UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES UNIANDES FACULTAD DE SISTEMAS MERCANTILES

MAESTRIA EN INFORMÁTICA EMPRESARIAL TESIS PREVIO A LA OBTENCION DEL TÍTULO DE MAGISTER EN INFORMÁTICA EMPRESARIAL TEMA: “METODOLOGIA PARA MEJORAR LA SEGURIDAD DE LA INFORMACIÓN Y EL FUNCIONAMIENTO DEL PROCESO ADMINISTRATIVO, EN LA FACULTAD DE CIENCIAS DE LA EDUCACIÓN DE LA UNIVERSIDAD ESTATAL DE BOLÍVAR EN EL AÑO 2013.”

Autor: ING. JONATHAN PATRICIO CÁRDENAS BENAVIDES Tutor: ING. FREDDY BAÑO. M.Sc. AMBATO - ECUADOR 2015

CERTIFICACIÓN DEL TUTOR

ING. FREDDY BAÑOS MSc, Director de Tesis del estudiante de la Maestría en Informática Empresarial: Ing. Jonathan Patricio Cárdenas Benavides.

CERTIFICA:

Que una vez revisado los contenidos de la investigación y desarrollo del Borrador del Informe Final de la Tesis, titulado: “METODOLOGIA PARA MEJORAR LA SEGURIDAD DE LA INFORMACIÓN Y EL FUNCIONAMIENTO DEL PROCESO ADMINISTRATIVO, EN LA FACULTAD DE CIENCIAS DE LA EDUCACIÓN DE LA UNIVERSIDAD ESTATAL DE BOLIVAR EN EL AÑO 2013.”, que guardan relación con lo estipulado en la reglamentación prevista por los organismos de estudio de cuarto nivel, los mismos que cumplen con los parámetros del método de investigación y su proceso; por lo que solicito muy respetuosamente, se dé el trámite legal correspondiente.

Ambato, 1 de Marzo del 2015.

AUTORÍA NOTARIADA

Yo, Ing. Jonathan Patricio Cárdenas Benavides, Autor, declaro que el trabajo aquí descrito es de mi autoría; este documento no ha sido previamente presentado para ningún grado o calificación profesional; y, que las referencias bibliográficas que se incluyen han sido consultadas el autor (es).

La Universidad Regional Autónoma de los Andes –UNIANDES- puede hacer uso de los derechos de publicación correspondientes a este trabajo, según lo establecido por la Ley de Propiedad Intelectual, por su Reglamento y por la normativa institucional vigente.

f…………………………..……………........... AUTOR C.C. Nº 0201668779

DEDICATORIA

Dedico este trabajo a quienes confiaron en mis capacidades y las he sabido demostrar

A la Universidad por sus orientaciones académicas e investigativas

A los Facilitadores de la Maestría por compartir sus conocimientos.

A mis compañeros de aula por su apoyo incondicional y,

A mis seres queridos por comprenderme en los momentos que requería de su apoyo y aliento.

Jonathan Patricio

AGRADECIMIENTO

A la Universidad Regional Autónoma de los Andes –UNIANDES-

A los líderes y liderezas del programa de Maestría

A los profesores de la Maestría

A mis seres queridos y añorados.

Jonathan Patricio

INDICE GENERAL CERTIFICACIÓN DEL DIRECTOR DECLARACIÓN DE AUTORÍA DEDICATORIA AGRADECIMIENTO ÍNDICE GENERAL ÍNDICE DE CUADROS Y GRÁFICOS ÍNDICE DE FIGURAS RESUMEN EJECUTIVO EXECUTIVE SUMMARY

INTRODUCCIÓN ................................................................................................................................... 1 Antecedentes de la investigación ................................................................................................... 1 Planteamiento del problema. ......................................................................................................... 4 Formulación del problema .............................................................................................................. 6 Delimitación del problema .............................................................................................................. 6 Objeto de Investigación del campo de acción ................................................................................ 6 Identificación de la línea de investigación ...................................................................................... 6 Objetivos ......................................................................................................................................... 6 Objetivo General ......................................................................................................................... 6 Objetivos Específicos ................................................................................................................... 7 Idea a defender ............................................................................................................................... 7 Justificación del tema ...................................................................................................................... 7 Metodología .................................................................................................................................... 8 Por el propósito: .............................................................................................................................. 8 Aplicada.- ..................................................................................................................................... 8 Por el Nivel de estudio: ................................................................................................................... 9 Exploratorio.-............................................................................................................................... 9 Descriptiva.- ................................................................................................................................ 9

Explicativa.- ................................................................................................................................. 9 Por la Fuente y el lugar.................................................................................................................... 9 Bibliográfica.-............................................................................................................................... 9 De campo.- .................................................................................................................................. 9 Métodos .......................................................................................................................................... 9 Científico.- ................................................................................................................................... 9 Histórico – Lógico.- .................................................................................................................... 10 Inductivo – Deductivo.- ............................................................................................................. 10 Resumen de la estructura de la tesis ............................................................................................ 10 Elementos de novedad, aporte teórico y significación práctica ................................................... 11 Aporte teórico ........................................................................................................................... 11 Significación práctica ................................................................................................................. 11 Novedad .................................................................................................................................... 11 CAPITULO I ........................................................................................................................................ 13 1. MARCO TEORICO .......................................................................................................................... 13 1.1 Seguridad de la Información ................................................................................................... 13 1.1.1 Seguridad.............................................................................................................................. 13 1.1.1.1 Tipos de Seguridad ........................................................................................................ 13 1.1.1.2 Propiedades del Sistema Informático Seguro ............................................................... 13 1.1.2 La información...................................................................................................................... 14 1.1.2.1 La Seguridad de la Información. .................................................................................... 14 1.1.2.2 Importancia de la seguridad de la información dentro de la organización. ................. 15 1.1.2.3 Norma ISO 27001 : 2013. .................................................................................................. 16 1.1.2.3.1 ISO .............................................................................................................................. 16 1.1.2.3.2 Norma ISO 27000 ....................................................................................................... 16 1.1.2.3.3 Beneficios de la Norma ISO 27000 ............................................................................. 16

“1.1.2.3.4 Modelo del Sistema de Gestión de la Seguridad de la Información (SGSI) ISO 27001 ................................................................................................................................................... 17 1.1.2.3.4.1 Principios ................................................................................................................. 17 1.1.2.3.4.2 Estructura del Modelo............................................................................................. 18 1.1.2.3.4.3 Representación gráfica del modelo del Sistema de Gestión de la Seguridad de la Información (SGSI)..................................................................................................................... 19 1.1.2.3.5 Análisis Norma ISO 27000 .............................................................................................. 20 Cláusula 4. Contexto de la organización. .................................................................................. 21 Entender la organización y su contexto. ................................................................................... 21 Entender las necesidades y expectativas de las partes interesadas. ........................................ 21 Determinar el alcance del SGSI. ................................................................................................ 21 Liderazgo. .................................................................................................................................. 22 Liderazgo y compromiso. .......................................................................................................... 22 Política. ...................................................................................................................................... 23 Roles de la organización, responsabilidades y autoridad. ........................................................ 23 Planificación .............................................................................................................................. 23 Acciones para dirigir los riesgos y oportunidades..................................................................... 24 Objetivos y planes para lograrlos. ............................................................................................. 25 Soporte ...................................................................................................................................... 26 Recursos. ................................................................................................................................... 26 Competencias. ........................................................................................................................... 27 Concienciación. ......................................................................................................................... 27 Comunicación. ........................................................................................................................... 27 Documentación. ........................................................................................................................ 28 Operación. ................................................................................................................................. 29 Planificación operativa y control. .............................................................................................. 29

Análisis del riesgo. ..................................................................................................................... 29 Tratamiento del riesgo. ............................................................................................................. 30 Evaluación del rendimiento. ..................................................................................................... 30 Monitorización, medición, análisis y evaluación....................................................................... 30 Auditoría interna. ...................................................................................................................... 31 Revisión por Dirección............................................................................................................... 31 Mejora ....................................................................................................................................... 32 No conformidad y acción correctiva. ........................................................................................ 33 Mejora continua ........................................................................................................................ 33 1.2 Factor humano en la seguridad informática. .......................................................................... 34 1.2.1 Capacitación a usuarios sobre la importancia de la Seguridad Informática .................... 34 1.2.2 Seguimiento a los empleados, administradores y directivos de la organización............. 35 1.3 Amenazas, Riegos, Vulnerabilidades, Ataques........................................................................ 36 1.3.1 Amenazas ......................................................................................................................... 36 1.3.1.1 Clasificación de las amenazas........................................................................................ 36 1.3.2 Riesgos.............................................................................................................................. 37 1.3.2.1 Análisis de riesgos ......................................................................................................... 37 1.3.2.2 Tipos de análisis de los riesgos ...................................................................................... 37 1.3.2.3 Activos en riesgo. .......................................................................................................... 38 1.3.3 Vulnerabilidades............................................................................................................... 38 1.3.4 Ataques ............................................................................................................................ 39 1.3.4.1 Fases de un ataque informático .................................................................................... 39 1.4 Esquema lógico sobre política de seguridad en un sistema de información .......................... 40 1.4.1 Servicios para la Seguridad de los Sistemas de Información ........................................... 41 1.4.2 Mecanismo para la seguridad de los Sistemas de Información ....................................... 42 1.4.2.1. Seguridad Lógica .......................................................................................................... 42

1.4.3 Seguridad Física ................................................................................................................ 48 1.4.4 Quienes amenazan al sistema de información ................................................................ 52 1.4.4.1 Hackers.- ........................................................................................................................ 52 1.4.4.2 Crackers.-....................................................................................................................... 53 1.4.4.3 Sniffers.- ........................................................................................................................ 53 1.4.4.4 Phreakers.- .................................................................................................................... 53 1.4.4.5 Spammers.- ................................................................................................................... 53 1.4.4.6 Phishing.- ....................................................................................................................... 53 1.4.4.7 Piratas Informáticos.- .................................................................................................... 53 1.4.4.8 Personal Interno.-.......................................................................................................... 53 1.4.4.9 Ex empleados.- .............................................................................................................. 53 1.4.4.10 Intrusos Pagados.- ....................................................................................................... 53 1.5 La Administración .................................................................................................................... 54 1.5.1 Administración.- ............................................................................................................... 54 1.5.2 Tipos de Administración ................................................................................................... 54 1.5.2.1 Administración Pública .................................................................................................. 54 1.5.2.2 Administración Privada ................................................................................................. 56 1.5.2.3 Administración Mixta .................................................................................................... 57 1.5.3 Proceso Administrativo .................................................................................................... 57 1.6 Conclusiones Parciales del capitulo ........................................................................................ 60 CAPITULO II ....................................................................................................................................... 62 2. Marco Metodológico ..................................................................................................................... 62 2.1 Caracterización del Sector ....................................................................................................... 62 2.2. Descripción Procedimiento Metodológico............................................................................. 63 2.2.1 Modalidad de Investigación. ............................................................................................ 63 Por el propósito: ........................................................................................................................ 63

Por el Nivel de estudio: ............................................................................................................. 63 2.2.2 Tipos de Investigación. ..................................................................................................... 64 Por la Fuente y el lugar.............................................................................................................. 64 2.2.3 Métodos Técnicas e Instrumentos. .................................................................................. 64 2.2.4 Población y Muestra......................................................................................................... 65 2.2.5 Análisis e Interpretación de Resultados. .......................................................................... 66 2.3 Propuesta Investigador. .......................................................................................................... 77 2.4 Conclusiones parciales del capítulo. ....................................................................................... 79 CAPITULO III ...................................................................................................................................... 80 3. MARCO PROPOSITIVO ................................................................................................................... 80 3.1 Tema ........................................................................................................................................ 80 3.2 Objetivos ................................................................................................................................. 80 3.2.1 Objetivo General .................................................................................................................. 80 3.2.2 Objetivos Específicos ............................................................................................................ 80 3.3 Introducción ............................................................................................................................ 80 3.4 Descripción General de la Propuesta ...................................................................................... 81 3.4.1 Análisis de la situacion actual........................................................................................... 81 3.4.1.1 La Seguridad Lógica ....................................................................................................... 82 3.4.1.1.1 Funciones del Personal Administrativo ...................................................................... 82 3.4.1.2 Comunicaciones en red. ................................................................................................ 82 3.4.1.2.1 Componentes de la red. ............................................................................................. 82 3.4.1.2.2 Descripción de la Red. ................................................................................................ 83 3.4.1.2.3 Servidor de Internet ................................................................................................... 84 3.4.1.2.3 Servidor de Correo ..................................................................................................... 84 3.4.1.3 Antivirus ........................................................................................................................ 85 3.4.1.3.1 Escaneo de Virus ........................................................................................................ 85

3.4.1.4 Firewall .......................................................................................................................... 85 3.4.1.5 Ataques a la Red. ........................................................................................................... 86 3.4.1.6 Seguridad de las Aplicaciones ....................................................................................... 86 3.4.1.6.1 Servidores................................................................................................................... 86 3.4.1.6.2 Computadoras de escritorio y laptops ....................................................................... 86 3.4.1.7 Seguridad Física ............................................................................................................. 87 3.4.1.7.1 Equipos ....................................................................................................................... 87 3.4.1.7.1.1 Servidores................................................................................................................ 87 3.4.1.7.1.2 Computadores ......................................................................................................... 87 3.4.1.7.1.3 Serguridades del cuarto de Servidores ................................................................... 88 3.4.1.7.1.4 Acceso a Equipos ..................................................................................................... 88 3.4.1.7.1.5 Otros Dispositivos ................................................................................................... 89 3.4.1.7.1.6 Edificio de la Universidad ....................................................................................... 91 3.4.1.7.1.7 Cableado Estructurado ............................................................................................ 91 3.4.1.8 Backups ......................................................................................................................... 92 3.4.1.8.1 Backups del Servidor .................................................................................................. 92 3.4.1.8.2 Backups de datos de la Pc de escritorio ..................................................................... 92 3.4.1.8.3 Backup del sitio de la Facultad ................................................................................... 92 3.4.1.8.4 Protección del Backups .............................................................................................. 93 3.4.1.8.5 Documentación del Backup........................................................................................ 93 3.4.1.9 Documentación ............................................................................................................. 93 3.4.1.9.1 Documentación de las Oficinas Administrativas, Laboratorios, Cubículos ................ 93 3.4.1.9.2 Manuales .................................................................................................................... 93 3.4.2 Diseño del Plan de Seguridad Informática ........................................................................... 94 Orgánico de la Facultad ............................................................................................................. 95 3.4.2.1 Seguridad Lógica ........................................................................................................... 98

3.4.2.1.1 Identificación de Id ..................................................................................................... 98 3.4.2.1.2 Autenticación ............................................................................................................. 99 3.4.2.1.3 Password .................................................................................................................. 100 3.4.2.2 Seguridad en las Comunicaciones ............................................................................... 100 3.4.2.2.1 Topología de Red...................................................................................................... 100 3.4.2.2.2 Conexiones Externas ................................................................................................ 101 3.4.2.2.3 Configuración de la Red. .......................................................................................... 101 3.4.2.2.4 Correo....................................................................................................................... 101 3.4.2.2.5 Antivirus ................................................................................................................... 102 3.4.2.2.6 Firewall ..................................................................................................................... 102 3.4.2.2.7 Ataques a la red........................................................................................................ 103 3.4.2.3 Seguridad de las Aplicaciones ..................................................................................... 103 3.4.2.3.1 Software ................................................................................................................... 103 3.4.2.3.2 Base de Datos ........................................................................................................... 103 3.4.2.3.3 Software en las Computadoras ................................................................................ 104 3.4.2.3.4 Subida de Información ............................................................................................. 104 3.4.2.4 Seguridad Física ........................................................................................................... 105 3.4.2.4.1 Mantenimeinto ........................................................................................................ 105 3.4.2.4.2 Control de acceso físico al cuarto del servidor y oficinas. ....................................... 105 3.4.2.4.3 Control de acceso a equipos .................................................................................... 105 3.4.2.4.4 Dispositivos de Soporte ............................................................................................ 106 3.4.2.4.5 Estructura del Edificio .............................................................................................. 107 3.4.2.4.6 Cableado Estructurado ............................................................................................. 107 3.4.2.5 Administración del Centro de Servidores ................................................................... 107 3.4.2.5.1 Administración del Centro ....................................................................................... 107 3.4.2.5.2 Capacitación ............................................................................................................. 108

3.4.2.5.3 Backup ...................................................................................................................... 109 3.4.2.5.4 Documentación ........................................................................................................ 110 Conclusiones Generales .............................................................................................................. 111 Recomendaciones Generales ...................................................................................................... 111 BIBLIOGRAFÍA ...................................................................................................................................... 1 WEB GRAFIA ........................................................................................................................................ 2 ANEXOS ........................................................................................................................................... 3

INDICE DE CUADROS Y GRAFICOS IMAGEN 1 .......................................................................................................................................... 66

Cree usted que la información de los estudiantes esta almacenada de forma segura. IMAGEN 2 .......................................................................................................................................... 67

El tiempo que se requiere para entrega de documentos o certificados a los estudiantes es de. IMAGEN 3 .......................................................................................................................................... 68

A tenido problemas, referente a la perdida de documentos de los estudiantes IMAGEN 4 .......................................................................................................................................... 69

Las personas encargadas de la información de los estudiantes, brindan una atención ágil IMAGEN 5 .......................................................................................................................................... 70

Le gustaría tener la información digitalizada y respaldada IMAGEN 6 .......................................................................................................................................... 71

La documentación para: matriculas, pase se ciclo académico, son generados con seguridad y en el tiempo establecido. IMAGEN 7 .......................................................................................................................................... 72

El computador de trabajo que utiliza está protegido sobre ataques informáticos IMAGEN 8 .......................................................................................................................................... 73

Los respaldos de información personalizados los realiza cada: IMAGEN 9 .......................................................................................................................................... 74

El nivel de seguridad de la sala de archivo es: IMAGEN 10 ........................................................................................................................................ 75

Cree usted que el proceso administrativo mejore al contar con una metodología de seguridad de la información.

