalda usted de la información y datos que
maneja dentro de la Institución?
TABLA N° 5
RESPALDO DE LA INFORMACIÓN
INDICADORES PARÁMETROS CANTIDAD PORCENTAJE
3.- ¿Con qué
frecuencia respalda
usted de la
información y datos
que maneja dentro de
la Institución?
Diariamente 4 15%
Semanalmente 13 52%
Mensualmente 9 33%
TOTAL 26 100%
Fuente: Datos de personas encuestadas que laboran en Mundo Hispano Elaborado por: Marcillo Baque Alba Gabriela
Metodología 57
FIGURA N° 19
RESPALDO DE LA INFORMACIÓN
Fuente: Datos de personas encuestadas que laboran en Mundo Hispano Elaborado por: Marcillo Baque Alba Gabriela
Interpretación de datos y análisis:
En cuanto al tiempo que los encuestados realizan respaldos de la
información utilizada en la institución el 52% lo realiza semanalmente, el
33% mensualmente y el 15% diariamente, cabe resaltar que el acceso y
uso de la información está dentro de los parámetros entre semanal y diario,
evitando generar problemas de actualización o pérdida de datos.
Como conclusión a esta interrogante se puede decir que el personal
que labora en la U.E Mundo Hispano está haciendo un correcto respaldo
de su información según el tiempo y los parámetros establecidos
internamente junto con la dirección de la Institución, todo esto con la
finalidad de que la pérdida de información se reduzca y la actualización de
datos se mantenga siempre íntegra.
4.- ¿La Unidad Educativa realiza mantenimiento informático en todos
los equipos que posee?
Metodología 58
TABLA N° 6
MANTENIMIENTO INFORMÁTICO
INDICADORES PARÁMETROS CANTIDAD PORCENTAJE
4.- ¿La Unidad
Educativa realiza
mantenimiento
informático en
todos los equipos
que posee?
SIEMPRE 8 31%
CASI SIEMPRE 8 31%
ALGUNAS VECES 3 11%
MUY POCAS VECES 7 27%
NUNCA 0 0%
TOTAL 26 100%
Fuente: Datos de personas encuestadas que laboran en Mundo Hispano Elaborado por: Marcillo Baque Alba Gabriela
FIGURA N° 20
MANTENIMIENTO INFORMÁTICO
Fuente: Datos de personas encuestadas que laboran en Mundo Hispano Elaborado por: Marcillo Baque Alba Gabriela
Metodología 59
Interpretación de datos y análisis:
El personal de la U.E. Mundo Hispano ha afirmado que el
mantenimiento a los equipos informáticos está en casi siempre y siempre
con un 62% entre las dos variables frente al 27% de muy pocas veces y el
11% de algunas veces.
Se recalca en esta interrogante la vulnerabilidad al no tener un servicio
estable para el mantenimiento de los equipos informáticos de la institución
o por su parte existe el personal capacitado pero el desconocimiento del
personal que labora en la institución sobre este tema es evidente.
5.- ¿Qué tipo de control se utiliza en la Unidad Educativa en caso de
utilizar una máquina para el ingreso de calificaciones o cualquier otra
actividad y que otros usuarios no modifiquen su trabajo y la
información de un modo no autorizado?
TABLA N° 7
TIPOS DE CONTROL PARA INGRESO DE CALIFICACIONES
INDICADORES PARÁMETROS CANTIDAD PORCENTAJE
5.- ¿Qué tipo de control se
utiliza en la Unidad
Educativa en caso de
utilizar una máquina para el
ingreso de calificaciones o
cualquier otra actividad y
que otros usuarios no
modifiquen su trabajo y la
información de un modo no
autorizado?
Contraseñas 2 8%
Correos
electrónicos 24 92%
Respaldos 0 0%
Otros,
Especifique cuál: 0 0%
TOTAL 26 100%
Fuente: Datos de personas encuestadas que laboran en Mundo Hispano Elaborado por: Marcillo Baque Alba Gabriela
Metodología 60
FIGURA N° 21
TIPOS DE CONTROL PARA INGRESO DE CALIFICACIONES
Fuente: Datos de personas encuestadas que laboran en Mundo Hispano
Elaborado por: Marcillo Baque Alba Gabriela
Interpretación de datos y análisis:
Para el ingreso de calificaciones o actividades de modificación de
información relevante de la entidad educativa los encuestados afirman que
el control es manejado en el 92% por correos y el 8% maneja claves de
acceso.
En esta interrogante se aprecia de mejor forma la amenaza latente a
la información, ya que los correos pueden ser pirateados o en algún
momento los docentes dejen abiertos sus correos electrónicos en las
máquinas de la Institución; algún alumno u otro docente podrían alterar las
calificaciones o cualquier información relevante e importante que se
almacene en la cuenta.
6.- ¿Utiliza usted las máquinas de la Institución para descarga de
archivos varios, ya sean estos: Músicas, videos, películas, reportes de
calificaciones, etc.?
Metodología 61
TABLA N° 8
USO DE LAS MÁQUINAS DE LA INSTITUCIÓN
INDICADORES PARÁMETROS CANTIDAD PORCENTAJE
6.- ¿Utiliza usted las
máquinas de la
Institución para
descarga de archivos
varios, ya sean estos:
Músicas, videos,
películas, reportes de
calificaciones, etc.?
SIEMPRE 6 23%
CASI SIEMPRE 4 15%
ALGUNAS VECES 6 23%
MUY POCAS
VECES 7 27%
NUNCA 3 12%
TOTAL 26 100%
Fuente: Datos de personas encuestadas que laboran en Mundo Hispano Elaborado por: Marcillo Baque Alba Gabriela
FIGURA N° 22
USO DE LAS MÁQUINAS DE LA INSTITUCIÓN
Fuente: Datos de personas encuestadas que laboran en Mundo Hispano
Elaborado por: Marcillo Baque Alba Gabriela
Metodología 62
Interpretación de datos y análisis:
Los encuestados aseveran entre un 27% que el acceso a descargas
de archivos de usuario es muy pocas veces, seguido del 23% con la
afirmación de siempre y algunas veces, frente al 15% de siempre y el 12%
que nunca, con estas afirmaciones se detallan los niveles de acceso a
información.
La respuesta ideal que la dirección establece es que nunca se utilicen
las máquinas de la Institución para descargas de archivos como músicas,
videos, películas; ya que esta acción puede ser motivo de descargas de
virus informáticos, sin que las personas que lo realizan se den cuenta.
Estos virus que muchas veces pueden ser difíciles de encontrar;
pueden afectar las máquinas de la Institución poniéndola también en riesgo
de que la información sea hurtada o alterada.
7.- ¿Utiliza usted controles biométricos para su acceso y registro en
las diferentes áreas de la Unidad Educativa?
TABLA N° 9
CONTROL DE ACCESO DEL PERSONAL
INDICADORES PARÁMETROS CANTIDAD PORCENTAJE
7.- ¿Utiliza usted controles
biométricos para su acceso y registro en
las diferentes áreas de la Unidad
Educativa?
SIEMPRE 0 0%
CASI SIEMPRE 1 4%
ALGUNAS VECES 1 4%
MUY POCAS VECES 1 4%
NUNCA 23 88%
TOTAL 26 100%
Fuente: Datos de personas encuestadas que laboran en Mundo Hispano Elaborado por: Marcillo Baque Alba Gabriela
Metodología 63
FIGURA N° 23
CONTROL DE ACCESO DEL PERSONAL
Fuente: Datos de personas encuestadas que laboran en Mundo Hispano Elaborado por: Marcillo Baque Alba Gabriela
Interpretación de datos y análisis:
El personal de la Institución con un 88% ha dado la respuesta que
nunca ha usado un control biométrico para el acceso y registro del personal
frente al 4% de muy pocas veces y el 4% de algunas veces.
En conclusión a esta pregunta, se podría sugerir a la dirección de la
U.E Mundo Hispano, adquirir un dispositivo biométrico para controlar de
mejor manera el acceso y registro de todo el personal que labora en la
Institución, para reducir el riesgo de acceso de personas no autorizadas.
8.- ¿Al terminar sus actividades diarias, si usted utiliza una máquina
de la Unidad Educativa, apaga la computadora o queda con un
proceso abierto?
