Introducción
El amplio desarrollo de las nuevas tecnologías informáticas está ofreciendo un nuevo campo de acción a conductas antisociales y delictivas manifestadas en formas antes imposibles de imaginar, ofreciendo la posibilidad de cometer delitos a las instituciones u organizaciones. Se siguen efectuando delitos que han sido siempre tradicionales, pero la manera en que se ejecutan o llevan a cabo ya no es una manera tradicional y se manifiestan cada vez más en delitos que tienen que ver con tecnologías de la información. La seguridad en la información requiere de un conjunto de metodologías, prácticas y procedimientos que busquen proteger la información, el equipo y su entorno, con el fin de minimizar las amenazas y riesgos continuos a los que están expuestos, a efectos de asegurar la continuidad en los procesos informáticos que la organización realiza. El objetivo del presente trabajo es puntualizar la relevancia en las fortalezas con las que cuenta el Instituto Tecnológico del Valle del Guadiana en cuanto a políticas de seguridad y determinar cuáles variables inciden frecuentemente en las áreas consideradas como críticas.
Materiales y métodos
El estudio se realizó con la aplicación de una encuesta a los encargados de las diferentes áreas del ITVG, con la finalidad de obtener información acerca de la seguridad que prevalece en esta Institución, también se realizó una visita física para constatar los implementos con los que se cuenta para asegurar el equipo, resguardar los sistemas operativos y proteger la información. El instrumento de evaluación utilizado fue una encuesta escrita con su correspondiente hoja de respuestas, donde se investigó las políticas de seguridad que imperan en el Instituto Tecnológico del Valle del Guadiana, el instrumento de evaluación se aplicó a los responsables del centro de cómputo así como a los responsables de los sistemas de información con los que cuenta la Institución, para la verificación de la información se realizó una visita de observación a las instalaciones físicas, se realiza el análisis de los resultados, y se plasman en un documento para emitir un juicio acerca de la seguridad que prevalece en estas oficinas u organismos. Los instrumentos de medición se realizaron con 92 preguntas y/o consultas. Para recopilar la información se utilizó un instrumento de medición que involucra los aspectos más importantes del Estándar ISO/IEC 17799.
Resultados y discusión
En esta parte se concentra el análisis de los datos obtenidos de la encuesta aplicada en el Instituto, esta encuesta se basó en diez aspectos como fueron: políticas de seguridad, aspectos organizativos para la seguridad, clasificación y control de activos, seguridad ligada al personal, seguridad física y del entorno, gestión de comunicaciones y operaciones, control de accesos, desarrollo y mantenimiento de sistemas, gestión de incidentes de seguridad de la información, gestión de continuidad del negocio y conformidad legal. En el análisis del cuestionario se examina cada aspecto de seguridad por separado y se muestran gráficas de cada uno. Para el análisis de datos se procedió a obtener los resultados de todos los aspectos acerca de la Guía de Buenas Prácticas de la Seguridad Informática (tomado en parte de la ISO/IEC 17999). Con la información ya evaluada el siguiente paso es emitir un resultado el cual muestra la evidencia para conocer si se cuenta en conformidad con el instrumento aplicado. En la Figura 1 se muestra solo el aspecto concerniente a los Aspectos Organizativos de la Seguridad en la cual se realizaron ocho preguntas/consultas. En la Figura 2 se muestra la Seguridad Ligada al Personal, en este apartado se realizaron diez preguntas/consultas. Cabe recalcar que solo se muestran dos aspectos de los diez que son en total y que pertenecen a la norma de calidad (Estándar ISO/IEC 17799).
Figura 1. Diagrama: Aspectos Organizativos para la Seguridad
Diagrama: Aspectos Organizativos para la Seguridad
Figura 2. Diagrama: Seguridad Ligada al Personal
Diagrama: Seguridad Ligada al Personal
Conclusiones
Los resultados evidencian lo siguiente, en cuanto a políticas de seguridad el Instituto cuenta encargados y existe un compromiso por parte de los directivos, pero no se cuenta con un documento que norme los aspectos de seguridad de toda la institución; en la parte de aspectos organizativos de la seguridad, no existe un comité de seguridad integrado por todas las áreas de la Institución, pero se cumple porque el instituto entrega una asignación de responsabilidades a cada servidor público y tiene asesoría por parte de organismos propios del sistema; en la parte de clasificación y control de activos se cumple totalmente porque la Institución destina vales de resguardo a cada departamento y oficina; en lo que respecta a la seguridad ligada al personal, no se cuenta con un procedimiento disciplinario para controlar más las incidencias; en cuanto a seguridad física y del entorno se cuenta con barda perimetral y la puerta principal controlada por personal de seguridad privada, pero no existe cableado de fibra óptica subterráneo; en lo que refiere a control de accesos, no se controla el acceso a los servicios de información mediante un proceso de registro con identificador único para cada usuario, dicha forma vincula a los usuarios y los responsabiliza de sus acciones. Para los nuevos sistemas de información, los administradores deberían asegurar que los requisitos y criterios de aceptación de los nuevos sistemas estén claramente definidos, acordados, documentados y probados.
Literatura citada
- Borghello, Christian F., 2001. Seguridad Informática, sus Implicancias e Implementación. Argentina.
- Carrión, Hugo Daniel. 2001. Tesis “Presupuestos para la Punibilidad del Hacking”.