INDICE DE FIGURAS FIGURA 1. Sistema de Gestión de la Seguridad de la Información.............................................. 19 FIGURA 2. Fases de un ataque informático.................................................................................... 39 FIGURA 3. Cortafuegos .................................................................................................................... 46 FIGURA 4. Video Vigilancia ............................................................................................................. 49 FIGURA 5. Alarma ............................................................................................................................ 50 FIGURA 6. Identificador por medio de la mano............................................................................. 50 FIGURA 7. Reconocimiento Facial .................................................................................................. 51 FIGURA 8. Huellas dactilares .......................................................................................................... 51 FIGURA 9. Verificación por medio de la voz .................................................................................. 52 FIGURA 10. Verificación Ocular ...................................................................................................... 52 FIGURA 11. Funciones del Administrador, vista como proceso secuencial. ............................... 58 FIGURA 12. Funciones del Administrador, vista como proceso secuencial. ............................... 59 FIGURA 13. Funciones del Administrador, vista como un ciclo administrativo. ....................... 59 FIGURA 14. El proceso administrativo. .......................................................................................... 60 FIGURA 15. Orgánico de la Facultad.............................................................................................. 95

RESUMEN EJECUTIVO Las nuevas tecnológicas ha sido uno de los elementos claves para fortalecer el ámbito de la seguridad de la información y dado como resultado en muchas organizaciones que han implementado, trabajar de forma: segura, confidencial, integra, etc. Con el activo categorizado como más importante que es la información.

El presente trabajo de investigación se aplicó en la Universidad Estatal de Bolívar, específicamente en la Facultad de Ciencias de la Educación, Sociales, Filosóficas y Humanísticas, la misma que se encuentra situado en la zona urbana del Cantón Guaranda de la Provincia Bolívar, se realizó con el personal administrativo y autoridades que laboran en dicha Facultad.

La investigación a tratar surgió de la problemática ¿Cómo mejorar la seguridad de la información en la Facultad de Ciencias de la Educación de la Universidad Estatal de Bolívar; para gestionar el buen funcionamiento del proceso administrativo? Para establecer una solución acorde al problema encontrado, se estableció los objetivos de forma clara, detallada y alcanzables, así como la investigación se desarrolló mediante procedimientos y técnicas que permitan la obtención de los resultados esperados, pudiendo concluir que la investigación apoye a fortalecer la Seguridad de la Información y con esto mejorar el proceso Administrativo de la Facultad.

El Primer Capítulo conlleva el Marco Teórico el mismo que se fundamenta con la teoría científica mediante los contenidos recopilados en libros, folletos, páginas web, etc. Todo esto en base a las variables encontradas en el tema de investigación.

En el Segundo Capítulo se explica en forma detallada la metodológica e instrumentos que se utilizó en el trabajo de investigación como: Por Propósito, por el Nivel, por el Lugar, los Métodos adecuados, las técnicas e instrumentos como la encuesta, la entrevista y la forma de procesamiento de los datos recolectados. Además contiene el análisis e interpretación de resultados, donde se describe sobre los datos obtenidos de la aplicación de la entrevista y la encuesta.

El Tercer Capítulo se compone de la propuesta, es decir, lo que se va a desarrollar para mitigar el problema planteado. Aquí se describen los objetivos a alcanzar, el desarrollo de la propuesta, con su análisis de la situación actual y los componentes de hardware y software que se va implementar.

EXECUTIVE SUMMARY New technology has been one of the key elements to strengthen the field of information security and resulted in many organizations that have implemented such work: safe, confidential, integrates, etc. With active categorized as more important the information. This research was applied at the State University of Bolivar, specifically in the Faculty of Education, Social, Philosophical and Humanities, the same that is located in the urban area of Canton Guaranda of Bolívar Province, was performed with administrative staff and officials working in this Faculty. Research treat the problem arose How to improve information security in the Faculty of Education at the State University of Bolivar; to manage the smooth running of the administrative process? To establish a consistent solution to the problem encountered, objectives clear, detailed and achievable way was established, and the research was carried out by methods and techniques that will produce the expected results, concluding that research support to strengthen security Information and thereby improve the administrative process of the Faculty. The first chapter involves the theoretical framework that builds it with the scientific theory by contents on books, brochures, web pages, etc. All this based on the variables found in the research topic. In the second chapter explains in detail the methodology and instruments used in research such as: What Purpose, by level, by Location, appropriate methods, techniques and tools as surveys, interviews and way of processing the collected data. It also contains the analysis and interpretation of results, which describes on data obtained from the application of the interview and survey.

The Third Chapter is composed of the proposal, ie what is to be developed to mitigate the problem. This describes the objectives to be achieved, the development of the proposal, with its analysis of the current situation and the hardware and software to be implemented.

INTRODUCCIÓN Antecedentes de la investigación En años anteriores la forma como se almacenaba la información, era en bodegas repletas de archivadores y en ellos papeles de toda índole, teniendo como amenaza a los desastres naturales e inclusive al robo de esta valiosa documentación. Con el pasar de los años, dentro de la invasión tecnológica, y en nuestro caso con la aparición de los discos duros en los equipos computacionales, han servido de mucho como para almacenar grandes cantidades de información y ocupando un mínimo espacio físico. Pero ahora hay que resaltar el beneficio que se tiene al manejar información en formato digital, ya que nos brinda un entorno rápido y preciso para su análisis y transportación de un lugar a otro, pero también las desventajas que son representados por los riesgos que van creciendo en cuanto al robo o alteración de dicha información.

Según (Vallina, 2010), la información almacenada en el disco duro del ordenador está expuesta a diversos peligros que pueden conllevar su pérdida, en ocasiones irreparable: es posible que el disco duro falle físicamente o que la información quede corrupta y se vuelva ilegible; o que el ordenador sufra un robo, o que en el local en el que se encuentra haya un incendio o una inundación, que probablemente harán que la información almacenada sea irrecuperable. O también puede ocurrir, simplemente, que por error (o intencionalmente) un usuario del sistema borre una parte de la información almacenada en el disco duro del ordenador.

Para evitar esta clase de percances, es absolutamente indispensable efectuar copias de seguridad, copias de respaldo o backups que permitan restablecer la información original en caso de que esta se pierda o se dañe. 1

Según (Fisher, 1984), la dirección ha sido lenta en reconocer el dato como el principal recurso. Si lo vemos en su estado fragmentado, el dato parece ser absurdo y completamente inofensivo. Visto en conjunto como una base de datos establecida, puede constituir uno de los más críticos activos de la empresa.

En la actualidad al escuchar sobre la información que se maneja en las diferentes organizaciones y dando el valor correspondiente a ella, podemos caer en consideración de que es unos de los bienes más valiosos, es por esta razón, que se debe dar la mayor garantía en cuanto a Integridad, Confidencialidad y Disponibilidad, utilizando varios métodos, planes, reglas que ayuden a llevar a cabo esta gestión.

Según (AreitioBertolín, 2008), la tendencia, cada vez más dominante, hacia la interconectividad y la interoperabilidad de las redes, de las máquinas de computación, de las aplicaciones, e incluso, de las empresas, ha situado a la seguridad de los sistemas información como un elemento central en todo el desarrollo de la sociedad.

La seguridad de la información tiene como pilares fundamentales una buena arquitectura tecnológica implementada, en cuanto a firewalls, validación de usuarios, sistemas contra intrusos, etc., pero eso no es todo, además se debe tener en cuenta a las personas encargadas del manejo del sistema de información debido a que por un descuido pueden dejar abierto el sistema o quizá las claves de acceso al sistema anotadas en un papel.

Cuando hablamos de la seguridad de la información, muchas empresas u organizaciones lo hacen implementado tecnología para impedir el acceso de intrusos 2

o personas no deseadas a nuestra red o sistema de información, pero hay que considerar que también los ataques a la información pueden ser desde el interior, o sea por medio del personal que labora internamente, empleados insatisfechos, usuarios curiosos, etc. Los que nos lleva a la conclusión que se deben tomar en consideración lineamientos internos y externos al momento de implementar seguridad a la información.

Los virus informáticos son sin duda, uno de los dolores de cabeza más grandes que existen en la actualidad al momento de querer dar un soporte a la seguridad de la información ya que con el pasar del tiempo van apareciendo uno tras otro y los entendidos en la materia lo que hacen es seguir creando nuevos programas, protocolos y equipos que puedan brindar cada vez mayor seguridad. Todo esto es una carrera de nunca terminar.

En la actualidad las organizaciones a nivel mundial y del Ecuador, implementan mecanismos de seguridad de la información, con el fin de tener datos fiables, veraces, disponibles y dejando de lado los posibles ingresos a nuestras bases de datos por personas no autorizadas, que podrán realizar procesos en cuanto a borrado o modificaciones de registros.

Actualmente en el Ecuador, y dentro de este las organizaciones de toda índole se han visto favorecidas con la implementación de tic’s., que a la final son de gran ayuda para gestionar los procesos internos y uno de ellos es la de poder almacenar grandes cantidades de información de forma segura, pudiendo ser estos, tanto de los procesos administrativos como estudiantiles. En la institución donde se desea implantar esta metodología de dar aseguramiento a la información es con el fin de poder gestionar que la información este de manera confiable, disponible, brindar un espacio físico y 3

lógico, que tengan acceso únicamente las personas involucradas en la organización, etc. Planteamiento del problema.

La documentación que se maneja en toda organización es de vital importancia, es por esta razón que se debe asignar la mayor atención en cuanto a la seguridad de la misma, es decir, nos encontramos en una situación de absoluta vulnerabilidad en cuanto a los ataques informáticos. Con la aparición e implementación de las tic’s en el campo ocupacional administrativo y haciendo referencias a aquellas que nos facilitan y aseguran la confidencialidad de la información, sería un error que los administradores que dirigen dichas organizaciones no le den la pertinencia necesaria, y estén trabajando o en funcionamiento sin ningún mecanismo que puede brindar la debida seguridad de la información. En la Facultad de Ciencias de la Educación de la Universidad Estatal de Bolívar no se cuenta con los mecanismo o procesos adecuados para dar la protección necesaria a la información, lo que ha conllevado, está falta de procesos sobre las personas que laboran con cargo administrativo a tener un porcentaje significativamente alto con respecto a la falta de confiabilidad en los datos, archivos que se manejan internamente. Hoy en día los ataques informáticos a las organizaciones, y más aún en la cual se está realizando la investigación, hacen reflejar el poco interés que demuestran al momento de adquirir o implementar tecnología que ayude a la protección de la información, dando como resultado a que los Hackers o Crackers puedan tener acceso fácil y sencillo.

4

Se puede citar además que nadie está libre de un siniestro natural o provocado y es el caso de la institución educativa, Facultad de Ciencia de la Educación de la Universidad Estatal de Bolívar en la cual se está llevando la investigación, por tal razón, estamos vulnerables a los incendios, inundaciones o quizá robos de las computadoras donde se encuentran de manera única almacenada la información.

ÁRBOL DE PROBLEMAS

Escaso aprovechamiento de la información como herramienta efectiva debido a la poca relación teoría –práctica.

Falta de una adecuada planificación informativa en la gestión administrativa.

Talentos Humanos sin el conocimiento de la importancia real de la información, y desaprovechamiento de las técnicas y métodos utilizados en otras instancias que denotan calidad en sus procesos.

Ausencia de objetivos en la realización de las actividades para mejorar la gestión administrativa.

Deficiencia en la formación de habilidades, destrezas y desempeño del Talento Humano con sustento en procesos de información.

Falta de utilización de las experiencias de los directivos, como aporte en el desarrollo de las actividades de gestión administrativa.

¿ Cómo optimizar el aseguramiento de la información en la Facultad de

Ciencias de la Educación de la Universidad Estatal de Bolívar; para mejorar el funcionamiento del proceso administrativo?

Ausencia de información en la gestión administrativa.

Poca concordancia de los directivos de la Facultad en el desenvolvimiento adecuado y participativo con información relevante en lo administrativo

Desconocimiento en la Facultad sobre el grado de satisfacción de disponer información en los procesos administrativos.

Falta de iniciativa informativa y desarrollo de habilidades en la ejecución de las tareas administrativas.

5

Falta de un adecuado control y evaluación de la información en todo proceso administrativo en la Facultad.

Poco involucramiento de autoridades y docentes en la difusión de la importancia de la información

Formulación del problema ¿Cómo mejorar la seguridad de la información en la Facultad de Ciencias de la Educación de la Universidad Estatal de Bolívar; para gestionar el buen funcionamiento del proceso administrativo?

Delimitación del problema El objeto de estudio se lo hará en la Facultad de Ciencias de la Educación, Sociales, Filosóficas y Humanísticas de la Universidad Estatal de Bolívar, ubicado en la Av. Ernesto “Che” Guevara y Gabriel Ignacio Secaira, sector Alpachaca de la Parroquia Urbana de Guanujo del cantón Guaranda, Provincia Bolívar. El tiempo destinado para el desarrollo del presente trabajo de investigación comprende un período anual correspondiente al año 2013. Objeto de Investigación del campo de acción  Objeto de Estudio Tecnologías de Información y Comunicación.  Campo de Acción Seguridad de la Información. Identificación de la línea de investigación Tecnologías de información y Comunicaciones. Objetivos Objetivo General Proponer una metodología para la seguridad de la información en la Facultad de Ciencias de la Educación de la Universidad Estatal de Bolívar, que contribuya a mejorar el funcionamiento de los procesos administrativos. 6

Objetivos Específicos  Fundamentar teóricamente las posibles causas de riesgo que amenacen la seguridad de la información de la organización para el diseño de una metodología confiable.  Identificar las vulnerabilidades con respecto a la seguridad de la información en la Facultad de Ciencias de la Educación de la Universidad Estatal de Bolívar.  Diseñar una metodología que permita mejorar la seguridad de la información y así mejorar el funcionamiento administrativo de la Facultad Ciencias de la Educación de la Universidad Estatal de Bolívar.  Validar la Propuesta en base a criterio de expertos.