Metodología 64
TABLA N° 10
ESTADO DE PCS AL FINALIZAR LAS ACTIVIDADES EDUCATIVAS
INDICADORES PARÁMETROS CANTIDAD PORCENTAJE
8.- ¿Al terminar sus actividades diarias, si usted
utiliza una máquina de la Unidad Educativa, apaga la
computadora o queda con un proceso abierto?
Apagado 16 62%
Encendido 10 38%
TOTAL 26 100%
Fuente: Datos de personas encuestadas que laboran en Mundo Hispano Elaborado por: Marcillo Baque Alba Gabriela
FIGURA N° 24
ESTADO DE PCS AL FINALIZAR LAS ACTIVIDADES EDUCATIVAS
Fuente: Datos de personas encuestadas que laboran en Mundo Hispano Elaborado por: Marcillo Baque Alba Gabriela
Interpretación de datos y análisis:
Al terminar las labores con el uso de una PC en la U.E Mundo Hispano, los
Metodología 65
encuestados alegan que las máquinas quedan apagadas con 62%, frente
a un 38% que la encuentra encendida.
Este factor se convierte en una amenaza para la información que se
maneja en esos equipos informáticos, ya que el accionar ideal debe de ser
que todas las máquinas queden totalmente apagadas, para evitar riesgos
en el acceso a la información de personas no autorizadas y
almacenamiento de la misma.
9.- En caso de que cualquier información valiosa de la Institución se
pierda, ¿a quién usted le informa generalmente?
TABLA N° 11
PERSONAL AUTORIZADO PARA REPORTES EN CASO DE PÉRDIDA
DE INFORMACIÓN
INDICADORES PARÁMETROS CANTIDAD PORCENTAJE
9.- En caso de que cualquier
información valiosa de la Institución se
pierda, ¿a quién usted le informa
generalmente?
Rector 4 15%
Vicerrector 9 35%
Jefe del Personal 12 46%
Otros, Especifique
cuál: 1 4%
TOTAL 26 100%
Fuente: Datos de personas encuestadas que laboran en Mundo Hispano Elaborado por: Marcillo Baque Alba Gabriela
Metodología 66
FIGURA N° 25
PERSONAL AUTORIZADO PARA REPORTES EN CASO DE PÉRDIDA
DE INFORMACIÓN
Fuente: Datos de personas encuestadas que laboran en Mundo Hispano Elaborado por: Marcillo Baque Alba Gabriela
Interpretación de datos y análisis:
Sobre el manejo de la información y la seguridad en caso de pérdida
de información, las respuestas a la encuesta según el personal que labora
en la Institución; no hay concordancia con la persona encargada para estos
accesos el 50% acude al jefe de personal el 32% al vicerrector y el 4%
responde que lo hace en la administración.
La dirección de la U.E Mundo Hispano debería establecer la persona
indicada en caso de pérdida de información, ya que el personal no tiene
claro aún qué persona es la encargada de manejar este tipo de situaciones
que ponen en riesgo la integridad de la Institución.
10.- ¿En qué nivel de seguridad cree usted que se encuentra la
información que se maneja dentro de la Institución (calificaciones,
actas, reportes)?
Metodología 67
TABLA N° 12
NIVEL DE SEGURIDAD DE LA INFORMACIÓN
INDICADORES PARÁMETROS CANTIDAD PORCENTAJE
¿En qué nivel de
seguridad cree usted que se
encuentra la información que se
maneja dentro de la Institución
(calificaciones, actas, reportes)?
MUY SEGURA 8 31%
CASI SIEMPRE
SEGURA 10 38%
ALGUNAS VECES
SEGURA 7 27%
POCO SEGURA 1 4%
INSEGURA 0 0%
TOTAL 26 100% Fuente: Datos de personas encuestadas que laboran en Mundo Hispano Elaborado por: Marcillo Baque Alba Gabriela
FIGURA N° 26
NIVEL DE SEGURIDAD DE LA INFORMACIÓN
Fuente: Datos de personas encuestadas que laboran en Mundo Hispano
Elaborado por: Marcillo Baque Alba Gabriela
Metodología 68
Interpretación de datos y análisis:
Con respecto al nivel de seguridad de la información en el entorno
educativo los encuestados manifiestan que el 38% es casi siempre segura,
el 31% muy segura, el 27% algunas veces segura y el 4% poco segura.
Se contrasta con el análisis y se evidencia la extenuación de los datos
de la entidad educativa. Se identifica que a pesar de tener un porcentaje
elevado en seguridad, al comparar con las otras alternativas se distingue la
debilidad mostrada.
11.- En caso de tener algún tipo de inconveniente con las
calificaciones ingresadas en el acta con las que refleja secretaría
¿Qué decisión toman los directivos de la Unidad Educativa?
TABLA N° 13
TOMA DE DECISIONES
Fuente: Datos de personas encuestadas que laboran en Mundo Hispano Elaborado por: Marcillo Baque Alba Gabriela
INDICADORES PARÁMETROS CANTIDAD PORCENTAJE
11.- En caso de tener algún tipo de
inconveniente con las calificaciones ingresadas
en el acta con las que refleja secretaría ¿Qué
decisión toman los directivos de la Unidad
Educativa?
CORRECCIÓN DE CALIFICACIONES EN SECRETARÍA
15 58%
CORRECCIÓN DE CALIFICACIONES POR DOCENTES
11 42%
SANCIÓN A SECRETARIA
0 0%
SANCIÓN A DOCENTES
0 0%
OTRAS MEDIDAS 0 0%
TOTAL 26 100%
Metodología 69
FIGURA N° 27
TOMA DE DECISIONES
Fuente: Datos de personas encuestadas que laboran en Mundo Hispano Elaborado por: Marcillo Baque Alba Gabriela
Interpretación de datos y análisis:
En la toma de decisiones las alternativas se reflejan intervenidas en
la selección de dos premisas el 58% afirma que la corrección de
calificaciones debe ser en secretaría y el 42% que lo deben realizar los
docentes.
Se describe una paridad al catalogar la derivación en secretaría para
la corrección de los datos en materia de calificaciones. Es importante
destacar que esta información es delicada y debe ser realizada con
evidencias o documentos que respalden o validen el acceso a la corrección.
Dentro de esta política se puede implementar un insumo para que sea
coordinado con secretaría para que sea de forma integral el acceso.
Metodología 70
12.- ¿Ha recibido usted algún tipo de charla y/o capacitación referente
a políticas, normas y procedimientos del manejo y acceso a la
Información que usted manipula dentro de la Unidad Educativa?
TABLA N° 14
CAPACITACIÓN AL PERSONAL
Fuente: Datos de personas encuestadas que laboran en Mundo Hispano
Elaborado por: Marcillo Baque Alba Gabriela
FIGURA N° 28
CAPACITACIÓN AL PERSONAL
Fuente: Datos de personas encuestadas que laboran en Mundo Hispano Elaborado por: Marcillo Baque Alba Gabriela
INDICADORES PARÁMETROS CANTIDAD PORCENTAJE
12.- ¿Ha recibido usted
algún tipo de charla y/o capacitación referente a
políticas, normas y procedimientos del
manejo y acceso a la Información que usted
manipula dentro de la
Unidad Educativa?
SIEMPRE 3 12%
CASI SIEMPRE 4 15%
ALGUNAS VECES 6 23%
MUY POCAS
VECES 2 8%
NUNCA 11 42%
TOTAL 26 100%
Metodología 71
Interpretación de datos y análisis:
Al cuestionar al personal de la U. E. Mundo Hispano sobre el acceso
a charlas o capacitaciones sobre el manejo y acceso de la Información, ha
dado respuesta imparciales donde se destaca un 42% que nunca ha
recibido este tipo de información, el 8% muy pocas veces, el 23% algunas
veces frente al 15% de casi siempre y el 12% de siempre.
Nuevamente se puede comprobar que la U.E Mundo Hispano
necesita capacitarse sobre el manejo y acceso de la información, la cuál va
a permitir proteger la integridad de los datos, además de evitar futuros
inconvenientes por robo o mal manejo de la información que se maneja, ya
que un SGSI permitirá la reducción de todos estos riesgos y el acceso
óptimo a toda la información por las personas debidamente autorizadas.