Idea a defender Con la implementación de la metodología para la seguridad de la información en la Facultad de Ciencias de la Educación de la Universidad Estatal de Bolívar, se contribuirá en mejorar el funcionamiento del proceso administrativo, ya que se podrá digitalizar los oficios, actas, resoluciones, etc. que la facultad genera, además cabe recalcar que se le brindará la seguridad informática pertinente, para evitar el ingreso a este tipo de información por parte de personas ajenas al proceso administrativo. Justificación del tema Son innumerables las actividades que se desarrollan de manera cotidiana en cualquier país, si estos son desarrollados son por tanto mayor la complejidad de las tareas que deben cumplirse, ello depende indiscutiblemente de la mayor o menor medida de sistemas y redes informáticas que existan. Nos referimos a países de continentes como el europeo, del americano (en particular del Norte), de los asiáticos y en un menor grado proporcional a Centro América y al final del Sur.

7

Existen muchos servicios críticos dentro de las sociedades entre los que podemos citar: servicios financieros, para controlar la producción en serie, dotación del suministro de energía eléctrica, de distribución y transformación, de medios de transporte, control del tráfico aéreo, control de vías terrestres y marítimas, la sanidad (en sus especies de faenamiento), en el área educativa a través de la formación virtual, en la gestión administrativa para controlar procesos de tramitación en sus servicios de preparación, formación y de especialización. Esto demanda de una seguridad en la información para que no trastoquen disposiciones emitidas.

A nivel de Ecuador, nos hemos visto abocados a las famosas interceptaciones de llamadas, o lo que es conocido como espionaje telefónico y hoy en día los hackeadores que visitan nuestros correos personales.

En la Facultad de Ciencias de la Educación de la Universidad Estatal de Bolívar al no disponerse de estos dispositivos de seguridad o al menos de un trabajo de investigación que divulgue la importancia de contar con seguridad a todo el proceso administrativo como fuente básica de apoyo a lo académico, la investigación y la vinculación con la colectividad, espera convertirse en una herramienta de gestión. Breve explicación de la metodología investigativa a emplear Metodología Por el propósito: Aplicada.- La presente investigación será de tipo aplicada, ya que tiene como finalidad incursionar en la utilización de una metodología que permita dar a conocer los pasos o elementos tecnológicos importantes que puedan contribuir para dar mejor seguridad a la información que se maneja en la Facultad de Ciencias de la Educación de la Universidad Estatal de Bolívar. 8

Por el Nivel de estudio: Exploratorio.- Este tipo de investigación nos permitirá alcanzar conocimientos muy significativos sobre la seguridad de la información, ya que si bien es cierto se conoce de elementos tecnológicos que pueden contribuir a controlar o disminuir esta problemática, pero no existe una adecuada metodología que pueda ser aplicada a la institución, dando como resultado la originalidad de la investigación. Descriptiva.- La investigación es descriptiva por las razones que se pretende analizar y documentar los beneficios y aportaciones que presenta la tecnología al momento de hablar sobre la implementación de soluciones tanto de hardware y de software para la presente investigación. Explicativa.- Será explicativa por el hecho que se investigará las causas por la cuales se debe aplicar la metodología de seguridad de la información. Por la Fuente y el lugar Bibliográfica.- La investigación llevará parte de libros, documentos y publicaciones que ayuden a formular soluciones sobre este fenómeno como es la seguridad de la información. De campo.- La presente investigación contará con el apoyo de las autoridades de la facultad, así como la del personal administrativo, en el sentido de encuestas

y

entrevistas, para determinar la situación actual y los beneficios tecnológicos que pudieran ser implementados, además se puede recalcar que la investigación se realiza en el lugar mismo donde se encontró la problemática Métodos Científico.- Que permitirá desde la observación visualizar formas que se aplican en la gestión administrativa en el campo de estudio para irla evaluando y formar proposiciones que sean traducidas en propuestas de mejoramiento continuo.

9

Histórico – Lógico.- Para obtener información relevante desde la constitución de la Facultad y sus procesos administrativos. Inductivo – Deductivo.- Que permita analizar desde las partes hasta llegar al todo y viceversa. Resumen de la estructura de la tesis Capítulo I.- En el capítulo uno se fundamentara los aspectos referentes a Seguridad de la Información y a los procesos administrativos de la organización basándose en investigaciones y normas internacionales, las cuales conducen al conocimiento de las diferentes actividades y herramientas a ser utilizadas dentro de la seguridad de los sistemas de información ya que se podría aprovechar de sus ventajas que presentan al ser implantadas Capítulo II.- En el presente capítulo se hace referencia a la metodología de investigación, el cálculo de la muestra con la que se va a trabajar para el levantamiento de la información, la herramienta utilizada para levantar las opiniones del personal que labora en la Facultad de Ciencias de la Educación de la Universidad Estatal de Bolívar y las representaciones gráficas de las opiniones, así como el análisis respectivo. Capitulo III.- Aquí se describe las herramientas que se puedan implantar, configuración y el funcionamiento adecuado de las mismas, las cuales permitirán alcanzar la seguridad de los sistemas de información que se manejan en la organización educativa.

10

Elementos de novedad, aporte teórico y significación práctica Aporte teórico La presente propuesta de investigación hace referencia a una metodología, que se deberían implementar en las organizaciones con la única y más importante que es el aseguramiento de la información mediante diferentes métodos o dispositivos. Ya que hoy en día la información que se maneja en las organizaciones es quizá el pasivo más importante con el que se cuenta, además de analizar los avances tecnológicos y personal suficientemente capacitado como para poder infiltrarse y poder causar daño en cuanto ha borrado, robo de datos, etc. Mediante la metodología a desarrollar se pretende dar unas guías o medidas de seguridad de la información. Significación práctica La metodología propuesta puede ser aplicada en las diferentes organizaciones y más aún en la Facultad de Ciencias de la Educación de la Universidad Estatal de Bolívar por parte de la las autoridades que se encuentran al frente de la administración y puesta en uso por los administradores o gestores de procesos, con la finalidad de tener información segura y disponible cuando se lo necesite por medio de la implementación de tecnología apropiada para conseguir este objetivo. Novedad La novedad es el desarrollo de una metodología que permita la implementación de tecnología apropiada para dar seguridad a la información que se maneja dentro de la Facultad de Ciencias de la Educación de la Universidad Estatal de Bolívar, facultando así a las personas que laboran en esta entidad a tener confianza al momento de trabajar con dicha información.

11

Con la implementación de esta metodología e implementos tecnológicos se dará protección a la información y a la vez protegiendo de posibles amenazas contra ataques.

12

CAPITULO I 1. MARCO TEORICO 1.1 Seguridad de la Información 1.1.1 Seguridad La seguridad se la define como la confianza o veracidad de algo que puede existir o simplemente a la no existencia de algún tipo de riesgo. 1.1.1.1 Tipos de Seguridad  Activa.- son las medidas que toda organización debe considerar para impedir daños, mitigar o desaparecer amenazas y/o riesgos al sistema, lograr esto mediante la validación de usuarios,

pudiendo

instalación anti-virus, la

encriptación, etc.  Pasiva.- se refiere a las medidas o acciones que podemos tomar para poder restaurar el sistema, luego de haber sido víctima de un ataque informático. 1.1.1.2 Propiedades del Sistema Informático Seguro Pueden ser:  Fortuito.- se los catalogan a errores causados de forma no intencional por parte del personal que labora en la organización (usuarios),

también se

encuentran inmersos los desastres naturales.  Fraudulento.- se puede decir que son los daños provocados por medio de los usuarios internos y externos a la organización, algún tipo de virus informático e incluso puede ser el robo de información. Según

(Aguilera, 2010), se considera seguro un sistema que cumple con las

propiedades de integridad, confidencialidad y disponibilidad de la información. Cada 13

una de estas propiedades conlleva la implantación de determinados servicios y mecanismos de seguridad.  Integridad.- Cuando se tiene la certeza de que la información no ha sido alterada o destruida por personas no autorizadas.  Confidencialidad.- Tendrán acceso a la información únicamente personal autorizado.  Disponibilidad.- La información esté al alcance de personas autorizadas cuando ellos la necesiten. 1.1.2 La información Se define como ciertos datos selectos que representan la salida o producto de un sistema y que tienen sentido o significado para el usuario de dicho sistema. 1.1.2.1 La Seguridad de la Información. Según

(Aguilera, 2010), es la disciplina que se ocupa de diseñar las normas,

procedimientos, métodos y técnicas destinadas a conseguir un sistema de información seguro y confiable. Según (Gómez Vieites, 2007), describe a la seguridad informática como cualquier medida que impida la ejecución de operaciones no autorizadas sobre un sistema o red informática, cuyos efectos puedan conllevar daños sobre la información, comprometer su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al sistema. Al analizar estas definiciones podemos puntualizar y decir que la seguridad informatica establece una guía o norma para proteger la infraestructura computacional, es decir, software, hardware e información; de personas que no esten autorizadas y inclusive proteger de los desastres naturales que pudieran presentarse.

14

1.1.2.2 Importancia de la seguridad de la información dentro de la organización. Si realizamos un análisis tiempo atrás nos podemos dar cuenta que muchas organizaciones y hasta entidades públicas de países supuestamente adelantados tecnológicamente hablando, han sufrido de ataques informáticos: entre ellos, en el 2010 Operación Aurora un robo de inteligencia que irrumpía contra la propiedad intelectual, 1994, Citibank fue víctima de un caso de malversación de fondos, etc.; es por esta razón la importancia que se le debe asignar a la seguridad informática. El robo de información, contraseñas de los sistemas, venta de información a otras organizaciones son algunos de los problemas que puedan enfrentar las organizaciones, si no le dedica la atención y tiempo necesario a su seguridad informática. Mantener la información siempre a disposición e integra para los usuarios que cuenten con los permisos de acceso, es un objetivo que debe alcanzar toda organización, dejando de lado los costos económicos que esto pueda conllevar, ya que si se analiza al momento de sufrir un ataque informático las perdidas pueden llegar a ser mayores. Hoy en día el activo más importante es la información, catalogado así por varias personas y organizaciones; debido a esto no se puede dejar de lado a la seguridad de la información o lo que esto implica para poder llegar a tener integridad, confidencialidad y disponibilidad de la información. Lo que se pretende lograr en todas las organizaciones es concientizar la importancia que se le debe asignar a la seguridad de la información, y por medio de está: gestionando los riegos, de tal forma que se puedan identificar problemas y amenazas para luego mitigarlas o minimizarlas. Al tener implementado un sistema de seguridad informática contamos con una serie de ventajas por ejemplo seguridad de la información en el sentido de copias de seguridad (backup), control de acceso de usuarios, criptografía, etc. Podemos citar como referencia la rapidez con la que volvieron a poner en marcha sus actividades 15

económicas las empresas y organizaciones con sede en las famosas Torres Gemelas en los Estados Unidos, las cuales fueron destruidas el 11 de Septiembre del 2011, todo esto debido a la seguridad informática con la que trabajan. 1.1.2.3 Norma ISO 27001 : 2013. 1.1.2.3.1 ISO (International Organization for Standardization), cuya sede se encuentra en Suiza, fue creada el 23 de febrero de 1947, es un organismo no gubernamental, encargada de establecer normas o estándares internacionales de productos, comunicación, seguridad, etc. Para las organizaciones o empresas IEC (International Electrotechnical Commission) 1.1.2.3.2 Norma ISO 27000 es un conjunto de normas creadas por ISO e IEC que indican estándares mínimos que deben cumplir los Sistemas de Gestión de Seguridad de la Información (SGSI) de las organizaciones, públicas o privadas, grandes o pequeñas. Dicha norma se basa en la implementación del ciclo PDCA (Planificar-HacerControlar-Actuar);

Los rangos de numeración reservados por ISO van de 27000 a 27019

y de 27030 a 27044 1.1.2.3.3 Beneficios de la Norma ISO 27000  Control del impacto de los riesgos, que en caso de presencia de amenazas no puedan representar perdidas económicas a la organización, al implementar la seguridad efectiva de los sistemas de información, por medio de la planificación y gestión de la seguridad.  Mejora la credibilidad, confianza en la organización, lo que faculta a reducir posibles problemas con los usuarios, administradores, etc.  Cumplimiento con normas establecidas y reconocidas a nivel internacional, lo que permite marcar la diferencia con otras organizaciones.

16

 Ordenamiento de la organización, en cuanto a saber y conocer las responsabilidades y obligaciones de las personas encargadas de los sistemas de información.  Tener disponibles los controles y procedimientos para tratar el aseguramiento de la información.  Por medio del PDCA, asegura la mejora continua de la seguridad de la organización. “1.1.2.3.4 Modelo del Sistema de Gestión de la Seguridad de la Información (SGSI) ISO 27001 1.1.2.3.4.1 Principios Del texto de la norma ISO 27001 pueden extraerse los siguientes elementos como principios básicos del modelo:  Importancia de la Información.- La información es un activo vital para el éxito y la continuidad en el marcado de cualquier organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización.  Enfoque de Sistemas.- Para la adecuada gestión de la Seguridad de la Información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documental y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización. El concepto básico que sustenta el SGSI es, por supuesto, el de seguridad de la información. Aunque es un concepto difícil de precisar por todos los elementos que implica, generalmente se acepta que son tres los componentes de la seguridad de la información: confidencialidad, integridad y disponibilidad. 17

 Confidencialidad.- Asegurar que la información es accesible solo a las personas que están autorizadas para tener acceso.  Integridad.- Salvaguardar de la precisión y totalidad de la información y los métodos de procesamiento.  Disponibilidad.- Asegurar que los usuarios autorizados tienen acceso a la información y los activos asociados. 1.1.2.3.4.2 Estructura del Modelo La planificación se inicia con la definición del alcance del SGSI, determinando las áreas o procesos de la organización en los que se va a aplicar el sistema. Generalmente se eligen las áreas más críticas o vulnerables en materia de gestión de la información. Luego de definido el alcance, se debe formular y divulgar una política de gestión de la seguridad de la información, que establezca los lineamentos generales que la organización debe tener en cuenta frente a los riesgos de la información, considerando en ellos los requisitos legales, contractuales y propios de la empresa. El eje central de la planificación del SGSI consiste en identificar los riesgos de la información, en relación con las posibles amenazas y los puntos vulnerables de la organización en cuanto a la confiabilidad, seguridad y disponibilidad de la información. A partir de la identificación de estos riesgos, y de su análisis y valoración, se definirán los planes de control o tratamiento del riesgo, que pretenden llevarlo hasta un nivel aceptable o mejorable por la entidad. La implementación se fundamenta en poner en práctica estos planes de control o tratamiento del riesgo. Incluye tambien la documentación y la aplicación de los procedimiento necesarios para aplicar tales controles, así como la formación y la concienciación de los empleados respecto a la seguridad de la información y de los controles que se han de aplicar. Un elemento importante es el de definir e implemntar planes de detección y respuesta ante incidentes de seguridad de la información, para 18

reducir el impacto que tales incidentes puedan tener en la operación de la organización. La fase de verificación incluye la medición del desempeño del SGSI, la evaluación de los riegos y la eficacia de los controles implementados, la realización de auditorias internas al sistema y la revisión del mismo por parte de la dirección. De estas acciones se desprende el mejoramiento, que incluye la actualización de los planes de seguridad y la definición e implementación de las acciones correctivas y preventivas a que haya lugar 1.1.2.3.4.3 Representación gráfica del modelo del Sistema de Gestión de la Seguridad de la Información (SGSI).

” FIGURA 1. Sistema de Gestión de la Seguridad de la Información Fuente. Obtenida de: Según (Atehortúa Hurtado, Bustamante Vélez, & Valencia de los Ríos, 2008)

19

1.1.2.3.5 Análisis Norma ISO 27000 Según (Avellaneda, 2013), realiza en siguiente análisis: “Tras unos días de vigencia de la nueva ISO 27001:2013 y tras haber realizado ya una lectura más reposada y meditada del nuevo estándar y los cambios introducidos solo puedo decir que esta me gusta mucho el texto de esta versión y que ahora está “mejor enfocada” hacia la valoración del funcionamiento del SGSI (Sistema de Gestión de la Seguridad de la Información) por los resultados operativos relacionados con el cumplimiento de los objetivos de seguridad. Uno empieza con las buenas sensaciones desde el comienzo cuando ya en la cláusula 0 de forma explícita se inicia diciendo que “La adopción de un SGSI es una decisión estratégica de la Organización”. Esta generalización de la seguridad como un proceso relevante en la consecución de los objetivos de negocio de toda Organización se confirma cuando se indica que la misión del SGSI es preservar la integridad, disponibilidad y confidencialidad de la información aplicando un proceso de gestión del riesgo y generando confianza a las partes interesadas de que los riesgos son adecuadamente manejados. En un mundo donde cada vez más la gestión TI es externalizada o delegadas ciertas partes a sistemas que no son propiedad de la organización, es necesario al menos tener identificados los riesgos y garantizar sobre todo que a pesar de eso, podemos proporcionar protección de información a “nuestras partes interesadas” (clientes y los propios departamentos de la Organización). Voy a continuación a comentar mis impresiones sobre cada una de las cláusulas que forman el cuerpo de la norma tal como indica ahora explícitamente en el apartado Alcance de la cláusula 1. En cualquier caso, el gran cambio estructural de esta norma es que ya emplea el Anexo SL de ISO/IEC y que las definiciones de términos se vinculan a la ISO 27000. También aspectos específicos como la medición o las metodologías de análisis y gestión del riesgo se enlazan con las normas ya existentes de la serie ISO 27000. 20

Cláusula 4. Contexto de la organización. Esta cláusula está centrada en identificar quienes son los clientes o beneficiarios del SGSI. Para ello, la organización se debe plantear diferentes puntos de vista desde los que ver el porqué de las necesidades de seguridad y cuáles son los requisitos a garantizar. Todo ello se concreta en las siguientes subcláusulas.

Entender la organización y su contexto.

Para todo SGSI es vital entender nuestro modelo de negocio y nuestro entorno. Considerar todo aquello que puede condicionar el lograr los resultados de nuestro SGSI.

Entender las necesidades y expectativas de las partes interesadas.

También es crítico identificar quienes son nuestras partes interesadas internas y cuáles son sus necesidades respecto a la seguridad. En este sentido el alcance del SGSI puede o no cubrir todos los procesos de negocio de la Organización y en el caso de ser sólo una parte, tendrá como partes interesadas a otras áreas que serán “clientes” de la seguridad.

Determinar el alcance del SGSI.

Con todas las reflexiones anteriores en esta cláusula se determina la creación del primero de los documentos que constituyen el SGSI, “el alcance del sistema”. Se deben

21

establecer los límites del SGSI en el alcance que tiene que ser expresado en términos de: a) Asuntos internos y externos considerados en 4.1 b) Requisitos identificados de esas necesidades. c) Interfaces y dependencias entre las actividades realizada por la organización y las que son realizadas por otras organizaciones. Liderazgo. Esta cláusula reúne los requisitos para garantizar que la puesta en marcha del SGSI efectivamente es un proceso estratégico y establece las directrices de gestión de alto nivel que deben motivar el funcionamiento del sistema.

Liderazgo y compromiso.

La alta dirección debe demostrar liderazgo y compromiso con el SGSI sobre todo de las siguientes formas: a) Asegurando que los objetivos se establecen y son compatibles con la dirección estratégica de la organización. b) Garantizando que sí que se integra el SGSI con los procesos de la organización y proporcionando los recursos necesarios. c) Asegurando que el SGSI logra los resultados esperados. Como podemos ver, en este apartado ya se empieza a ver uno de los cimientos del SGSI, que los resultados muestren que se alcanzan los objetivos.

22

Política. En esta cláusula se formaliza ese compromiso de la Dirección obligando a documentar el segundo de los documentos que constituyen el SGSI, “la política de seguridad”. En esta reordenación de la norma, la política cobra una vital importancia al ser ahora una subcláusula del Liderazgo y al explicitar de forma clara los contenidos mínimos que su redacción debe cubrir. Al menos, debe establecer directrices de gestión respecto a: a) Ser adecuada al propósito de la organización. b) Incluir objetivos o proporcionar un marco para establecerlos. c) Incluir compromisos de satisfacer los requisitos aplicables y garantizar la mejora continua. Roles de la organización, responsabilidades y autoridad. La componente organizativa tampoco se descuida y todos los miembros activos que forman parte del funcionamiento del SGSI deben tener asignadas unas claras tareas y responsabilidades. Las tareas del SGSI se estratifican a diferentes niveles del organigrama y habrá personal más vinculado con la gestión del propio sistema y el soporte de los procesos propios como el control de la documentación, la mejora continua o la medición y otro personal más centrado en las tareas operativas de administración y operación de las medidas de seguridad que implantan controles del anexo A. Para todos ellos, en esta cláusula se determina que: A) Se deben asignar responsabilidades y autoridad para garantizar que el SGSI es conforme al estándar. B) Informar a la dirección del rendimiento del SGSI. Planificación Esta cláusula secuencia los pasos para la creación del SGSI en donde es una tarea clave y principal para la toma de decisiones el proceso de identificación y análisis del riesgo. 23

Acciones para dirigir los riesgos y oportunidades. En la nueva redacción, la planificación del SGSI está condicionada por los objetivos propios de la Organización, los requisitos identificados en la cláusula 4 y el propio análisis de los riesgos. La organización debe planificar el SGSI para determinar los riesgos y oportunidades que le permita: A) Asegurar que el SGSI logra los resultados. B) Prevenir o reducir los efectos no deseados. C) Lograr la mejora continua. De nuevo vemos la importancia de lograr el cumplimiento de las metas como un factor determinante para valorar la salud del SGSI. En relación al proceso de identificación y análisis del riesgo destacan los siguientes aspectos: a) Se deben identificar los riesgos estimando las posibles pérdidas potenciales de confidencialidad, integridad y disponibilidad dentro del alcance del SGSI. b) Identificar los propietarios de dichos riesgos. Esto es una importante novedad dado que en muchos casos, los riesgos del área TI pueden no tener ya como dueño al personal de tecnología si como impacto acumulado afecta a procesos de negocio. Es decir, si quien sufre las consecuencias ante determinada amenaza es un área de la organización, el dueño del riesgo será el responsable de dicha área aunque para su mitigación deba contar con la ayuda del área técnica que mejore la robustez u operatividad de un determinado servicio TI. c) Analizar las potenciales consecuencias en el caso de que los riesgos se materializaran ya determinan unas probabilidades realistas definiendo unos niveles de riesgo.

24

d) Evaluar los riesgos identificados comparando los resultados obtenidos con los criterios de nivel de riesgo aceptable preestablecidos. e) Priorizar en un plan las acciones a realizar para reconducir la situación. En relación al proceso de tratamiento del riesgo destacan los siguientes aspectos en relación al contenido del plan: a) Seleccionar la opción del riesgo más adecuada (Aceptar, reducir, evitar o transferir). b) Determinar que controles son necesarios según las opciones de riesgo establecidas. c) Comparar esos controles con los del anexo A para no olvidar ni omitir ninguno. d) Realizar una declaración de aplicabilidad e) Elaborar una planificación de implantación. f) Obtener de los propietarios del riesgo una aprobación formal de los niveles de riesgo residuales, es decir, contar con el visto bueno de todos aquellos responsables que podrían tener problemas de seguridad respecto del conjunto de acciones que se quieren poner en marcha para que las consideren “suficientes” o para que decidan incluir más mecanismos de protección. Objetivos y planes para lograrlos. Este apartado es otro de los cambios sustanciales de esta nueva versión. Se dedica una subcláusula entera a la formalización de objetivos. En este sentido, la organización deberá establecer objetivos según funciones y niveles de forma que sean coherentes con la política de seguridad, sean medibles, tengan en cuenta los requisitos y necesidades del SGSI así como los resultados del análisis de riesgos. Para estos objetivos se deberá determinar:  Que se tendrá que lograr  Que recursos serán necesarios  Quién será responsable del seguimiento del objetivo 25

 Cuando se darán por logrados  Cómo se medirán los resultados. Se refuerza un apartado de vital importancia y que actualmente en muchos casos no era adecuadamente tratado en muchos SGSI. El funcionamiento del SGSI debe estar guiado por un cuadro general de indicadores que verifican el estado de situación de los objetivos y nos indican su cumplimiento, su tendencia y los márgenes de reacción cuando las cosas no vayan bien. Soporte Esta cláusula establece qué medios serán necesarios en la puesta en marcha del SGSI. En este sentido además de identificar las necesidades materiales se insiste también en la importancia de las personas y de sus capacidades técnicas siendo necesaria la formación y la concienciación para garantizar que son las adecuadas. Además se especifican los requisitos generales que debe garantizar el sistema en relación a la documentación que forma parte del mismo y al proceso de gestión respecto a los cambios o actualizaciones necesarios para ir manteniéndolo vigente. Recursos. Cómo es obvio, una decisión estratégica de este calado debe contar con los recursos necesarios para lograr el buen funcionamiento del SGSI. Los ajustes presupuestarios podrán influir en las posibles inversiones a realizar y condicionarán el “apetito de riesgo” de la organización pero en cualquier caso, siempre hay unos mínimos que habrá que asumir como son la dedicación del personal que vigila y opera el SGSI.

26

Competencias. En relación al factor humano, el equipo de personas que de soporte al SGSI debe tener un adecuado nivel de conocimiento o disponer de los recursos para hacer que los logren. Además debe quedar evidencia de este proceso de capacitación. Concienciación. El personal que trabaja dentro del alcance del SGSI también debe ser consciente de la política de seguridad, de su contribución a la efectividad del sistema y de sus implicaciones en la resolución de no conformidades. Comunicación. Este apartado formaliza las vías de comunicación dentro del SGSI y determina que deberán identificarse las necesidades internas y externas en materia de comunicación sobre la seguridad de la información estableciendo: A) Que debe comunicar. B) Cuando debe hacerse. C) A quien debe hacerse. D) Quien comunicará. E) Como la comunicación será transportada o que medios se utilizarán. Estos aspectos son extremadamente relevantes cuando ocurren incidentes de seguridad donde la agilidad de los procesos de notificación puede minimizar el tiempo de respuesta y reducir los posibles daños.

27

Documentación. En esta subcláusula se definen los requisitos generales para el control de la documentación del sistema. Cabe destacar que en esta versión se introduce como novedad que sea el criterio de la propia organización el que establezca sus propias necesidades de documentación siempre que ello garantice la efectividad del sistema. En cualquier caso, hay unos mínimos formalizados que son exigidos por las propias cláusulas del estándar que tendrán que estar formalizados. Los factores que pueden condicionar el nivel de documentación podrían ser: a) Su tamaño, tipo de actividades, productos y servicios. b) La complejidad de sus procesos y sus interacciones. c) La competencia de las personas. En líneas generales, el proceso de gestión de documentación no cambia mucho respecto a los requisitos anteriores. Se tiene que la documentación: A) Se identifica y describe. B) Identifica el formato y el medio. C) Es revisada para mantenerla en vigor y actualizada.

La documentación requerida por el SGSI deberá estar controlada para asegurar: A) Está accesible y adecuada para su uso cuándo y dónde sea necesario. B) Está adecuadamente protegida. C) Se controlan los cambios. D) Se garantizan los periodos de retención y conservación.

28

Además deberá definirse como se gestiona el ciclo de vida de la documentación: Creación, distribución, acceso, uso, almacenamiento y destrucción. La documentación de origen externo que se determine necesaria para la planificación y operación del SGSI deberá también ser identificada, apropiada y controlada. Operación. Esta cláusula determina cómo se garantiza el funcionamiento del SGSI una vez ha completado su fase de construcción y entra en los diferentes ciclos PDCA (PlanificarHacer-Controlar-Actuar) en años sucesivos.

Planificación operativa y control. Para ello, en esta subcláusula se determina que la organización deberá planificar, implementar y controlar los procesos necesarios para garantizar los requisitos e implementar las acciones necesarias para la gestión del riesgo (6.1). La organización deberá implementar los planes para alcanzar los objetivos de seguridad propuestos (6.2). La organización mantendrá registro para tener la necesaria confianza de que los procesos del SGSI siguen siendo bien gestionados según lo planificado o debe modificar controles planificados y revisar las consecuencias de los cambios no intencionados para mitigar cualquier efecto adverso cuando sea necesario. La organización deberá asegurar que los procesos externalizados están definidos y controlados. Análisis del riesgo. El análisis de riesgos es un proceso recurrente que debe ajustar las decisiones de la organización o plantear cambiar el “apetito de riesgo” según se vayan logrando 29

resultados que manifiesten el control de los riesgos que se están ya gestionando. Para ello, debe realizarse el proceso de identificación del riesgo a intervalos planificados o cuando se planteen u ocurran cambios significativos, tomando acciones según los criterios de aceptación del riesgo (6.1.2.a) Tratamiento del riesgo. La organización estará implantando el plan de tratamiento del riesgo. Conforme se logren ciertos hitos, se irán modificando los criterios de aceptación del riesgo y eso provocará que año tras año los planes se vayan también actualizando para reflejar la nueva toma de decisiones. Por tanto, la gestión de la seguridad implica la ejecución continuada del plan de tratamiento que año tras año se debe también revisar. Evaluación del rendimiento. Este es otro de los apartados más importantes de este reenfoque de la gestión hacia la búsqueda de resultados. Si en la cláusula 6.2 Objetivos hemos definido cuales son los beneficios esperados del funcionamiento del SGSI, en esta cláusula 9 se establece cómo se analizará si dichos objetivos se están o no cumpliendo. Monitorización, medición, análisis y evaluación. Para que la organización pueda evaluar el rendimiento y la efectividad del SGSI, se tiene que concretar y determinar: A) Que necesita ser monitorizando y medido, incluyendo los procesos de seguridad y controles. B) Los métodos para monitorizar, medir, analizar y evaluar, cuando sea aplicable, para asegurar unos resultados adecuados. C) Cuando las monitorizaciones y mediciones deberán ser realizadas. D) Quién deberá monitorizar y medir.

30

E) Cuando los resultados de la monitorización y medición deberán ser analizados y evaluados (rangos de normalidad y anomalía) F) Quien analizara y evaluara estos resultados. Auditoría interna. Otra de las actividades fundamentales dentro del proceso de retroalimentación y control de todo sistema es la actividad de verificación o chequeo. En este caso, corresponde al proceso de gestión de la auditoría interna. La norma determina que la organización deberá realizar auditorías internas a intervalos planificados para obtener información sobre el funcionamiento del SGSI en relación a: A) Es conforme con: 1. Los requisitos propios de la organización para el SGSI. 2. Los requisitos del estándar. B) Está eficientemente implantado y mantenido. De nuevo se debe valorar el logro de los resultados esperados. Para ello, se debe planificar, establecer, implementar y mantener un programa de auditoría, incluyendo la frecuencia de las mismas, los métodos, responsabilidades, requisitos de planificación e informes. De este proceso es esencial asegurar que los resultados se reportan a la dirección aunque ello se consigue en el proceso de Revisión por Dirección al considerar la auditoría como una de las entradas a dicho proceso. Revisión por Dirección. Como resultado de las actividades de análisis de la gestión (Monitorización, medición y auditoría interna) debe llegar la fase de toma de decisiones o de realización de ajustes.