Propuesta 72
CAPÍTULO IV
PROPUESTA
4.1 Propuesta de Solución
El objetivo principal del presente trabajo de titulación es proponer a la
Unidad Educativa Mundo Hispano el uso de un sistema de gestión de
seguridad de la información con políticas claras de acceso basado en la
Norma ISO 27001 para reducir la vulnerabilidad de la información y
garantizar su óptimo acceso. En el desarrollo de la propuesta se presenta
un análisis de los resultados de las encuestas, las mismas que permiten la
identificación de las políticas de acuerdo a los procesos que maneja la
institución, todo esto asociado con la Norma ISO 27001; la aplicación de la
metodología MEHARI que permitió realizar el análisis FODA y el análisis
de riesgo de la U.E Mundo Hispano. Luego de esto se presentará el
desarrollo de estrategias y las conclusiones de la jornada de capacitación
al personal que labora en la institución.
4.2. Conclusiones de las encuestas realizadas en relación a la
propuesta
De acuerdo a los resultados presentados en el análisis de las
encuestas realizadas anteriormente a toda la población que labora en la
U.E Mundo Hispano se puede concluir lo siguiente:
Referente al acceso a la información, el 50% de los encuestados
respondió que siempre se le ha permitido el acceso a la información sólo al
personal debidamente autorizado, causando un problema, ya que este
porcentaje debería ser mayor de acuerdo al valor estimado al realizar el
Propuesta 73
estudio. También de acuerdo a la interrogante sobre el tipo de control en la
U.E Mundo Hispano en caso de utilizar una máquina para el ingreso de
calificaciones, el análisis presentó que un 92% utiliza correos electrónicos,
más no se utiliza correctamente el sistema académico que posee la
institución con claves de acceso para cada docente. Es por esta razón que
se escogen las políticas de control de acceso, política de claves y política
de transferencia de la información en el estudio, las mismas que son
explicadas posteriormente, para reducir el riesgo de que personal no
autorizado manipule indebidamente la información.
De acuerdo a la interrogante sobre el lugar de almacenamiento de la
información, el 50% de los encuestados manifestó que almacenan su
información de forma digital, pero aún un 39% del personal lo realiza de
manera escrita en cuadernos o libretas, esto quiere decir que se debe
mejorar el almacenamiento de la información, cambiar totalmente el mismo
a tecnología digital, para evitar pérdidas de libretas, cuadernos o cualquier
otro medio en el que se tenga información de la institución. Se escogen las
políticas de clasificación de la información y transferencia de la información
para controlar estos procesos.
De acuerdo a la interrogante sobre el uso de las máquinas de la
institución para descarga de archivos varios, se manifiesta que un 61% del
personal si utiliza los equipos para descargar archivos de música videos,
programas, entre otros; aumentando el riesgo de descargar virus u otro
programa no deseado, estos archivos a su vez no son eliminados
correctamente de los equipos, es por esto que se escogen las políticas de
eliminación y destrucción, además de la política de pantalla y escritorios
limpios para mejorar el control sobre los archivos que ya no son necesarios
en la institución y su correcta eliminación.
En caso de pérdida de información o pérdida de documentación
importante no existe concordancia con la persona encargada para informar
Propuesta 74
acerca de algún incidente en la seguridad de la información, ya que el 50%
del personal acude al jefe de personal, el 32% al vicerrector y el 4%
responden que lo hace en la administración. Se escoge la política de
gestión de incidentes de seguridad de la información y la política de
procedimiento para el control de documentos para que la institución realice
correctamente la gestión de estos procesos.
4.3. Aplicación de la metodología MEHARI
4.3.1 Fase preparatoria: Evaluar el Contexto.
4.3.1.1 Análisis FODA de la Institución Educativa respecto al
tratamiento de la Información
En este sentido se enmarca una adaptación de los parámetros de la
metodología MEHARI adaptada al contexto educativo de Mundo Hispano
para valorar la realidad estratégica, técnica y estructural de la entidad. De
este modo se aplica el análisis FODA para determinar las fortalezas,
oportunidades, debilidades y amenazas con respecto a la institución
educativa.
Fortalezas
F1.- Docentes y personal capacitado en las áreas específicas de su
desempeño profesional.
F2.- Alto nivel de participación de parte de los directivos y personal de la
entidad educativa.
F3.- Imagen y posicionamiento institucional.
F4.- Infraestructura adecuada.
Propuesta 75
Oportunidades
O1.- Intercambiar charlas formativas con las instituciones educativas.
O2.- Obtención de la Certificación internacional de Seguridad ISO 27001.
O3.- Brindar un servicio educativo de calidad a los estudiantes de la ciudad
de Guayaquil.
Debilidades
D1.- Ausencia de conocimiento de la normativa
D2.- Falta de políticas para la gestión de la Información
D3.- Documentos de forma física sin almacenamiento digital
D4.- Falta de política de generación de claves de acceso a la información
Amenazas
A1.- Pérdida de estudiantes que escogen otras instituciones
A2.- Robo de información.
A3.- Acceso físico no autorizado a la institución
A4.- Cierre del establecimiento por parte del Ministerio de Educación
Propuesta 76
TABLA N° 15
ANÁLISIS FODA
Análisis Interno
Análisis Externo
Fortalezas F
F1.- Docentes y personal capacitado en las áreas específicas de su
desempeño profesional. F2.- Alto nivel de participación de parte de
los directivos y personal de la entidad educativa. F3.- Imagen y
posicionamiento institucional. F4.- Infraestructura
adecuada.
Debilidades D
D1.- Ausencia de conocimiento de la normativa
D2.- Falta de políticas para la gestión de la Información D3.- Documentos de forma
física sin almacenamiento digital D4.- Falta de política de
generación de claves de acceso – usuarios manejo de la información
Oportunidades O
O1.- Intercambiar charlas
formativas con las instituciones educativas. O2.- Obtención de la
Certificación internacional de Seguridad ISO 27001. O3.- Brindar un servicio
educativo de calidad a los estudiantes de la ciudad de Guayaquil.
Estrategias FO
F1-O1. Implementar un Sistema de Gestión de la
Seguridad de la Información capacitando al personal con políticas
precisas. F2-O2. Optimizar recursos e implementar el SGSI con la norma ISO 27001
F3-O3. Brindar una Educación de Calidad con sistemas de mejora
continua.
Estrategias DO
D1-O1 Capacitar al Personal de Mundo
Hispano con las Políticas del SGSI. D2-O2. Crear espacios de
auditoría y seguimiento interno para el manejo de la Información en el establecimiento educativo.
D3-O1. Implementar el uso del instructivo con los diferentes parámetros del SGSI.
Amenazas A
A1.- Pérdida de
estudiantes que escogen otras A2.- Robo de información.
A3.- Acceso físico no autorizado al departamento A4.- Cierre del
establecimiento por parte del Ministerio de Educación
Estrategias FA
F1-A1 Ofrecer un excelente servicio educativo para
reducir el impacto de la vulnerabilidad en los SGSI. F2-A3. Gestionar y
administrar la información de la entidad educativa con políticas claras.
Estrategias DA
D1-A1. Crear espacios de análisis de los riesgos y
atención oportuna a los activos vulnerables en gestión de la información.
D2-A3. Establecer los parámetros de las Políticas del SGSI con el Instructivo
para la U. E. Mundo Hispano.
Fuente: Datos recopilados de la U.E Mundo Hispano Elaborado por: Marcillo Baque Alba Gabriela
4.3.1.2 Establecimiento de estrategias
F1-O1. Implementar un Sistema de Gestión de la Seguridad de la
Información capacitando al personal con políticas precisas.
Propuesta 77
F2-O2. Optimizar recursos e implementar el SGSI con la norma ISO 27001
F3-O3. Brindar una Educación de Calidad con sistemas de mejora continua.
D1-O1 Capacitar al Personal de Mundo Hispano con las Políticas del SGSI.
D2-O2. Crear espacios de auditoría y seguimiento interno para el manejo
de la Información en el establecimiento educativo.
D3-O1. Implementar el uso del instructivo con los diferentes parámetros del
SGSI.
F1-O1. Implementar un Sistema de Gestión de la Seguridad de la
Información capacitando al personal con políticas precisas.
F2-O2. Optimizar recursos e implementar el SGSI con la norma ISO 27001.
F3-O3. Brindar una Educación de Calidad con sistemas de mejora continua.
D1-A1. Crear espacios de análisis de los riesgos y atención oportuna a los
activos vulnerables en gestión de la información.
D2-A3. Establecer los parámetros de las Políticas del SGSI con el
Instructivo para la U. E. Mundo Hispano.
Al realizar este análisis FODA se reflejan de inmediato que las
debilidades institucionales inciden en la desorganización y la vulnerabilidad
en el manejo responsable de la información.
De esta manera se reasignan las responsabilidades del personal que
labora en la entidad educativa acorde a las normativas del Ministerio de
Educación en dimensionar al personal educativo con equipos de trabajo en
Propuesta 78
los ámbitos pedagógicos y administrativos que se encaminan a la respuesta
citada.
Se dimensionan trabajos específicos de acción para guiar, gestionar
y auditar un sistema de gestión de seguridad de la información que no
repercuta en gastos excesivos para luego de su aplicación pensar en
invertir para lograr una certificación internacional.
4.3.2 Fase Valoración del riesgo: Identificación y escala de valores
de funcionamiento
4.3.2.1 Análisis de Riesgo de la U.E. Mundo Hispano
Es importante destacar que el análisis del riesgo va acompañado de
los indicadores necesarios para medir los niveles de incidencia de las
amenazas que son identificadas para la toma de decisiones, en esta
perspectiva se manifiesta un análisis de los riesgos que se presentan en la
U.E. Mundo Hispano. En esta herramienta se logra determinar, especificar
y dar valor a los sucesos o eventos estimados como amenazas al normal
funcionamiento de las labores educativas.
Una vez identificados los elementos de riesgo o amenazas, se
prosigue al uso de estrategias de gestión para solucionar los procesos que
se encuentren vulnerables y con bajos niveles de seguridad, la
cuantificación de estos factores se determina en parámetros y tablas
referenciales.
En cuanto a la calidad de los servicios y equipos de cómputo
necesarios para la sistematización, se sugiere a la dirección adaptar un
espacio coordinado por un docente de equipo directivo sólo para ingreso
de calificaciones además de la contratación de un sistema académico con
Propuesta 79
un control biométrico que garantice el ingreso sólo al personal específico y
disminuir considerablemente los factores de amenaza y riesgo.
De esta forma se coordina con el mismo personal docente equipos de
trabajos para garantizar la gestión de la seguridad en el manejo de la
información. El objetivo en este análisis de riesgos es elaborar un
instructivo adaptado a la normativa de políticas de seguridad basadas en la
norma ISO 27001 en la gestión de los sistemas de seguridad de la
información en las áreas críticas de impacto y vulnerabilidad.
TABLA N° 16
ANÁLISIS DE RIESGO U.E MUNDO HISPANO
Amenazas Vulnerabilidad Efectos Negativos
1.- Daños por
agua
a.-Falta de asignación
de personal responsable
en caso de detectar
problemas de humedad
a1.- Cierre temporal del
lugar lo cual afecta el
desempeño normal de las
actividades académicas
a2.- Pérdida y
degradación de la
información y/o equipos
informáticos
2.- Fuego a.-Falta de asignación
de personal responsable
en caso de detectar
incendios
a1.- Cierre parcial o
definitivo del lugar lo cual
afecta el desempeño
normal de las actividades
académicas
a2.- Pérdida y
degradación de la
información y/o equipos
informáticos
Propuesta 80
3.- Averías de
origen lógico
(Virus
Informáticos)
a.- No existe un antivirus
adecuado
b.- No está
correctamente activado
el firewall
c. Descarga de archivos
contaminados
a1.- Infección de la
computadora
b1.- Robo de información
por acceso de
delincuentes informáticos
al computador
c1. Daño parcial o total del
equipo
4.- Corte del
suministro
eléctrico
a.- Falta de tablero de
transferencia automática
b.- Falta de reguladores
de voltaje
c.- Carencia de energía
eléctrica en todo el
establecimiento
a1.- Daño en equipos
electrónicos
b1.- Pérdida de recursos
informáticos y/o
electrónicos
c1.- Cierre parcial o total
del laboratorio y otros
departamentos que usen
equipos electrónicos
5.- Falta de
proveedor de
servicio de
internet
a. Carencia por
determinado tiempo del
servicio de internet
a1.- Errores de
comunicación en la
entidad educativa
b1. Retrasos en la
entrega de resultados de
calificaciones
6.- Accesos no
autorizados por
personal externo
a1.- Falta de control en
políticas de acceso a la
información e
instalaciones de la
entidad
b. Carencia de equipos
que comprueben sólo el
acceso de personal
autorizado
a1.- Robo de Información
por personal no
autorizado
a2. Pérdida parcial o total
de información valiosa
a3.- Denuncias y delitos
informáticos por robo de
identidad
Propuesta 81
b1.Ingreso de personal no
autorizado para fines
maliciosos
7.- Ataques
destructivos
(desastres
naturales entre
ellos sismos,
terremotos)
a.- No se cuenta con
pólizas que tengan
cobertura por daños a
las instalaciones o
equipos informáticos
a1.- Cierre total o parcial
del establecimiento
Fuente: Datos recopilados de la U.E Mundo Hispano Elaborado por: Marcillo Baque Alba Gabriela
4.3.2.2 Análisis de Software
El software que utiliza la U.E Mundo Hispano está diseñado de
acuerdo a sus requerimientos, los cuales por políticas internas de la
empresa que provee el servicio no se pudo recopilar información tales como
la estructura del software, costo y demás detalles.
El software utilizado por la U.E Mundo Hispano para procesos como
matriculación, registro de estudiantes, reportes académicos, envío y
recepción de calificaciones es S.A.C 2.3 (Sistema de Administración
Académica), el mismo que funciona en máquinas con sistema operativo
Windows 8.1, que es utilizado en todas las computadoras que posee la
entidad, excepto la computadoras ubicadas en los departamentos de
secretaría, vicerrectorado y administración, los cuales utilizan Windows 7.
El software posee privilegios para los distintos procesos que se
realizan, siendo así el departamento de Administración el único que posee
acceso a ver y editar todos los datos disponibles en el sistema,
departamento de Contabilidad el cual tiene acceso a los procesos de
cobros de pensiones y el departamento de secretaría que tiene acceso a
ver y editar las calificaciones de los estudiantes. Este último acceso es
Propuesta 82
riesgoso, ya que se vuelve a la problemática inicial, en la cual sólo los
docentes deben tener acceso a ver y editar calificaciones, mas no la
secretaria, que debería tener solo acceso a revisión de las calificaciones y
para después de esto generar el reporte de calificaciones de los alumnos
de la U.E Mundo Hispano
4.3.3 Fase de tratamiento: Planificación y medidas en contextos
específicos
Como resultado del análisis FODA descrito en la investigación se
describen a continuación las estrategias identificadas para intervenir de
forma adecuada en los contextos específicos.
Dentro de la tabla #17 se utilizarán las siguientes nomenclaturas:
1. Directivos: Equipo conformado por Rector, Vicerrector y Jefe del
Personal
2. Personal Administrativo: Equipo conformado por Contador y
Secretaría
3. Personal Docente: Equipo conformado por los docentes que laboran
en la Institución
4. Dimensión Pedagógica: Equipo conformado por el Psicólogo de la
Institución
Propuesta 83
TABLA N° 17
ESTRATEGIAS QUE SE PUEDEN APROVECHAR EN LA U.E MUNDO
HISPANO
Estrategias Responsables
de supervisión
Actividades Frecuencia
Implementar un
Sistema de
Gestión de la
Seguridad de la
Información
capacitando al
personal con
políticas precisas.
Directivos 1.- Seleccionar un
equipo de trabajo
dentro de la
entidad para
implementar el
SGSI
2.- Comprobar
que existen los
controles,
políticas y
procedimientos
necesarios para
implementar un
SGSI.