31

En todo ciclo de control de sistemas, las desviaciones son gestionadas modificando los criterios de control para lograr que cambien las cosas y que las salidas sean las esperadas. En este proceso de gestión del SGSI, la alta dirección deberá revisar el SGSI a intervalos planificados para asegurar su continúa adecuación, vigencia y efectividad. En este caso, la revisión por la dirección deberá considerar como entradas: A) El estado de las acciones de anteriores revisiones. B) Cambios en asuntos internos o externos que sean relevantes para el SGSI. C) Retroalimentación del rendimiento de la seguridad de la información, incluyendo estadísticas sobre: a. No conformidades y acciones correctivas. b. Medición de la monitorización y la medición de resultados c. Resultados de las auditorías, d. Cumplimiento de los objetivos de seguridad. D) Retroalimentación de las partes interesadas. E) Resultados del análisis de riesgos y del estado del plan de tratamiento. F) Oportunidades de mejora continua. La salida de la revisión de la dirección deberá incluir las decisiones relativas a las oportunidades de mejora continua y las necesidades de cambios del SGSI.

Mejora Esta es el proceso de ajuste o de control de desviaciones del SGSI donde las cosas que no funcionan de forma adecuada son documentadas para aplicar acciones de corrección que mitiguen tanto las consecuencias directas como las causas que las ocasionan.

32

No conformidad y acción correctiva. Esta subcláusula ahora está más claramente descrita y formaliza mejor el proceso de gestión de no conformidades y acciones correctivas indicando como requisitos que cuando una no conformidad se identifique habrá que: A) Reaccionar contra la no conformidad y cuando sea aplicable: a. Tomar acciones para controlar y corregirla, y b. Tratar con sus consecuencias. B) Evaluar las necesidades de acciones para eliminar las causas de la no conformidad con el objetivo de que no se repita u ocurra de nuevo, mediante: c. Revisando la no conformidad. d. Determinando las causas de la no conformidad. e. Determinando si existen similares no conformidad es o si potencialmente podrían ocurrir. C) Implementar la acción necesaria. D) Revisar la efectividad de las acciones correctivas tomadas E) Hacer cambios en el SGSI si fueran necesarios. Las acciones correctivas deberán ser adecuadas para los efectos de las no conformidades encontradas. Mejora continua Como filosofía general del ciclo de Deming o PDCA, esta subcláusula determina que el propósito fundamental de la organización deberá ser el mejorar de forma continua la vigencia, adecuación y efectividad del SGSI, es decir, año tras año debe buscarse el consolidar las cosas que se hacen bien, mejorar las que no funcionan o plantearse nuevos controles para seguir reduciendo niveles de riesgo y los umbrales de aceptación de los mismos.

33

1.2 Factor humano en la seguridad informática. Las personas pueden llegar a ser el factor más débil dentro de la organización al momento de hablar de seguridad informática debido a que no logran cumplir las disposiciones que les han sido impartidas como por ejemplo la instalación del algún software malicioso que cause entradas a la red o más aún la divulgación de información interna. La seguridad informática no solo depende de las tecnologías implementadas en la organización, pudiendo ser esta de última generación, también juega un papel muy importante el talento humano, debido que directa o indirectamente puede causar inestabilidad al correcto funcionamiento organizacional. Existe un porcentaje considerable de personas que laboran en las organizaciones que hacen uso excesivo de determinados servicios del internet, ejemplos: Redes sociales como lo son Twiter, Facebook, etc.; Mensajería instantánea como Yahoo Messenger, Hotmail Messenger, Descarga de archivos de lugares no confiables, etc. Lo que ha dado como resultado en la pérdida de productividad, el incremento de virus computacionales y con ellos estar expuestos a los ataques informáticos, lo que hace más vulnerable a los sistemas de información. En conclusión, el talento humano es uno de los pilares fundamentales para lograr alcanzar las metas expuestas en la implementación de la seguridad informática, en tal virtud se debe hacer conocer y concientizar a dichas personas sobre la importancia de la seguridad de la información, el uso de los servicios de internet: riegos y consecuencias para la organización. 1.2.1 Capacitación a usuarios sobre la importancia de la Seguridad Informática Las personas que laboran en las organizaciones deberán ser informados oportuna y continuamente de sus funciones y responsabilidades respecto al manejo de los sistemas de información que les han sido asignados de forma personal y de forma conjunta. 34

Hay temas que se debe socializar con los empleados, administrativos y directivos de las organizaciones:  El uso de servicios que ofrece internet (mensajería, redes sociales, correo electrónico,

descargas

de

archivos de

sitios

desconocidos), riesgos,

consecuencias, beneficios, etc.  Virus informáticos (formas de contagio, formas de mitigarlos, formas de detección, etc.)  Obligaciones y responsabilidades, marco legal, como miembro en cualquiera de sus funciones dentro de la organización.  Manejo de equipos y sistemas de información con los que cuenta la organización y sus formas e reportar anomalías en caso de presentarse. Todo esto para lograr la aceptación firme respecto al trabajo a desarrollar y su influencia positiva en el logro de los objetivos trazados en la seguridad informática. 1.2.2 Seguimiento a los empleados, administradores y directivos de la organización. Para un mayor control de los usuarios que trabajan en la organización y hacen uso de varios servicios de internet, los mismo que retrasen la normal producción, podemos realizar acciones para impedir y controlar dichas acciones, todo esto con miras a la mejora de la seguridad informática, por ejemplo configuración del archivo hosts, configuración de los navegadores de internet instalados, instalación y configuración de un paquete informático. Cabe señalar que también existen paquetes para el control de tráfico de red.

35

1.3 Amenazas, Riegos, Vulnerabilidades, Ataques 1.3.1 Amenazas Se considera amenazas a personas, equipos o eventos que atenten contra la estabilidad y buen funcionamiento del sistema de información, entre las amenazas más comunes podemos citar: fallos de energía eléctrica, errores de los usuarios intencionados y no intencionados, ingreso de virus, hurto, modificación e incluso borrado de información. 1.3.1.1 Clasificación de las amenazas  De interrupción.- Para no permitir el acceso a la información  De interceptación.- Utilizando distintos medios, pueden absorber información confidencial de la organización.  De modificación.- A más de acceder a información confidencial, pueden realizar cambios o alteraciones de información.  De fabricación.- Cuando alteran la información del sistema. Por su origen las amenazas de clasifican en:  Accidentales.- Son considerados a los sucesos que ocurren sin planificación alguna, por ejemplo: desastres naturales, fallos del sistema operativo, fallo de conectividad, errores humanos.  Intencionales.- Son hechos o sucesos planificados por seres humanos propios o ajenos a la organización, por ejemplo: introducción de virus informático, robos o alteración de información, introducción de información falsa, etc.

36

1.3.2 Riesgos Los riesgos son problemas de cualquier índole que se pueden presentar, afectando el talento humano, tecnología, infraestructura, en fin afecta al buen funcionamiento organizacional. 1.3.2.1 Análisis de riesgos Según (Avellaneda, 2013), término que hace referencia al proceso necesario para responder a tres cuestiones básicas de la seguridad de una organización, que es saber qué queremos proteger, contra quién o qué se quiere proteger y cómo lo vamos hacer. En un proceso consistente en identificar los peligros que afectan a la seguridad, determinar su magnitud e identificar las áreas que necesitan salvaguardas Según (Aguilera, 2010), a la hora de dotar de seguridad a un sistema de información, hay que tener en cuenta todos los elementos que lo componen, analizar el nivel de vulnerabilidad de cada uno de ellos ante determinadas amenazas y valorar el impacto que un ataque causaría sobre todo el sistema. Como interpretación personal se puede argumentar que el análisis de riesgos es un estudio, de todas las partes que cuenta la organización, valorar su vulnerabilidad frente algún ataque malicioso o caso fortuito, valorar el nivel de importancia y saber del mecanismo o procedimiento necesario como para mantenerlo seguro. 1.3.2.2 Tipos de análisis de los riesgos  Cualitativo.- No siempre se podrá cuantificar los riegos, entonces se debe evaluar las situaciones que se considere en riesgo. Para ello podremos utilizar frases como por ejemplo: muy riesgoso, poco riesgoso; riesgo alto, riesgo bajo; etc.

37

 Cuantitativo.- Se trata de asignar una ponderación numérica a los posibles riegos con que cuente la organización, basándose en información levantada mediante reuniones con personas pertinentes, o mediante la experiencia. 1.3.2.3 Activos en riesgo.  Hardware.- Corresponde a servidores, terminales, las cuales se utilizan para albergar las aplicaciones, el almacenamiento de la información. Además dentro de este grupo se citar a módems, routers, espacios wi-fi.  Software.- Son los sistemas operativos, sistemas de aplicación que se encuentran instalados en los servidores y terminales, para el tratamiento de la información.  Redes.- Están representados por los equipos que ayudan a recibir y transmitir información desde la Lan hacia afuera  Información.- Considerado el activo más importante de toda organización.  Personas o equipos de trabajo.- Son los administradores, secretarias, personal interno y externo de la organización, los mismo que hacen uso de los sistemas de información.  Instalaciones.- Son aquellos lugares donde se encuentran los equipos de cómputo y de más dispositivos, es decir, son las oficinas, locales, edificios con lo que cuenta la organización  Servicios.- Es la razón de la organización, lo que se ofrece a los usuarios o clientes: un producto o servicio. 1.3.3 Vulnerabilidades Las vulnerabilidades van de la mano con las amenazas, las vulnerabilidades son las partes o áreas que presentan cierta debilidad respecto a la seguridad informática, las 38

mismas que pueden ser aprovechadas para causar daño o inestabilidad en el buen funcionamiento de la organización. 1.3.4 Ataques Los ataques son considerados como la consolidación de alguna amenaza que atente contra la estabilidad de la organización. Los ataques pueden ser:  Activos.- Los ataques activos son los que realizan cambios, incrementan e incluso borran información, además pueden hacer que sus canales de comunicación colapsen.  Pasivos.- Este tipo de ataque se refiere al ingreso a los sistemas de información, sin contar con los permisos necesarios. 1.3.4.1 Fases de un ataque informático

FIGURA 2. Fases de un ataque informático Fuente. Obtenida de: https://www.evilfingers.com/publications/white_AR/01_Ataques_informaticos.pdf

39

Según (Mieres, 2009), describe las fases de la siguiente manera:  Fase 1: Reconnaissance (Reconocimiento).- Esta etapa involucra la obtención de información (Information Gathering) con respecto a una potencial víctima que puede ser una persona u organización.  Fase 2: Scanning (Exploración).- En esta segunda etapa se utiliza la información obtenida en la fase 1 para sondear el blanco y tratar de obtener información sobre el sistema víctima como direcciones IP, nombres de host, datos de autenticación, entre otros.  Fase 3: Gaining Access (Obtener acceso).- En esta instancia comienza a materializarse el ataque a través de la explotación de las vulnerabilidades y defectos del sistema (Flaw exploitation) descubiertos durante las fases de reconocimiento y exploración.  Fase 4: Maintaining Access (Mantener el acceso).- Una vez que el atacante ha conseguido acceder al sistema, buscará implantar herramientas que le permitan volver a acceder en el futuro desde cualquier lugar donde tenga acceso a Internet.  Fase 5: Covering Tracks (Borrar huellas).- Una vez que el atacante logró obtener y mantener el acceso al sistema, intentará borrar todas las huellas que fue dejando durante la intrusión para evitar ser detectado por el profesional de seguridad o los administradores de la red. En consecuencia, buscará eliminar los archivos de registro (log) o alarmas del Sistema de Detección de Intrusos (IDS). 1.4 Esquema lógico sobre política de seguridad en un sistema de información Según (Aguilera, 2010), dice: 1. Hacer inventario y valoración de los activos.

40

2. Identificar y valorar las amenazas que puedan afectar a la seguridad de los activos. 3. Identificar y evaluar las medidas de seguridad existentes. 4. Identificar y valorar las vulnerabilidades de los activos a las amenazas que les afectan. 5. Identificar los objetivos de seguridad de la organización. 6. Determinar sistemas de medición de riesgos. 7. Determinar el impacto que produciría un ataque. 8. Identificar y seleccionar las medidas de protección. 1.4.1 Servicios para la Seguridad de los Sistemas de Información  Integridad.- Se considera a un sistema de información con característica de integridad, cuando se asegura que la información recibida no ha sido modificada por personas o entidades ajenas al sistema.  Confidencialidad.- Se trata sobre la privacidad de la información, negando el acceso a la misma, a personas o programas no autorizados.  Disponibilidad.- Los usuarios autorizados pueden acceder al sistema de información con la frecuencia que ellos lo requieran.  Autenticación.- Proceso que sirve para conocer si un usuario es quién dice ser al momento de ingresar a un sitio web o aplicación de escritorio.  No repudio.- Consiste en aceptar la responsabilidad

sobre procesos de:

generar o recibir información.  Control de Acceso.- Sirve para conceder permisos de ingreso a usuarios autorizados a los sistemas de información. 41

1.4.2 Mecanismo para la seguridad de los Sistemas de Información Los mecanismos para la seguridad de los Sistemas de Información o también llamados herramientas de seguridad, son aquellos que brindan protección a los activos de la organización resguardando así su estabilidad y buen funcionamiento. Los mecanismos de seguridad se pueden clasificar en:  Mecanismos preventivos.- Como su nombre lo indica, sirven para prevenir la consolidación de un ataque informático.  Mecanismos detectores.- son aquellos que permiten detectar las amenazas antes de que estas se consoliden.  Mecanismos correctivos.- son mecanismos encargados de arreglar los daños causados por el ataque informático sufrido.  Mecanismos disuasivos.- son mecanismos que sirven para desanimar las acciones que conllevan a cometer un ataque informático. 1.4.2.1. Seguridad Lógica La seguridad lógica realiza acciones de protección de los sistemas de información, programas, es decir, el software con el que se cuenta en la organización, a más de esto protege uno de los activos más importantes, que es la información y su acceso respectivo por parte de usuarios autorizados. Para esto podemos citar algunos mecanismos de seguridad lógica, los cuales se describen a continuación:  Control de Acceso.- Se refiere al mecanismo de autenticación de usuario, en cuanto al ingreso del nombre de usuario y clave para tener acceso al sistema de información.  Password Seguro.- Las contraseñas generadas y utilizadas deberían cumplir ciertos aspectos para decir que tienen algún grado de seguridad, para lo cual se describen las siguientes características: 42

 Deben contener una longitud de no menos de 8 caracteres, siendo lo recomendado mínimo 14.  Combinar la contraseña con letras, números, símbolos e incluso la utilización de la barra espaciadora, ya que con la misma se pueden concatenar palabras y formar fases lo que haría más fácil de recordar y más difícil de adivinar.  Una contraseña no puede ser una secuencia o una cadena repetitiva, por ejempo: abcdef, 123456, 444444.  Evite utilizar palabras conocidas como contraseñas, ejemplo: nombres, apellidos, números de cédula, color favorito, fechas de nacimiento, etc.  Evite utilizar la misma contraseña en diferentes entornos, debido a que si logran descifrar en un entorno, estaría quedando en peligro el resto de la información.  Criptografía.- Según (Gómez Vieites, 2007) dice, “la criptografía es la ciencia que se encarga de estudiar las distintas técnicas empleadas para transformar (“encriptar” o “cifrar”) la información y hacerla irreconocible a todos aquellos usuarios no autorizados de un sistema informático, de modo que sólo los legítimos propietarios puedan recuperar (“desencriptar” o “decifrar”) la información original. El término “Criptografía” proviene del griego “kriptos” (oculto) y “grafos” (escritura), por lo que significa etimológicamente el “arte de escribir de un modo secreto o enigmático. Mediante la criptografía es posible garantizar la confidencialidad, la integridad y la autenticidad de los mensajes y documentos guardados en un sistema o red informática.”

43

Métodos de Encriptación  Algoritmo Hash.- Es un algoritmo criptográfico para generar claves o llaves que representan a documentos. La función hash reduce la cantidad de bits del documento a una longitud fija, dando como resultado un valor hash, el mismo que hace difícil

interpretar el

contenido del documento a partir de dicho valor hash.  Algoritmos Simétricos.- Utiliza clave, la misma que sirve para encriptar y desencriptar un documento, además se puede mencionar que dicha clave debe viajar en el mismo paquete que los datos, lo que conlleva a que la comunicación se torne un poco arriesgada.  Algoritmos Asimétricos.- También conocidos como sistemas de clave pública, se caracteriza por usar una clave para encriptar y otra clave para desencriptar. Se puede garantizar que las claves solo se generan una vez. La clave para desencriptar la podrá tener únicamente la persona a la cual le llega el mensaje, ya que con misma podrá acceder y ver el contenido del mensaje.  Antivirus.- Son los encargados de descubrir e impedir el ingreso de virus al sistema. En el caso de que el sistema ha sido infectado, el antivirus tiene la capacidad de eliminar y corregir los daños causados por el virus. Virus.- Son programas desarrollados en diferentes lenguajes de programación: Ensamblador, C, C++, Visual Basic, Java, VBScript, JavaScript, etc.; que ingresan al sistema informático por medio de dispositivos de almacenamiento, redes de datos o del Internet, de forma no autorizada, con el objetivo de causar daño e inestabilidad informática. A continuación veremos la descripción de los virus más populares:  Virus de sector de arranque.- Son los que cambian el sector de arranque original, están ubicados en los disquetes o disco duro. Cuando inicia el 44

sistema, este arranca con el virus de sector de arranque, lo que produce la toma de control del computador.  Virus de MS-DOS.- Tienen extensión .com y .exe, afectan de tal manera que los archivos se hacen más grandes en cuanto a tamaño lo que conlleva además hacer lento el funcionamiento del sistema.  Virus de Windows.- Pueden infectar archivos, controladores o drivers y demás archivos del Sistema Operativo, causando daños parecidos al virus de MS-DOS, el incremento de tamaño de los archivos e incluso genera instrucciones o tareas que se ejecutan sin que el usuario tenga conocimiento, estas tareas se la puede ver ingresando al administrador de tareas.  Virus de Lenguaje Java.- Esta clase de virus afectan a software desarrollado en lenguaje de programación java.  Troyanos.- También conocido como caballo de troya, es un programa aparentemente útil e inofensivo, pero al ser ejecutado por el usuario puede suceder acciones no esperadas como acceso remoto.  Rootkit.- Es un software que permite a los intrusos informáticos acceder al sistema de información, además de no ser detectados dentro del sistema.  Gusanos.- Es un tipo de virus que se reproduce por mismo y puede infectar a otras computadoras a través de la red ya que viaja por medio de ella.  Bacterias.- Son programas maliciosos que se multiplican dentro del sistema, lo que hace consumir memoria y procesador para hacer lento el funcionamiento de la computadora.  Bombas Lógicas.- Son programas dañinos que se ocultan a su vez en otros programas útiles para el sistema y el usuario. Estos se activan en determinadas condiciones o circunstancias. 45

 Hoaxes.- No son considerados como virus. Se propagan mediante el internet, a través de correo electrónico que da a conocer sobre un nuevo virus muy peligroso pero en realidad esto es una broma ya que esto es una información falsa.  Jokes.- Al igual como los hoax, son considerados como bromas. El objetivo de estos es hacer pensar al usuario que si equipo ha sido infectado con un virus muy peligroso, pero en realidad esto no es verdad.  Cortafuegos.- También llamado firewall en inglés, pudiendo ser estos tanto de Software como de Hardware. Permite proteger a una computadora o conjunto de ellas, bloqueando el acceso no autorizado desde la red al hacia el equipo informático.

FIGURA 3. Cortafuegos Fuente. Obtenida de: http://windows.microsoft.com/es-419/windows/what-is-firewall#1TC=windows-7

Tipos de Cortafuegos  Nivel de aplicación de pasarela.- Proporciona seguridad a ciertas aplicaciones Ftp, Telnet, etc. El sistema se transforma seguro, pero el uso de aplicaciones se tora cerrado.

46

 Circuito a nivel de pasarela.- La seguridad está en torno a las comunicaciones establecidas mediante los protocolos TCP y UDP  De capa de red o filtrado de paquetes.- Como su nombre lo indica este cortafuegos trabaja a nivel de la capa de red de los modelos OSI y TCP/IP. Permitiendo el paso de los paquetes de datos solo aquellos que hayan sido validados, pudiendo ser esta validación por medio de la IP origen y destino, dirección MAC.  De capa de aplicación.- Este tipo de cortafuego puede hacer el filtrado mediante la url a la que se desee ingresar.  Personal.- Es un software que se instala en el computador personal con la finalidad de mantener el equipo informático seguro a salvo de virus o ingreso de personas no autorizadas por medio de la red.  Firma Digital.- Es un mecanismo que emplea criptografía, que permite dar seguridad al mensaje

firmado digitalmente en cuanto a autenticidad e

integridad. El receptor puede asegurar que el mensaje no ha sufrido alteraciones o cambios.  Redes Inalámbricas.- este tipo de redes wifi requieren de las siguientes mecanismos de protección: Según (Aguilera, 2010) dice:  “Usar un SSID (Service Set Identifier), es decir, darle un nombre a la red, preferiblemente uno que no llame la atención de terceros que detecten esta red entre las disponibles. Cambiar con cierta frecuencia SSID.  Protección de la red mediante claves encriptadas WEP (Wired Equivalent Privacy) ó WPA (Wifi Protected Access). La clave WEP consume más recursos y es fácilmente descifrable que la WAP y debería cambiarse con frecuencia. La WPA es de encriptación dinámica y mucha 47

más segura al ser más difícil de descifrar. Cambiar periódicamente la contraseña de acceso a la red.  Filtrado de direcciones MAC (Media Access Control). Es un mecanismo de acceso al sistema mediante hardware, por el que se admiten solo determinadas direcciones, teniendo en cuenta que cada tarjeta de red tiene una dirección MAC única en el mundo. Puede resultar engorroso de configurar y no es infalible puesto que es posible disfrazar la dirección MAC real.” 1.4.3 Seguridad Física  Respaldo de Información.- También conocido como backup, a más de la seguridad lógica que se debe dar a los sistemas de información, es necesario plantear un plan sobre copias de seguridad de la información. Los mismos que son de mucha utilidad al momento de presentar un fallo en el sistema, parcial o total, para ser reconstruidos o implantados nuevamente los archivos afectados. Cabe recalcar que estas copias de seguridad deberán ser almacenadas en lugares distintos y seguros.  Control de Acceso.- Los lugares como oficinas, laboratorios, cuarto de servidores, etc. de la organización deben contar con diferentes filtros de seguridad con el fin de permitir o no el ingreso solo a usuarios autorizados. Este control de puede realizar mediante la implantación de equipamiento tecnológico como puede ser: tarjetas magnéticas, video vigilancia, tele vigilancia.

48

FIGURA 4. Video Vigilancia Fuente. Obtenida de: http://totem.com.ec/blog/wp-content/uploads/2013/09/1281977567_70202348_1-Fotos-de-Camarasde-Seguridad-Instalacion-y-Configuracion-1281977567.jpg

Las personas que están a cargo de la vigilancia son los responsables del control de acceso de las personas a los distintos lugares de la organización. Para el ingreso de las personas ajenas a la organización se procederá a solicitar información como puede ser nombres completos, cédula de identidad, motivo de la visita, hora de ingreso y salida. Mediante la utilización de las credenciales o tarjetas de identificación con pin único (código registrad en la base de datos), se podrá llevar a cabo el control de acceso de personas autorizadas a los distintos sectores de la organización, por otro lado podemos mencionar la desventaja, que sería la pérdida o robo de dicha tarjeta.  Alarmas.- Es un dispositivo electrónico que emana un ruido, si el usuario una vez dentro de las instalaciones de la organización no ingresa el código de desbloqueo (el usuario dispone de una cierta cantidad de segundos para desbloquear la alarma).

49

FIGURA 5. Alarma Fuente. Obtenida de: http://www.taringa.net/posts/noticias/15017484/Sistemas-de-alarmas-para-casas-tipos-yfuncionameinto.html

 Identificación Mediante la Mano.- Es uno de los sistemas que ayudan a controlar el acceso de usuarios a las instalaciones de la organización, consiste en capturar la imagen del entramado de las venas de la palma de la mano, para luego ser almacenada y solo aquellos usuarios registrados tendrán acceso de ingreso.

FIGURA 6. Identificador por medio de la mano Fuente. Obtenida de: http://es.engadget.com/2011/06/02/fujitsu-presenta-su-lector-biometrico-de-palmas-yhuellas-dactil/

 Reconocimiento Facial.- Es un sistema basado en rasgos del rostro, funciona mediante la ubicación de puntos sobre la imagen y midiendo las distancia que existe entre estos puntos. El acceso se otorga tomando una foto al usuario y comparándola con la que se tiene registrada. Esta forma de seguridad de acceso no es muy fiable por los posibles errores que se han presentado: el paso de los años de los usuarios, prótesis falsas del rostro, etc. 50

FIGURA 7. Reconocimiento Facial Fuente. Obtenida de: http://www.diegoguerrero.info/tag/reconocimiento-facial/

 Huellas Dactilares.- Permite reconocer usuarios mediante las huellas dactilares, es uno de los sistemas para control de acceso más utilizado debido a su bajo costo de implementación.

FIGURA 8. Huellas dactilares Fuente. Obtenida de: http://contenido.com.mx/2015/03/cuanto-sabes-de-las-huellas-digitales/

 Verificación de la voz.- La persona emite una o varias frases para ser grabada y para tener acceso se realiza comparación de la voz. Entre las desventajas al usar este tipo de control se puede citar los sonidos externos, enfermedades que afecten la generación de la voz, estado de ánimo, etc. 51

FIGURA 9. Verificación por medio de la voz Fuente. Obtenida de: http://www.avs4you.com/es/guides/How-to-record-voice-over-an-audio-track-using-AVS-AudioEditor.aspx

 Verificación de patrones oculares.- En la actualidad son los considerados con mayor eficacia, este tipo de control usa los patrones del iris o la retina.

FIGURA 10. Verificación Ocular Fuente. Obtenida de: http://www.latinoseguridad.com/LatinoSeguridad/Reps/PatOc1.shtml

 Verificación automática de firmas 1.4.4 Quienes amenazan al sistema de información 1.4.4.1 Hackers.- Son personas con amplios conocimientos en lenguajes de programación, redes de comunicación de datos, sistemas operativos, etc. Dichas habilidades las utilizan para acceder a sistemas de información sin la autorización correspondiente. Estas actividades o procesos las realizan para demostrar su capacidad e inteligencia pero sin ánimos de causar daño a los sistemas de información, es decir, estos procesos los consideran como retos técnicos. 52

1.4.4.2 Crackers.- Al igual que los Hackers tienen amplio conocimientos en cada una de las ramas de la informática, con la diferencia que ellos si realizan ataques a los sistemas de información, pudiendo ser estos, con fines lucrativos, políticos, etc. 1.4.4.3 Sniffers.- Son personas que utilizan diferentes procesos para descifrar contenidos de mensajes que son enviados a través de la red de datos. 1.4.4.4 Phreakers.- Son personas especializadas en instalar centrales telefónicas clandestinas, para poder hacer llamadas de forma gratuita. 1.4.4.5 Spammers.- Son personas que envían miles de correos electrónicos no deseados a través del internet, provocando así la inestabilidad en el funcionamiento de los servidores de correo, en algunos casos estos correos no deseados pueden ser virus informáticos 1.4.4.6 Phishing.- Realiza acciones de estafas por medio del internet. 1.4.4.7 Piratas Informáticos.- Son los que realizan hackeos de claves o formas de instalar software privativo, infringiendo así con la ley de propiedad intelectual. 1.4.4.8 Personal Interno.- Son personas que trabajan en la organización pero puede causar daño al funcionamiento de los sistemas de información de manera voluntaria o involuntaria. 1.4.4.9 Ex empleados.- Son personas que han dejado de trabajar en la organización y que por olvido o descuido por parte del o de los administradores del sistema no han eliminado o bloqueado las cuentas de usuarios de estas personas, permitiendo así el ingreso de forma normal, sin poder descartar el daño a los sistemas de información. 1.4.4.10 Intrusos Pagados.- Son expertos conocedores del área de informática, los mismos que son contratados por personas ajenas a la organización para causar daño alguno (robo, borrado o cambios en la información).

53

1.5 La Administración 1.5.1 Administración.- Según dice (Chiavenato, 1999): La palabra administración viene del latín ad (dirección, tendencia) y minister (subordinación u obediencia), y significa cumplimiento de una función bajo el mando de otro, esto es, prestación de un servicio a otro. Sin embargo, el significado original de esta palabra sufrió una radical transformación. La tarea actual de la administración es interpre-tar los objetivos propuestos por la organización y transformarlos en acción organizacional a través de la planeación, la organización, la dirección y el control de todas las actividades realizadas en las áreas y niveles de la empresa, con el fin de alcanzar tales objetivos de la manera más adecuada a la situación. Por consiguiente, administración es el proceso de planear, organizar, dirigir y controlar el uso de los recursos para lograr los objetivos 1.5.2 Tipos de Administración 1.5.2.1 Administración Pública El Dr. Aníbal Guzmán Lara, sostiene que "La Administración Pública es la acción del gobierno encaminada en forma ordenada y técnica al cumplimiento y aplicación de leyes y reglamentos, a promover el bien público en todas sus manifestaciones, económica, de seguridad, de protección, de integridad territorial, educación, vialidad, etc., como a dar resoluciones oportunas a las reclamaciones y peticiones que se susciten o presentaren". Se argumenta también que es un "conjunto de órganos e instituciones jerárquica o funcionalmente subordinados y coordinados de acuerdo con la Ley, que tiene como misión constitucional el asegurar las prestaciones públicas necesarias para el desarrollo de la vida en común". Se define también como la "Actividad del Estado, encaminada al cumplimiento de las leyes y fomento de los intereses públicos. Para realizar tales fines dispone de órganos centrales, provinciales y locales". 54

En el escenario jurídico, "El Derecho proporciona, a la administración, la estructura jurídica indispensable para que cualquier organismo social pueda ser administrado. La administración, a su vez da al Derecho la eficacia jurídica de sus normas, sobre toda aquellas que directamente tienden a la organización de la sociedad". "Lo que importa principalmente al Derecho son los derechos; a la Administración de los resultados; el Derecho a la liberta y la seguridad, en tanto que la Administración fomenta la eficacia y rapidez y el estancamiento. La Administración Pública es un proceso técnico-jurídico por las siguientes razones:  La planificación.- es una guía para la ejecución de obras y el primer paso obligatorio para futuras acciones constructivas del Estado;  La Organización.- determina que los servidores asuman funciones, responsabilidades, decisiones y la ejecución de actividades; y se ponga en orden a las personas y cosas;  La Dirección.- orienta, ejecuta, manda y ordena y vigila las actividades hacia el cumplimiento de los fines, responsabilidades, decisiones y la ejecución de actividades; y se ponga en orden a las personas y cosas;  La Coordinación.- armoniza y establece en forma clara y delimitada las atribuciones y deberes que corresponde a cada servidor en sus puestos de trabajo, engranando los recursos y adecuando las cosas para el logro de los objetivos de la organización;  El Control.- permite registrar, inspeccionar y verificar la ejecución del plan capaz de que pueda comprobarse los resultados obtenidos de los programados y tomar medidas conducentes para asegurar la realización de los objetivos; y,  La Evaluación.- nos conduce a descubrir debilidades y fortalezas de la administración; demostrar los grados de responsabilidad de los funcion arios y empleados en el cumplimiento de sus tareas, medir interpretar y analizar sus 55

resultados sobre el plan de trabajo con el objeto de eliminar errores y obstáculos y adoptar medidas adecuadas para el futuro. 1.5.2.2 Administración Privada Hoy por hoy la administración privada es una rama importante de la ciencia administrativa, los nuevos enfoques administrativos han ido reforzando la idea de que, para que exista una administración eficiente tiene que adaptarse a una organización "tipo" que sea competitiva. Los modelo organizacionales son más adaptables a una administración privada que a una pública. Podemos decir entonces que la empresa privada es un componente necesario del desarrollo sostenible y participa activamente en tratar de atenuar la pobreza. La empresa privada constituye un sistema de vida del mundo capitalista, amparada en la consagración del derecho de propiedad, incluida en la mayoría de las enmiendas constitucionales de las naciones. Su fin esencial es generar beneficio económico, porque es éste el que asegura su permanencia y crecimiento, así como la dignificación del hombre por su constante deseo de superación y por ese medio servir a la comunidad local y al país. Ambos objetivos - el directo y el indirecto - están íntimamente relacionados y son inseparables. Pero, ¿se cumplen? Sería un error considerar que la finalidad empresarial tiene un carácter estrictamente materialista y exclusivo, de lograr beneficios económicos prescindiendo de los otros propósitos. Sin desmerecer lo que define y sustenta a las características de la empresa privada, es interesante recalcar que dentro de todas ellas están señaladas prioritariamente el riesgo y el cambio, porque el nesgo es inherente a los negocios y justifica la generación de utilidades; el cambio tanto existe para las organizaciones como para los productos y para las estructuras internas, puesto que el cambio desafía los supuestos con los que 56

operan las personas y organizaciones, divididas éstas en un conjunto de hábitos, creencias y prácticas que forman parte de cualquier sociedad. Esencialmente prima en esta pequeña explicación lo que concierne al interés ya sea grupal o individual, y el interés tiene que ver con todo aquello que despierte beneficio o ganancia que garantice el manejo del poder para quién lo ostenta ya sea para una persona, un grupo o un conglomerado empresarial de origen privado.