3.- Definir
cronogramas de
actividades para
la implementación
y seguimiento de
las políticas del
SGSI
4.- Presentar y
capacitar al
personal que
labora en Mundo
Hispano sobre las
políticas
redactadas en el
instructivo para la
Formación y
auditoría interna
mensual (Una vez
cada 30 días )
Propuesta 84
implementación
de un SGSI
aplicado con las
normas ISO
27001
6.- Optimizar los
recursos para
implementar el
SGSI con la
norma ISO 27001
5.- Identificar los
riesgos y aplicar
medidas
correctivas
desarrolladas en
el tratamiento de
riesgos en el
SGSI.
Brindar una
educación de
calidad con
sistemas de
mejora continua.
Directivos y
personal que
labora en la U.E
Mundo Hispano
1.- Establecer
objetivos de
seguridad de
acuerdo al
Proyecto
Educativo
Institucional (PEI)
relacionados a su
misión, visión,
ideario, etc; de
acuerdo al
sistema de calidad
de la educación y
el seguimiento a la
implementación
del SGSI
Anual (cada año
lectivo)
Propuesta 85
Crear espacios de
auditoría y
seguimiento
interno para el
manejo de la
Información en el
establecimiento
educativo.
Directivos y
personal docente
Aplicar medidas
correctivas
desarrolladas en
un plan de
tratamiento de
riesgos en el SGSI
Cada parcial en
juntas de
docentes, de
acuerdo a los
niveles
educativos (cada
7 semanas)
Implementar el
uso del instructivo
con los diferentes
parámetros del
SGSI.
Directivos,
Personal
Administrativo,
Personal
Docente,
Dimensión
Pedagógica
Aplicar medidas
correctivas y
establecer
cronogramas de
actividades para
el análisis y
empoderamiento
de las políticas del
SGSI del
Instructivo de
Mundo Hispano
Cada quimestre
en reuniones de
juntas de curso
(cada 4 a 5
meses)
Fuente: Datos recopilados en la U.E Mundo Hispano Elaborado por: Marcillo Baque Alba Gabriela
Dentro del enfoque de la aplicación del SGSI se integra el control para
la reducción de los riesgos orientados a la protección de los activos y de la
información, para determinar un plan de seguridad o política se ha realizado
una simulación de auditoría con el fin de identificar las políticas adaptadas
al entorno educativo.
4.4 Instructivo de políticas de implementación de un SGSI para la
U.E. Mundo Hispano
El diseño de la propuesta es una adaptación que se ha realizado de
Sistema de Gestión de la Seguridad de la Información como medio de
respuesta con políticas claras de acceso basadas en la normativa técnica
ISO 27001 que define y desarrolla los lineamientos, parámetros y toma de
Propuesta 86
decisiones para la implementación en respuesta a los riesgos que se han
manifestado en la investigación.
Se propicia en los anexos un instructivo para la Gestión de la
Seguridad, un documento que detalla los formularios y pasos a seguir
dentro de las políticas que se han identificado en la entidad educativa. (Ver
Anexo 4).
4.5 Capacitación al personal que labora en la U.E Mundo Hispano
La dirección de la U.E Mundo Hispano asignó un día para realizar la
jornada de capacitación, ya que por motivos académicos no se pudo
concretar más días para la realización de la actividad, sin embargo la
jornada se realizó con normalidad de acuerdo al tiempo dispuesto por los
directivos, se contó con la presencia del personal que labora en la
institución en la sala audiovisual del plantel. El contenido que se impartió
en la capacitación fue el siguiente:
Contenido:
Parte 1: (1 hora)
1. Introducción a la seguridad de la información
2. ¿Qué es SGSI (Sistema de Gestión de Seguridad de la
Información)?
3. ¿Qué es Norma ISO 27001?
4. ¿Qué es confidencialidad, integridad y disponibilidad?
5. Etapas del SGSI
Parte 2: (1 hora)
1. Riesgos a los que se encuentra expuesta la U.E Mundo Hispano en
Propuesta 87
referencia a la gestión de seguridad de la información
2. Problemas que se han identificado en relación a los procesos que se
realizan dentro de la institución
3. Políticas asociadas a la ISO 27001 que se pueden implementar
dentro de la institución
4. Presentación de actividades sugeridas que pueden realizar los
docentes para ayudar a la institución a disminuir los riesgos que se
presentan por un mal manejo de la información
Parte 3: (1 hora)
1. Debate y espacio para preguntas.
Los asistentes reaccionaron de manera muy entusiasmada al
momento de dictar la capacitación, aunque el tiempo destinado para la
capacitación fue un poco limitado debido a sus labores institucionales y
horario de salida del personal, los docentes hicieron muchas preguntas
relacionadas a la implementación de un SGSI en su institución de trabajo.
Se abordaron temas como el control de documentación dentro de la
U.E, ya que manifestaron que tienen muchos problemas al momento de
buscar un documento y no lo encuentran de manera rápida debido a que
no existe un formulario o control que permita identificar los documentos y
su ubicación actual. Con esto se ratifica que la información proporcionada
en las encuestas permitió la identificación del problema y por ende
presentar la política de control de documentos para mejorar el proceso.
Otra problemática que manifestaron los docentes es el acceso a la
información a personas autorizadas, debido a que dentro de la institución
no existe un control sobre qué personas pueden acceder a la información,
se presenta en el estudio la política de acceso a la información, en la cual
los directivos deben establecer reglamentos y restricciones en cada uno de
Propuesta 88
los departamentos de la entidad.
Otro punto muy inquietante entre los asistentes fue la política de
eliminación y destrucción de la información, en la que se sugiere eliminar
toda la información que ya no es necesaria en la institución, muchos de los
docentes manifestaron que desconocían este tema, ya que alguno de ellos
al momento de instalar un programa o descargar archivos para el ingreso
de calificaciones dejan la información almacenada en las máquinas de la
institución, sin conocer que algún alumno o persona que ingrese al
laboratorio o a los lugares donde existe un equipo de computación puede
hacer uso indebido de la misma.
En administración también se conservan algunos datos de
estudiantes y de docentes que ya se han retirado de la institución, lo cual
causa un aumento de espacio de memoria en el sistema académico S.A.C
2.3 que es el que aloja esta información. Se recomendó que la persona
responsable del departamento de informática verifique que la política de
eliminación y destrucción redactada en el instructivo se cumpla con la
finalidad de mejorar la gestión de este proceso.
Algunos docentes manifestaron que no poseen respaldos de la
información que manipulan, es decir que desconocían que la información
también la pueden almacenar en la nube y que la misma estará disponible
en cualquier momento y lugar en donde se encuentren, esto como medida
en caso de olvidar su información en casa y necesiten acceder a ella de
manera rápida. Para la resolución de esta problemática se sugiere a los
directivos de la institución realizar una capacitación referente a temas de
almacenamiento informático.
4.6 Indicadores de calidad
En la siguiente tabla se muestran los indicadores de calidad que
Propuesta 89
permiten verificar en qué estado se encuentra la institución actualmente al
momento de realizar el estudio, qué procesos posee o no en relación a la
implementación de un SGSI.
Para la interpretación de resultados en porcentajes se realizó una
simulación de una auditoría interna junto con los directivos y personal
disponible que labora en la institución. Cabe recalcar que esta auditoría no
se la realizó en el tiempo recomendado ni del modo que lo haría un auditor
certificado, a causa del poco tiempo de realización del presente trabajo de
titulación, pero de acuerdo a los recursos disponibles se trató de identificar
la problemática actual que tiene la U.E Mundo Hispano en relación a los
procesos y a la información que se maneja a diario. En la tabla #18 se
utilizará la siguiente nomenclatura
Nomenclatura:
1. Directivos: Equipo conformado por Rector, Vicerrector y Jefe del
Personal
2. Personal Administrativo: Equipo conformado por Contador y
Secretaría
3. Personal Docente: Equipo conformado por los docentes que laboran
en la Institución
4. Dimensión Pedagógica: Equipo conformado por el Psicólogo de la
Institución
5. Almacenamiento F: Físico; D: Digital
6. Frecuencia de control : A: Anual; Q: Quimestral; M: Mensual; P:
Parcial (7semanas), S: Semanal; D: Diaria
Propuesta 90
TABLA N° 18
INDICADORES DE CALIDAD
Do
cu
men
tació
n
Resp
on
sab
le
Alm
acen
am
ien
to
Ub
icació
n
Fre
cu
en
cia
de
co
ntr
ol
Estado
75%
- 1
00%
50%
- 7
4%
0%
- 4
9%
Informes de
beneficios al
implementar un
SGSI en la
Institución
No existe 0%
Comprobar la
política de la
seguridad de la
información
Directivos F
F:Rectorado y
Secretaría
M 50%
Comprobar la
política de
clasificación de la
información
Directivos F
F:Rectorado y
Secretaría
P 60%
Comprobar la
política de claves
Directivos F
F:Rectorado y
Secretaría
Q 40%
Comprobar la
política control de
acceso
Directivos F
F:Rectorado y
Secretaría
M 40%
Comprobar la
política de
eliminación y
destrucción
Directivos /
Responsabl
e del Dep.
Informático
F
F:Rectorado y
Secretaría
M 20%
Comprobar la
política de
pantalla y
escritorios limpios
Responsabl
e del Dep.
Informático
F
F:Rectorado y
Secretaría
S 45%
Propuesta 91
Comprobar la
política para
trabajo de áreas
seguras
Directivos/
Dep.
Administrati
vo
F
D
F:Rectorado y
Secretaría
D:Disco Duro
M 50%
Comprobar la
política de gestión
de incidentes de
seguridad
No existe 0%
Comprobar la
política de
transferencia de
la información
Directivos/
Dep.
Administrati
vo
F
D
F:Rectorado y
Secretaría
D:Disco Duro
M 60%
Informe de
procedimientos
para control de
documentos
No existe 0%
Redactar
procedimiento
para auditoría
interna
No existe 0%
Redactar
procedimientos
para identificación
y tratamiento de
riesgos
No existe 0%
Redactar
procedimiento
para medidas
correctivas
No existe 0%
Redactar
procedimientos
para aplicación de
medidas
correctivas
No existe 0%
Fuente: Investigación Directa Elaborado por: Marcillo Baque Alba Gabriela
Propuesta 92
4.6.1 Análisis y presentación de resultados
En relación a la tabla de indicadores la cual permite saber en qué
estado se encuentran actualmente los procesos para obtener una
certificación ISO se puede concluir lo siguiente:
Informes de beneficios al implementar un SGSI en la Institución:
Este proceso no se encontraba realizado en la institución, ya que había
desconocimiento sobre el tema, los beneficios de implementar un SGSI en
la Institución se encuentran actualmente redactados y explicados en el
instructivo que se entregará como resultado del presente estudio, las
mismas que fueron presentadas a los directivos de la institución luego de
realizar la simulación de la auditoría y presentar los resultados. Se
recomienda los directivos de la entidad actualicen estos beneficios
anualmente.
Comprobar la política de la seguridad de la información: El
proceso se encuentra realizado en un 50%, ya que existen ciertos controles
de seguridad, los mismos que están en un nivel muy bajo; en relación al
estudio preliminar la entidad no contaba específicamente con una política
para la seguridad de la información, por tal motivo se ha redactado en el
instructivo final dicha política para que la entidad pueda obtener mejor
control sobre ese proceso. Se recomienda realizar el control de esta política
mensualmente.
Comprobar la política de clasificación de la información: El
proceso se encuentra realizado en un 60%, ya que la información que
almacena la U.E Mundo Hispano se encuentra en diferentes lugares, mas
no siguen una política para su correcta clasificación. Se ha redactado en el
instructivo los pasos a seguir para la correcta clasificación de la información
y se recomienda que los directivos de la institución comprueben la correcta
realización del proceso parcialmente (cada 7 semanas).
Propuesta 93
Comprobar la política de claves: El proceso está realizado en un
40%, ya que la U.E Mundo Hispano generaba diferentes claves para los
usuarios mas no contaba con una política para dicho control, se ha sugerido
a los directivos de la institución seguir los pasos redactados en el instructivo
para que una vez que se implemente la política ésta se realice
correctamente, de acuerdo a los parámetros explicados, este control se
debe realizar quimestralmente, ya que existe la probabilidad que al finalizar
cada quimestre parte del personal se retire y se necesite actualizar los
datos y las claves del personal actual que labora en la institución.
Comprobar la política control de acceso: De acuerdo a la
investigación preliminar la U.E Mundo Hispano para controlar el acceso a
las diferentes instalaciones y registro de personal utiliza un formato físico
(leccionario), y el acceso a la información no está claro sobre qué personal
está autorizado para ver o editar determinados documentos, es por ello que
el proceso está realizado en un 40%, se sugiere a los directivos adaptarse
a la política explicada en el instructivo para llevar un correcto control sobre
los pasos a seguir para que la política se implante y se supervise
correctamente, se sugiere realizar este control parcialmente.
Comprobar la política de eliminación y destrucción: El proceso
está realizado en un 20%, ya que la institución no realiza adecuadamente
la eliminación y destrucción de información, la misma que si llega a caer en
manos de personas no autorizadas supone un riesgo que puede conllevar
al cierre del establecimiento. Se sugiere a los directivos o al responsable
del departamento informático realizar las actividades propuestas en el
instructivo para eliminar correctamente todos los datos, archivos, medios
electrónicos y todo formato que contenga información importante para que
ésta se destruya adecuadamente. El control de esta política se la debe
realizar mensualmente.
Comprobar la política de pantalla y escritorios limpios: El proceso
Propuesta 94
actualmente en la institución está realizado en un 45%, ya que en los
equipos se encuentran instalados los programas autorizados para los
docentes y alumnos, pero no se tiene un formato adecuado para el correcto
control de este proceso, se sugiere a los directivos adaptarse a los pasos
sugeridos en el instructivo para mejorar la política de pantalla y escritorios
limpios, el responsable del departamento informático deberá realizar este
control semanalmente.
Comprobar la política para trabajo de áreas seguras: Esta política
se encuentra realizada en la institución en un 50%, ya que la U.E Mundo
Hispano si posee un control sobre la seguridad del trabajo en áreas
seguras, y docentes encargados que cada área se conserve de manera
íntegra, pero no se cuenta con un correcto control al momento de ocurrir
algún desastre natural que permita salvaguardar o respaldar la información
almacenada en los departamentos de administración, secretaría y talento
humano (denominados críticos), por la cantidad de datos importantes que
almacenan.
Se recomienda a los directivos y al departamento administrativo
adaptarse a los pasos explicados en el instructivo para implantar esta
política, y realizar la supervisión de la misma cada mes.
Comprobar la política de gestión de incidentes de seguridad: La
U.E Mundo Hispano no cuenta con una política en caso de presentarse un
problema relacionado con la seguridad de la información. Se sugiere a los
directivos adaptar esta política a la institución y realizar los pasos
explicados en el instructivo y realizar un control de la misma cada parcial.
Comprobar la política de transferencia de la información: La
institución posee algunos controles para la transferencia de información
dentro de ella, es por eso que el proceso está realizado en un 60%, más no
está regido por una política, en el estudio se sugieren diversos pasos para
Propuesta 95
implantar la política por parte del departamento administrativo y la
verificación mensual del proceso para la revisión correctamente
documentada.
Informe de procedimientos para control de documentos: Al
momento de realizar el estudio la institución no cuenta con un
procedimiento para el control de documentos. Se sugiere al departamento
administrativo seguir el formato redactado en el instructivo para la correcta
auditoría y control de todos los documentos que posee la U.E Mundo
Hispano y actualizar mensualmente dicha información.
Redactar procedimiento para auditoría interna: Al momento de
realizar el estudio la institución no contaba con un procedimiento para la
realización de una auditoría interna, se coordinó junto con la dirección y
demás personas que colaboraron en las diferentes áreas una simulación
de auditoría para saber en qué estado se encuentra actualmente la U.E
Mundo Hispano referente a las políticas que son necesarias implementar
para obtener la certificación internacional.