1.5.2.3 Administración Mixta Intervienen capitales del Estado del sector empresarial (o privado), para identificar objetivos en común en beneficio de la población; pueden constituirse para la prestación de servicios, la producción de bienes, u otro tipo de manufacturas. En este tipo de administración debe prevalecer un documento contractual, pues en el caso de Ecuador, acogerse a lo dispuesto por la Ley de Compañías que establece el tipo de Cía., Mixta. Los intereses son más grupales debido a que deben recuperar la inversión para continuar ofertando sus bienes, productos y/o servicios. 1.5.3 Proceso Administrativo Según

(Chiavenato, 1999) dice, “Las diversas funciones del administrador, en

conjunto, conforman el proceso administrativo. Por ejemplo, planeación, organización, dirección y control consideradas por separado, constituyen las funciones administrativas; cuando se toman como una totalidad para conseguir objetivos, conforman el proceso administrativo”. Todo fenómeno, operación o tratamiento que presente cambios continuos en el tiempo se denomina proceso. El concepto de proceso implica que los acontecimientos 57

y las relaciones sean dinámicos, estén en evolución y en cambio permanente y sean continuos. El proceso no puede ser inmutable, estático, es móvil, no tiene comienzo ni final, ni secuencia fija de acontecimientos. Los elementos de los procesos actúan entre sí; cada uno de ellos afecta a los demás. Una función administrativa no es una entidad aislada, sino una parte integral de un conjunto mayor constituido por varias funciones que se relacionan entre sí, así como con todo el conjunto. El todo así considerado es mayor que la suma de las partes. El proceso administrativo es dinámico sólo cuando el concepto de función se aborda desde esta perspectiva.

PLANIFICACIÓN

ORGANIZACIÓN

DIRECCIÓN

CONTROL FIGURA 11. Funciones del Administrador, vista como proceso secuencial. Fuente. Obtenida de: (Chiavenato, 1999)

Cada una de las funciones administrativas, denominadas por Henry Fayol como elementos de la administración, repercute en lo siguiente y determina su desarrollo así: 58

PLANIFICACIÓN

ORGANIZACIÓN

DIRECCIÓN

CONTROL

FIGURA 12. Funciones del Administrador, vista como proceso secuencial.

El desempeño de las funciones administrativas forma el denominado ciclo administrativo, que puede representarse de la siguiente manera: PLANIFICACIÓN

ORGANIZACIÓN

CONTROL

DIRECCIÓN FIGURA 13. Funciones del Administrador, vista como un ciclo administrativo.

59

Ejemplo

PLANIFICACIÓN

ORGANIZACIÓN

DIRECCIÓN

- Desempeño de los cargos. - Decisión sobre los objetivos. - Definición de los planes para alcanzarlo. - Programación de actividades.

- Recursos y actividades para alcanzar los objetivos, órganos y cargos.

- Comunicación, liderazgo y motivación del personal. - Orientación hacia los objetivos.

- Atribución de autoridad y responsabilidad.

CONTROL

- Determinación de indicadores para medir el desempeño, corregir los desvíos (desviaciones o discrepancias) y garantizar el cumplimiento de lo planificado.

FIGURA 14. El proceso administrativo.

1.6 Conclusiones Parciales del capitulo  A través de este Capítulo podemos conocer y establecer los riegos a los que estamos expuestos mediante los ataques informáticos, así mismo los mecanismo más importantes, destacados y utilizados para mitigar este problema que nos aqueja diariamente.  La sensibilización de los directivos y responsables de la organización (o Unidad Académica en particular) son conscientes de la necesidad de destinar recursos a esta función, de la seguridad informática.  El soporte de los fabricantes del hardware y software con la publicación de parches y actualizaciones de sus productos que permitan corregir los fallos y problemas relacionados con la seguridad.

60

 Contemplar no solo la seguridad frente a las amenazas del exterior, sino también las amenazas procedentes del interior de la organización, aplicando además el principio de “Defensa en profundidad”.

61

CAPITULO II 2. Marco Metodológico 2.1 Caracterización del Sector La Universidad Estatal de Bolívar se inicia el 22 de octubre de 1977, gracias al auspicio económico del Consejo Provincial. Inicialmente funcionó como Extensión de la Universidad de Guayaquil, adscrita a la Facultad de Ciencias Administrativas, Escuela de Administración de Empresas Agroindustriales, como la primera en crearse, cumpliendo así con una de las más caras aspiraciones de la sociedad bolivarense: contar con un centro de educación superior que atienda las demandas del desarrollo regional. El funcionamiento de la Extensión Universitaria de Guaranda, transcurre con normalidad hasta el 15 de septiembre de 1983, fecha en la cual el H. Consejo Universitario de la Universidad Estatal de Guayaquil, declara insubsistente la firma del convenio con el Consejo Provincial, lo que posibilitó tramitar el funcionamiento del primer Centro de Educación Superior de la Provincia de Bolívar. A pesar de las dificultades, la Extensión de Guaranda, siguió funcionando por cuenta propia e inició los trámites para su reconocimiento oficial como universidad autónoma en el CONUEP. Finalmente el desarrollo académico alcanzado por la Extensión Universitaria de Guaranda fue reconocido por el CONUEP quien aprobó la creación de la Universidad Estatal de Bolívar (UEB) el 20 de junio de 1989, mediante decreto No 32 del H. Congreso Nacional. El Presidente Constitucional de la República del Ecuador en ese entonces Dr. Rodrigo Borja Cevallos, firma el ejecútese el 29 de junio del mismo año y se publica en el Registro Oficial No 225, el 4 de julio de 1989, "la creación de la Universidad Estatal de Bolívar (UEB), actuando como primer Rector el Ing. Gabriel Galarza López.

62

Una vez que la Universidad Estatal de Bolívar adquirió la personería jurídica, inició la etapa de organización interna y la estructuración de propuestas para la formación de profesionales. Se crea la carrera de Enfermería en 1986, luego la de Educación Física, Tecnología Avícola y finalmente Contaduría Pública, la que más tarde cambiaría su nombre por Contabilidad y Auditoría (1990). En la UEB las actividades y funciones se normaron por sus Estatutos aprobados por el H. Consejo Universitario el 14 de julio de 1989 y por el ente regulador de las Universidades de aquel entonces CONUEP, hoy llamado CONESUP, en donde se confiere legitimidad a la organización institucional basada en organismos, Facultades, Departamentos, Unidades Académicas y Servicios y es así que la Universidad Estatal de Bolívar actualmente funciona con cinco Facultades, siendo la última la de Jurisprudencia que fue creada el 12 de junio del 2002. Todas ellas fueron creadas en base a los requerimientos de la sociedad y con la finalidad de buscar la calidad profesional y dar respuesta a la misión institucional y al desarrollo de la provincia 2.2. Descripción Procedimiento Metodológico 2.2.1 Modalidad de Investigación. Por el propósito: Aplicada.- La presente investigación será de tipo aplicada, ya que tiene como finalidad incursionar en la utilización de una metodología que permita dar a conocer los pasos o elementos tecnológicos importantes que puedan contribuir para dar mejor seguridad a la información que se maneja en la Facultad de Ciencias de la Educación de la Universidad Estatal de Bolívar. Por el Nivel de estudio: Exploratorio.- Este tipo de investigación nos permitirá alcanzar conocimientos muy significativos sobre la seguridad de la información, ya que si bien es cierto se conoce de elementos tecnológicos que pueden contribuir a controlar o 63

disminuir esta problemática, pero no existe una adecuada metodología que pueda ser aplicada a la institución, dando como resultado la originalidad de la investigación. Descriptiva.- La investigación es descriptiva por las razones que se pretende analizar y documentar los beneficios y aportaciones que presenta la tecnología al momento de hablar sobre la implementación de soluciones tanto de hardware y de software para la presente investigación, además se analizará los hechos tal como se presenten, lo que nos va a permitir estudiar la situación actual y futura de las variables. Explicativa.- Será explicativa por el hecho que se investigará las causas por la cuales se debe aplicar la metodología de seguridad de la información. 2.2.2 Tipos de Investigación. Por la Fuente y el lugar Bibliográfica.- Se realizará con el apoyo de libros, documentos y publicaciones que ayuden a formular soluciones para es la seguridad de la información. De campo.- La presente investigación contará con el apoyo de las autoridades de la facultad, así como la del personal administrativo, en el sentido de encuestas y entrevistas, para determinar la situación actual y los beneficios tecnológicos que pudieran ser implementados. Nos va a permitir tener nuevos conocimientos en el campo de la realidad social, es conocida también como investigación in situ ya que se realiza en el propio sitio. 2.2.3 Métodos Técnicas e Instrumentos. Encuestas.- Se aplicará este instrumento de recolección de información a las autoridades de la facultad, personal administrativo con la finalidad de

64

corroborar el problema que existe y que se describe en la presente investigación. 2.2.4 Población y Muestra Población La Población que se describe a continuación, son las personas que prestan sus servicios profesionales en la Faculta de Ciencias de la Educación de la Universidad Estatal de Bolívar y por lo tanto son parte de la investigación. Estrato

Unidad Autoridad

Decano

de

encargado

Número

la

de

Facultad, la

1

parte

administrativa de la misma. Encargado de la parte académica

Vice Decano

1

de la Facultad. Directores

de Responsables de las carreras que

Escuela Secretarias coordinadores

3

ofrece cada escuela. y Responsables de la información y

15

documentación de los estudiantes y trámites legales de la facultad

Encargados de Responsables

del

buen

3

los laboratorios funcionamiento de los equipos tecnológicos. TOTAL

65

23

2.2.5 Análisis e Interpretación de Resultados. Encuesta aplicada al personal administrativo que laboran en la facultad de ciencias de la educación de la Universidad Estatal de Bolívar PREGUNTA N° 1 ¿Cree usted que la información de los estudiantes esta almacenada de forma segura? Item Si No TOTAL

Cantidad 6 17 23

Porcentaje 26,09 73,91 100,00

Fuente: Encuesta aplicada al personal administrativo de la Facultad Ciencias de la Educación de la Universidad Estatal de Bolívar. Elaborado por: Ing. Jonathan Cárdenas B. Fecha: Julio del 2014

IMAGEN N° 1 Información de estudiantes almacenada de forma segura

IMAGEN 1

Análisis Un porcentaje considerable manifiesta que la información no está siendo almacenada de manera correcta y sobre todo de manera segura, es decir, no se está haciendo uso de software y hardware actualizados que podrían en este

66

sentido ayudar, dando como resultado la vulnerabilidad a sufrir algún mal suceso con el activo más importante, la información. PREGUNTA N° 2 ¿El tiempo que se requiere para entrega de documentos o certificados a los estudiantes es de: ? Item Un día Dos Días Ocho Días Quince días TOTAL

Cantidad 8 9 6

Porcentaje 34,78 39,13 26,09

0 23

0,00 100,00

Fuente: Encuesta aplicada al personal administrativo de la Facultad Ciencias de la Educación de la Universidad Estatal de Bolívar. Elaborado por: Ing. Jonathan Cárdenas B. Fecha: Julio del 2014

IMAGEN N° 2 Tiempo requerido para entrega de documentos

IMAGEN 2

Análisis La respuesta rápida en todo proceso o solicitud refleja a una organización bien estructurada funcionalmente. Se puede apreciar un alto porcentaje en cuanto a tiempo para la entrega de alguna documentación solicitada, lo que conlleva a un mal funcionamiento organizacional. 67

PREGUNTA N° 3 ¿A tenido problemas, referente a la perdida de documentos de los estudiantes?

Item Si No A veces Nunca TOTAL

Cantidad 15 2 5 1 23

Porcentaje 65,22 8,70 21,74 4,35 100,00

Fuente: Encuesta aplicada al personal administrativo de la Facultad Ciencias de la Educación de la Universidad Estatal de Bolívar. Elaborado por: Ing. Jonathan Cárdenas B. Fecha: Julio del 2014

IMAGEN N° 3 Pérdida de documentos

IMAGEN 3

Análisis La información es el activo considerado más valioso que pueda tener la organización por lo cual se debe asignar mayor atención al mismo. En el pasar del tiempo se han presentado diversas situaciones, lo que han originado la perdida de información y es algo que se debe corregir, para así aumentar la confiabilidad organizacional. 68

PREGUNTA N° 4 ¿Las personas encargadas de la información de los estudiantes, brindan una atención ágil? Item Si No A veces Nunca TOTAL

Cantidad 5 8 6 4 23

Porcentaje 21,74 34,78 26,09 17,39 100,00

Fuente: Encuesta aplicada al personal administrativo de la Facultad Ciencias de la Educación de la Universidad Estatal de Bolívar. Elaborado por: Ing. Jonathan Cárdenas B. Fecha: Julio del 2014

IMAGEN N° 4 Atención ágil a los estudiantes

IMAGEN 4

Análisis Según el análisis de porcentaje se puede apreciar que no hay un resultado alentador en cuanto a la atención ágil, esto puede ser debido a la falta de organización de documentos, uso de archivadores sin guías alfabéticas, etc. Dando como resultado el descontento de los estudiantes en los procesos administrativos. 69

PREGUNTA N° 5 ¿Le gustaría tener la información digitalizada y respaldada? Item Si No TOTAL

Cantidad 23 0 23

Porcentaje 100,00 0,00 100,00

Fuente: Encuesta aplicada al personal administrativo de la Facultad Ciencias de la Educación de la Universidad Estatal de Bolívar. Elaborado por: Ing. Jonathan Cárdenas B. Fecha: Julio del 2014

IMAGEN N° 5 Información digitalizada y respaldada

IMAGEN 5

Análisis Los respaldos de información es un proceso obligatorio que deben cumplir los funcionarios administrativos, es por esta razón, de su completa aceptación. Un mecanismo de seguridad puede ser los respaldos de información y si la organización puede contar con este servicio se estará cumpliendo con uno de los indicadores para lograr llegar a tener seguridad en los sistemas de información.

70

PREGUNTA N° 6 ¿La documentación para: matriculas, pase se ciclo académico, son generados con seguridad y en el tiempo establecido? Item Si No A veces TOTAL

Cantidad 9 5 9 23

Porcentaje 39,13 21,74 39,13 100,00

Fuente: Encuesta aplicada al personal administrativo de la Facultad Ciencias de la Educación de la Universidad Estatal de Bolívar. Elaborado por: Ing. Jonathan Cárdenas B. Fecha: Julio del 2014

IMAGEN N° 6 La documentación es generada con seguridad y en el tiempo establecido.