Luego de esto se sugirió y redactó en el instructivo a los directivos y
al departamento administrativo una serie de actividades y un formato para
que la U.E Mundo Hispano realice este control para no tener problemas en
caso de obtener una certificación internacional. Quimestralmente se
deberán realizar dichas auditorías para obtener información actualizada de
los procesos que se manejan dentro de la institución.
Redactar procedimientos para identificación y tratamiento de
riesgos: Al momento de realizar el estudio la institución no contaba con
una política para la identificación y tratamiento de los riesgos, dentro del
instructivo entregado se sugiere que en caso de identificar un riesgo en la
seguridad de la información los directivos serán encargados de clasificar
dicho riesgo y tomar las medidas necesarias. El control se deberá realizar
Propuesta 96
cada quimestre para determinar si existe o no algún riesgo dentro de la
institución.
Redactar procedimiento para medidas correctivas y su
aplicación: Estos procesos no se encuentran implementados en la U.E
Mundo Hispano, es por ello que se sugiere a los directivos seguir el
formulario redactado en el instructivo para la correcta identificación del
riesgo y la determinación de la medida correctivas necesarias. El
responsable de realizar este control dentro de la institución para obtener
datos más precisos y actualizados, lo deberá realizar quimestralmente.
Al realizar todo este estudio y análisis se concluye que actualmente la
U.E Mundo Hispano no se encuentra apta para obtener una certificación
internacional ISO 27001, en una conversación con los directivos se ha
sugerido que para minimizar los riesgos al momento de llamar una
certificadora y que no apruebe dicha certificación, sigan los pasos
detallados en el instructivo, ya que esto permitirá minimizar los costos y el
tiempo destinado para dicha actividad.
A continuación se presenta un cronograma de actividades sugerido
para la institución, con valores y tiempo aproximado para la preparación de
cada actividad dentro de la institución, todo esto para reducir la posibilidad
de que la entidad no pase el estudio preliminar al momento de querer
adquirir una certificación internacional, la misma que permitirá aumentar la
confiabilidad de los padres de familia con la institución y aumentar los
ingresos debido al aumento de nuevos estudiantes que escojan la U.E
Mundo Hispano.
Propuesta 97
TABLA N° 19
CRONOGRAMA DE ACTIVIDADES
Descripción Tiempo estimado Costo aprox.
Preparación y capacitación al personal
que labora en la U.E Mundo Hispano 3 semanas $80
Análisis y adquisición de equipamientos 5 semanas $300
Control de documentación 3 semanas $100
Aplicación de políticas 8 semanas $150
Verificación de políticas 2 semanas $50
Aplicación de medidas correctivas 2 semanas $100
Conclusión y verificación 3 semanas $150
Total 6 meses y medio $930
Fuente: Investigación Directa Elaborado por: Marcillo Baque Alba Gabriela
4.7 Conclusiones
La encuesta realizada al personal que labora en la U.E Mundo
Hispano permitió identificar las falencias existentes dentro de la institución,
para luego realizar un análisis y vincular correctamente las políticas
relacionadas con la ISO 27001, las cuales podrían ser aplicadas e
implementadas en la institución.
Con la aplicación de la metodología MEHARI, se realizó el estudio y
análisis FODA identificando claramente los riesgos actuales a los que está
expuesta la U.E Mundo Hispano. Luego de esto se establecieron
estrategias que permitirán aprovechar la oportunidad de establecer un
SGSI en la institución.
Al realizar el estudio de software se presentó un inconveniente con el
proveedor del Sistema de Administración Académica S.A.C 2.3, ya que por
políticas internas de la empresa no se pudo obtener información sobre la
estructura del software, costos y demás detalles referentes al sistema. Es
Propuesta 98
por ello que sólo se realizó un análisis de las personas que tienen acceso
al sistema dentro de la institución y qué sistema operativo es el adecuado
para el correcto funcionamiento del mismo.
Al momento de realizar la simulación de la auditoría con parte del
personal de la institución, se concluyó que la U.E Mundo Hispano
actualmente no está apta para recibir una certificación ISO 27001, faltan
implementar políticas básicas referentes a la gestión de procesos
importantes que se realizan a diario, además se evidenció la falta de
asignación de personal para realizar los controles necesarios de dichos
procesos.
Se realizó una jornada de capacitación a todo el personal que labora
en la entidad educativa, obteniendo resultados muy favorables que
ayudaron a la identificación de los problemas que tiene la U.E Mundo
Hispano en referencia a la gestión de la información, se logró despejar
muchas dudas en el personal, además de contribuir al aumento de sus
conocimientos sobre las normativas ISO, las cuales eran poco conocidas
para todos ellos al inicio del proyecto de titulación.
Se realizó un instructivo con políticas claras a seguir dentro de la
institución, las cuales ayudarán a garantizar la confidencialidad, integridad
y disponibilidad de la información y de todos los procesos que se realizan
diariamente, de acuerdo a los parámetros de un SGSI.
Se presentó a los directivos de la U.E Mundo Hispano un cronograma
de actividades para implantar dentro de la institución, con la finalidad de
reducir los riesgos de no aprobar o pasar el análisis preliminar para obtener
una certificación internacional.
Propuesta 99
4.8 Recomendaciones
La toma de decisiones para el cumplimiento de la implementación del
SGSI debe ser impulsada y monitoreada por los directivos y personal
responsable de la entidad educativa como primer paso, luego de esto
obtener el compromiso y la aceptación total de todo el personal que labore
en la U.E Mundo Hispano para el cumplimiento de todas las actividades
recomendadas en el proyecto.
Se recomienda el uso del instructivo para mitigar las amenazas y
riesgos que se han identificado en el análisis. También se recomienda el
uso de los formularios para controlar los procesos que se manejan dentro
de la U.E Mundo Hispano.
Se recomienda realizar periódicamente (tiempo sugerido 6 meses) el
análisis adaptado del SGSI ISO 27001 con el uso de la metodología
MEHARI en la institución para disminuir los riesgos y la vulnerabilidad de la
información.
Se recomienda la contratación anual de personal calificado para
realizar charlas formativas actualizadas al personal que labora en la
institución, referentes a la seguridad, almacenamiento y gestión de la
información.
El presente estudio puede ser aplicado a cualquier institución
educativa, sin importar su financiamiento.
Glosario de Términos 100
ANEXOS
Anexos 101
ANEXO N° 1
INFRACCIONES ELECTRÓNICAS PREVISTAS EN EL CÓDIGO PENAL
CAP. V. De los Delitos contra la inviolabilidad del secreto.
ARTÍCULO 202:
El art.202 del Libro II del Código Penal habla sobre la confidencialidad de
la información y la necesidad de que los datos guarden reserva absoluta.
En caso de violar este derecho y divulgar su contenido mediante medios
electrónicos o afines se penalizará con prisión y multa. Si la información
vulnerada trata de Seguridad Nacional la sanción aumenta; de igual manera
si los datos pertenecen al sector comercial.
CAP. V. De la violación de los Deberes de los Funcionarios Públicos,
de la Usurpación de Atribuciones y de los Abusos de Autoridad.
ARTÍCULO 262:
El art.262 trata sobre la responsabilidad de Funcionarios Públicos de
precautelar la seguridad de la información a ellos encomendada. Hace
énfasis en la intencionalidad (fraudulenta y maliciosa) para destruir
archivos, programas o mensajes que involucren intervención electrónica,
así como medios físicos para su desaparición. La pena: 3 años a 6 años de
reclusión menor.
CAP. III. De la Falsificación de Documentos en general
ARTÍCULO 353:
El art.353 detalla la falsificación electrónica y nos expone que aquella
persona o personas que alteren o modifiquen datos serán sometidas a lo
que dispone la ley, mencionando como puntos estratégicos la alteración, la
simulación y la distorsión de mensajes de datos.
CAP. II. Del Robo
ARTÍCULO 553:
El art.553 hace referencia a quienes usen fraudulentamente sistemas de
información para el robo o apropiación de bien ajeno, manipulando o
alterando éstos para el cometimiento del delito.
Asimismo, la sanción aumenta para quienes hayan inutilizado sistemas de
alarma, descifrado de claves secretas, uso de tarjetas magnéticas, uso de
Anexos 102
instrumentos de apertura teledirigidos y toda violación de seguridades
electrónicas.
CAP. V. De las Estafas y otras defraudaciones
ARTÍCULO 563:
De acuerdo al Art.563, será sancionado con prisión y multa quien use
medios electrónicos, informáticos o telemáticos para el cometimiento del
delito de estafa.
Anexos 103
ANEXO N° 2
FORMATO DE ENCUESTA
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE INGENIERÍA INDUSTRIAL
CARRERA DE INGENIERÍA EN TELEINFORMÁTICA
Formato de Encuesta para el personal que labora en la U. E Mundo
Hispano
Fecha: ___________________________________
Cargo: ___________________________________
INSTRUCTIVO: Llenar el siguiente formulario, marcando con una x la
respuesta que usted crea conveniente.
1.- ¿Cree usted que el acceso a la información se da sólo a personas
autorizadas?
2.- ¿Dónde almacena generalmente su información personal referente a la
institución (trabajos de alumnos, registros de calificaciones, etc.)?
Anexos 104
3.- ¿Con qué frecuencia respalda usted de la información y datos que
maneja dentro de la Institución?
4.- ¿La Unidad Educativa realiza mantenimiento informático en todos los
equipos que posee?
5.- ¿Qué tipo de control se utiliza en la Unidad Educativa en caso de utilizar
una máquina para el ingreso de calificaciones o cualquier otra actividad y
que otros usuarios no modifiquen su trabajo y la información de un modo
no autorizado?
b) Correos electrónico
6.- ¿Utiliza usted las máquinas de la Institución para descarga de archivos
varios, ya sean estos: Músicas, videos, películas, reportes de calificaciones,
etc.?
Anexos 105
7.- ¿Utiliza usted controles biométricos para su acceso y registro en las
diferentes áreas de la Unidad Educativa?
e
8.- ¿Al terminar sus actividades diarias, si usted utiliza una máquina de la
Unidad Educativa, apaga la computadora o queda con un proceso abierto?
9.- En caso de que cualquier información valiosa de la Institución se pierda,
¿a quién usted le informa generalmente?
10.- ¿En qué nivel de seguridad cree usted que se encuentra la información
que se maneja dentro de la Institución (calificaciones, actas, reportes)?
11.- En caso de tener algún tipo de inconveniente con las calificaciones
ingresadas en el acta con las que refleja secretaría ¿Qué decisión toman
los directivos de la Unidad Educativa?
Anexos 106
fique cual: ______________________
12.- ¿Ha recibido usted algún tipo de charla y/o capacitación referente a
políticas, normas y procedimientos del manejo y acceso a la Información
que usted manipula dentro de la Unidad Educativa?
b) Casi sie
e) Nunca
Anexos 107
ANEXO N° 3
ENCUESTA Y CAPACITACIÓN AL PERSONAL QUE LABORA EN LA
U.E MUNDO HISPANO
Fuente: Unidad Educativa Mundo Hispano Elaborado por: Marcillo Baque Alba Gabriela
Fuente: Sala audiovisual U.E Mundo Hispano Elaborado por: Marcillo Baque Alba Gabriela
Anexos 108
Fuente: Sala Audiovisual U.E Mundo Hispano
Elaborado por: Marcillo Baque Alba Gabriela
Fuente: Sala Audiovisual U.E Mundo Hispano Elaborado por: Marcillo Baque Alba Gabriela
Anexos 109
ANEXO N° 4
AUDITORÍA DENTRO DE LAS INSTALACIONES DE LA U.E MUNDO HISPANO
Fuente: Departamento Administrativo U.E Mundo Hispano
Elaborado por Marcillo Baque Alba Gabriela
Fuente: Laboratorio de Computación U.E Mundo Hispano Elaborado por Marcillo Baque Alba Gabriela
Anexos 110
Fuente: Secretaría U.E Mundo Hispano Elaborado por Marcillo Baque Alba Gabriela
Fuente: Departamento Administrativo U.E Mundo Hispano Elaborado por Marcillo Baque Alba Gabriela
Anexos 111
ANEXO N° 5
INSTRUCTIVO PARA LA U.E MUNDO HISPANO
Unidad Educativa Mundo Hispano
Colinas de la Alborada, Coop. El Ceibal Mz. 2245, Solares 21-22 (frente a Condominios de los
Álamos Norte)
Tel. 5109286
U.E. MUNDO HISPANO 2017
Instructivo para la implementación del Sistema de
Gestión de la Seguridad de la Información en la U.
E. Mundo Hispano
Anexos 112
Anexos 113
Anexos 114
Anexos 115
Anexos 116
Anexos 117
Anexos 118
Anexos 119
Anexos 120
Anexos 121
Anexos 122
Anexos 123
Anexos 124
Anexos 125
Anexos 126
Anexos 127
Anexos 128
Anexos 129
Anexos 130
Anexos 131
Bibliografía 132
BIBLIOGRAFÍA
27001 Academy. (2014). Informe.Lista de documentación obligatoria
requerida por ISO/IEC 27001. Alcance del SGSI. Croacia, Unión
Europea: EPPS Services Ltd.
27001 Academy. (2017). Sitio Web. El Blog ISO 27001 & ISO 22301. El
proceso de manejo a terceros.
https://advisera.com/27001academy/blog/2014/06/30/6-step-
process-for-handling-supplier-security-according-to-iso-27001/
Arias, F. (2012). Libro. El proyecto de Investigación: Introducción a la
investigación científica. Investigación Exploratoria.
Avant, A. (2011). Documento de sitio web. Alaro Avant. Estructura de
Implementación del SGSI.
http://www.alaroavant.com/uploads/files/Presentacion%20ISO2700
1%20Alaro%20Avant.pdf
Calderón, D., Flores, M., & Estrella , M. (2011). Libro. Implementación de
Sistema de Gestión de Seguridad de la Información aplicada en área
de recursos humanos. Definición de ISO. Guayaquil - Ecuador:
ESPOL.
Clusif. (Julio de 2011). Libro. Mehari Risk analysis and treatment guide.
Obejtivos de la Metodología MEHARI.
http://meharipedia.x10host.com/wp//wp-
content/uploads/2016/12/MEHARI-2010-IntroduccionESP.pdf
Bibliografía 133
Collazos Balaguer, M. (2013). Libro. La nueva versión ISO 27001:2013 un
cambio en la integración de los sistemas de gestión . Ventajas y
Desventajas de la aplicación de un SGSI. Perú: Prime Profesional Colegio
de ingenieros del Perú.
International Standard. (2016). Libro. Information technology — Security
techniques — Information security management systems —
Overview and vocabulary . Series ISO 27000
ISO 27000.ES. (24 de Julio de 2017). Sitio Web. ISO 27000.ES. Definición
SGSI. http://www.iso27000.es/index.html#contacto
Ministerio de Educación Ecuador. (2012). Página Web. Intructivo para
la aplicación de la Evaluación Estudiantil. Escala de Evaluación
Estudiantil. https://educacion.gob.ec/wp-
content/uploads/downloads/2017/02/Reglamento-General-a-la-Ley-
OrgAnica-de-Educacion-Intercultural.pdf
Pástor, J. (2015). Libro. PEI Mundo Hispano. Misión, Visión e Ideario de
U.E Mundo Hispano. Guayaquil: Mundo Hispano.
Santa Palella Stracuzzi, F. M. (2012). Libro. Metodología de la
investigación cuantitativa. Investigación de campo
Velasco, A. (2011). Libro. EL DERECHO INFORMÁTICO Y LA GESTIÓN
DE LA SEGURIDAD DE LA INFORMACIÓN UNA PERSPECTIVA
CON BASE EN LA NORMA ISO 27001. Dominios de la Norma ISO
27000. Barranquilla: Scielo Revista de derecho.
Velasco, C., Quinayás, F., & Donado, A. (2016). Libro. ADAPTACIÓN DE
LA METODOLOGÍA MEHARI A LA FASE DE PLANEACIÓN DE UN
SGSI PARA UN PROCEDIMIENTO DE ESTUDIO PROPUESTO.
Bibliografía 134
Fases de la Metodología MEHARI. Colombia: Universidad del
Cauca, Popayán, Colombia.
Bibliografía 135