IMAGEN 6

Análisis Hay un porcentaje que opina y hace hincapié sobre la entrega de documentos, que muchas veces no se los puede hacer en el tiempo establecido, esto debido al manejo de archivadores físicos grandes, lo que conlleva a la necesidad de tiempo para la búsqueda y para la certificación de algún documento solicitado e incluso el paso de los años daña la documentación física y provoca errores en la lectura de los mismos. 71

PREGUNTA N° 7 ¿El computador de trabajo que utiliza está protegido sobre ataques informáticos? Item Si No TOTAL

Cantidad 4 19 23

Porcentaje 17,39 82,61 100,00

Fuente: Encuesta aplicada al personal administrativo de la Facultad Ciencias de la Educación de la Universidad Estatal de Bolívar. Elaborado por: Ing. Jonathan Cárdenas B. Fecha: Julio del 2014

IMAGEN N° 7 Computador protegido contra ataques informáticos

IMAGEN 7

Análisis Un porcentaje del personal administrativo que labora en la Facultad de Ciencias de la Educación, considera que no tienen conocimientos sobre las consecuencias que provocaría los ataques informáticos es por esta razón que no realizan ningún tipo de proceso como para mitigar este problema.

72

PREGUNTA N° 8 ¿ Los respaldos de información personalizados los realiza cada:? Item Semana Mes Ciclo Académico Año Nunca TOTAL

Cantidad 1 2

Porcentaje 4,35 8,70

6 12 2 23

26,09 52,17 8,70 100,00

Fuente: Encuesta aplicada al personal administrativo de la Facultad Ciencias de la Educación de la Universidad Estatal de Bolívar. Elaborado por: Ing. Jonathan Cárdenas B. Fecha: Julio del 2014

IMAGEN N° 8 Respaldos de Información

IMAGEN 8

Análisis Se puede apreciar que los respaldos de información o copias de seguridad se realizan dentro de un lapso de tiempo muy largo lo que podría conllevar a mal funcionamiento administrativo por parte del personal al momento de sufrir un ataque informático o si se presenta un desastre natural. 73

PREGUNTA N° 9 ¿El nivel de seguridad de la sala de archivo es:? Item Alto Medio Bajo TOTAL

Cantidad 1 8 14 23

Porcentaje 4,35 34,78 60,87 100,00

Fuente: Encuesta aplicada al personal administrativo de la Facultad Ciencias de la Educación de la Universidad Estatal de Bolívar. Elaborado por: Ing. Jonathan Cárdenas B. Fecha: Julio del 2014

IMAGEN N° 9 Seguridad de la sala de Archivo

IMAGEN 9

Análisis Las opiniones del personal administrativo en su mayoría comentan que no se tiene un nivel de seguridad confiable y apropiada como para tener segura la información de los estudiantes y en fin de toda la Facultad de Ciencias de la Educación.

74

PREGUNTA N° 10 ¿Cree usted que el proceso administrativo mejore al contar con una metodología de seguridad de la información?

Item Si No TOTAL

Cantidad 22 1 23

Porcentaje 95,65 4,35 100,00

Fuente: Encuesta aplicada al personal administrativo de la Facultad Ciencias de la Educación de la Universidad Estatal de Bolívar. Elaborado por: Ing. Jonathan Cárdenas B. Fecha: Julio del 2014

IMAGEN N° 10 Proceso administrativo mejore con la seguridad de la información

IMAGEN 10

Análisis La mayor parte de comentarios señalan que la metodología de seguridad de la información puede ayudar a mejorar la gestión administrativa debido a sus beneficios que puede ofrecer, seguridad, confiabilidad y centralización de la información.

75

Entrevista aplicada al señor Decano de la Facultad de Ciencias de la Educación de la Universidad Estatal de Bolívar 1. Cuál es su opinión sobre la Seguridad de la Información. Como conocemos todos la información que se maneja en las diferentes organizaciones es catalogada como el activo más importante y por esta razón se le debe asignar gran parte de recursos para lograr que esta se encuentre segura, libre de modificaciones total o parcial. Esto de la Seguridad de la Información es un pilar fundamental que debe ser organizado, planificado y estar en ejecución. 2. En qué nivel usted considera que la información que maneja la facultad, está segura. Demanda muchos recursos el poder decir que la información que se maneja en la Facultad tiene un nivel alto respecto a la Seguridad de la Información, es por esta razón que no se ha podido establecer y aplicar las diferentes actividades que puedan asegurar este nivel, pero se trabajará con miras a lograr esto, ya que es uno de los objetivos que se pretende cumplir. 3. Considera usted que el personal que labora en la Facultad de Ciencias de la Educación, le da la importancia que se merece a la Seguridad de la Información. En las capacitaciones que se reciben en diferentes áreas y actividades se da a conocer sobre la importancia de la información y que es responsabilidad de todos y cada uno de nosotros tener de manera Segura la Información. 4. Cuáles son los mecanismos que implementan las personas que labora en la Facultad de Ciencias de la Educación para sacar respaldos de información. Se ha manifestado que la información que se maneja en las diferentes dependencias de la Facultad está bajo la responsabilidad de cada funcionario y por lo tanto que este activo se lo debe proteger con mecanismos conocidos por ellos, para lo cual se recomienda que realicen copias de seguridad de los diferentes archivos generados y los guarden en unidades de almacenamiento conocidas como lo son pendrive o discos duros externos. Todo esto debido a 76

que no contamos con mecanismos tecnológicos sistematizados apropiados para la realización de estas actividades. 5. Considera que los procesos administrativos deben estar respaldados por una metodología de Seguridad de la Información. Totalmente de acuerdo, considero que todo proceso que se realiza en la Facultad y en toda organización deben estar bajo el respaldo de una metodología de Seguridad de la Información, con la cual garantice la veracidad de los datos con los que se trabaja a diario. 6. El nivel de prioridad que usted le asignaría a la implementación de una metodología de Seguridad de la Información, seria: Tendría prioridad alta, como lo mencione en una pregunta anterior no contamos con una metodología de Seguridad de la Información pero conocemos de los beneficios que esta aporta, y es de vital importancia para el buen desempeño de las organizaciones que generan grandes cantidades de información como es el caso de la Facultad de Ciencias de la educación de la Universidad Estatal de Bolívar. 2.3 Propuesta Investigador. Con el diagnóstico realizado en base a las encuestas aplicadas al personal administrativo de la Facultad de Ciencias de la Educación de la Universidad Estatal de Bolívar, se llega a la conclusión: para dar solución al problema sobre la seguridad de la información y con ella mejorar la funcionalidad de los procesos administrativos, se debe dar paso a la elaboración e implementación de una metodología de seguridad de los sistemas de información, la misma que constará con la ayuda que brinda la utilización software y hardware adecuado acorde a las posibilidades de la organización, así mismo sus formas de instalación y uso. Se pretende implementar un servidor, con el objetivo que en el mismo se pueda almacenar toda la información referente a la Facultad de Ciencias de la Educación de la Universidad Estatal de Bolívar, ya sea de los estudiantes o del personal administrativo, es decir se manejará información física y digitalizada. El acceso a este 77

servidor para realizar acciones de insertar, borrar o actualizar será por parte del personal administrativo mediante la validación de usuarios, los mismos que tendrán cuentas, bajo la supervisión de un administrador. Para la subida de archivos al servidor se implementará un Webmin. Se implementará seguridad a este servidor utilizando ciertas herramientas tecnológicas para asegurar su funcionalidad y la información que contiene. Para esto se utilizará una apropiada configuración de firewall. Además la generación de usuarios y claves de usuarios estará a cargo del Administrador, el mismo que realizará orientaciones para la asignación de estas cuentas de usuario, con la finalidad de que no puedan ser fácilmente descifradas. También se puede implementar una aplicación que permita bloquear el acceso a sitios web que no ayudan al buen desempeño administrativo, educativo. Se deberá manejar un control sobre la utilización de las redes inalámbricas, es decir, se implementará una aplicación que permita tener el control sobre el acceso a la red, mediante la creación de cuentas de usuario, tiempo de vigencia dentro de la red, validación única, etc. Las computadoras que se encuentran en los laboratorios, cubículos de los docentes, portátiles, etc., deberán ser instaladas con programas anti virus, con la finalidad de proteger la funcionalidad e integridad de la información. Se deberá planificar charlas, conferencias, dirigidas a la comunidad universitaria para dar a conocer sobre la importancia que tiene la información dentro de las diferentes organizaciones, además se concientizar sobre las vulnerabilidades en las cuales se encuentra expuesta la información, así mismo los mecanismos que se pueden y se deberán implementar para dar seguridad a la información y poder alcanzar un mejor desempeño en las diferentes acciones o procesos administrativos. Con respecto al proceso administrativo, se pretende mejorarlo con la implementación de las diferentes tecnologías, permitiendo así: almacenar, actualizar, eliminar y buscar la información de estudiantes y las actas de procesos administrativos de las diferentes 78

dependencias que constituyen al desempeño eficaz de la facultad; que se encuentra en el servidor en forma digital y dejando de la lado la forma tradicional que era hacerlo en un cuarto con varios archivadores y en forma desorganizada, ya que todo se encuentra impreso en papel, cabe aclarar que por la falta de ventilación los papeles con el paso del tiempo empieza su destrucción. 2.4 Conclusiones parciales del capítulo.  Se puede concluir que actualmente no se dispone del equipamiento y configuración necesaria como para tener el sistema de información seguro, dichas opiniones son de vital importancia, no con el afán de relucir las debilidades, más bien para identificaras y poder tomar acciones correctivas.  Con la aplicación de esta propuesta se espera alcanzar un eficiente control y manejo de toda la información que se genere en la Facultad de Ciencias de la Educación, pues el sistema de información estará plenamente garantizado por la seguridad que se le otorgará al mismo.  Todos los archivos estarán respaldados con soporte informático y con seguridad.  Tendrán acceso solamente personal autorizado para el ingreso de la información.  Será una metodología que centralice normativamente la información de carácter confiable, útil y eficaz y de descentralización operativa para los diferentes usos que requieran sus usuarios.

79

CAPITULO III 3. MARCO PROPOSITIVO 3.1 Tema Metodología de seguridad de la información para mejorar el funcionamiento del proceso administrativo en la Facultad de Ciencias de la Educación de la Universidad Estatal de Bolívar. 3.2 Objetivos 3.2.1 Objetivo General  Elaborar la metodología para la seguridad de la información mediante estrategias para el correcto funcionamiento administrativo 3.2.2 Objetivos Específicos  Diseñar con estrategias adecuadas el plan de la seguridad física y lógica, a ser implementada en la organización educativa.  Establecer la metodología de seguridad de la información adecuada para la organización.  Capacitar sobre los beneficios, funcionamiento y utilización de las estrategias del plan de seguridad. 3.3 Introducción La información en la actualidad ha sido considerada como el activo más importante en la organización y es por esta razón que se le debe dar la atención pertinente como para lograr que este no sea afectado de ninguna manera. El software y hardware con el que se trabaja en la organización al momento de sufrir un ataque informático, pueden ser reparados o si es el caso reemplazados, dando como resultado gastos 80

económicos, pero si se analiza la idea de alteración o pérdida definitiva de la información, estamos hablando de la identidad de la organización, es decir, si se pierde la información, la entidad no tendrá la materia prima con que seguir trabajando en sus labores diarias. Hoy en día los avances tecnológicos han hecho posible la comunicación desde diferentes partes del mundo a través de las redes de datos o lo que es lo mismo por medio del internet, así mismo se han incrementado formas y tipos de amenazas conforme a los ataques informáticos presentes actualmente, que pretenden interrumpir o acceder a los mensajes para conocer el o los temas que contienen, acceder a los sistemas de información para realizar acciones que atentan con el buen funcionamiento de la organización, etc. Por esta y muchas razones se debe considerar planes de seguridad informática, quizá para algunos lo consideran como un gasto pero en realidad es una inversión que podrá garantizar la integridad, confidencialidad y disponibilidad de la información. 3.4 Descripción General de la Propuesta La presente investigación esta centrada en realizar una metodología de seguridad infomática, la cual al ser aplicada en las instalaciones de la Universidad Estatal de Bolívar, especificamente en la Facultad de Ciencias de la Educación, previo análisis y estudio de la situación actual y con el fin de tener un nivel aceptable de seguridad y asi llegar a lograr un mejor desempeño del proceso administrativo institucional, con la centralización de la información y acceso a ella por parte del personal administrativo. 3.4.1 Análisis de la situacion actual. Por medio de las encuestas, entrevistas y la observación se pudo levantar aspectos importantes sobre el modo o forma que se maneja la seguridad de la información, y de la misma manera la forma que puede incidir en los procesos administrativos de la Facultad de Ciencias de la Educación de la Universidad Estatal de Bolívar.

81

3.4.1.1 La Seguridad Lógica Durante el análisis se pudo observar y además conversar, que la información que se maneja en la Facultad de Ciencias de la Educación de la Universidad Estatal de Bolívar es manipulada por medio del Decano, Vice Decano, Directores de Escuela, Coordinadores de Carrera, secretarias, etc.; Dicha información es almacenada en forma personal en computadoras de escritorio y laptops asignado a cada funcionario administrativo de dicha institución, y el mecasnimo de seguridad o acceso a la misma es utilizado la validación de usuario que brinda el sistema operativo, osea no se tiene un control del acceso a los archivos y menos aún, la información centralizada. 3.4.1.1.1 Funciones del Personal Administrativo Se puede recalcar que los funcionarios de dicha institución tienen roles de trabajo asignados, es decir, el personal tiene funciones especificas, lo que conlleva a la problemática de que cuando este personal sale de vacaciones o simplemente no asistio al trabajo por alguna calamidad, los trámites solicitados por diferentes estudiantes, administrativos, personal de otras facultades o institutos; la generación o entrega de información (procesos administrativos), tendrán cierto tiempo de retrazo en el cumplimiento o en muchos de los casos, deben parar obligatoriamente y esperar a la reintegración de la persona encargada. 3.4.1.2 Comunicaciones en red. En esta parte se analizó lo refente a la red de datos que se maneja en la facultad de Ciencias de la Educación. 3.4.1.2.1 Componentes de la red. En la facultad se cuenta con los siguientes equipos:  Al rededor de 120 computadoras distribuidas en laboratorios, oficinas, cubículos y aulas. 82

 La Universidad cuenta con varios servidores, los mismo que tiene diferentes aplicaciones: Servidor del Sianet (Sistema Académico), Servidor Nube (Respaldo de información), Servidor para Educación en línea, Servidor de correo, Servidor Web, Servidor de la Biblioteca y finalmente el Servidor de la Facultad de Ciencias de la Educación, que cuenta con las siguientes características Servidor HP ProLiant DL360G6 serie: MXQ925005D. Enlace de fibra óptica con Telconet.  Cables UTP categoría 6.  Routers para cada facultad.  2 Switch Cisco Catalyst 2960, 48 puertos.  6 Switch 3Com 2250sfp plus 13BLSF50, 48 puertos 3.4.1.2.2 Descripción de la Red.  Los enlace que se tienen con las diferentes Facultades de la Universidad Estatal de Bolívar en con Fibra Optica, y nuestro proveedor es TELCONET con un ancho de banda de 160 Megas.  Internamente en la Facultad de Ciencias de la Educación las conexiones estan realizadas con cable UTP categoría 6.  La Facultal de Cienias de la Educación cuenta con dos edificios donde en el primero estan ubicadas las oficinas del decanato, vicedecanato, laboratorio de inglés, auditorio, aulas, cubículos

para docentes y cuarto para el Switch

central. En el segundo edificio se encuentran las oficinas de direcciones de escuela, los laboratorios de cómputo, laboratorio de mantenimiento preventivo y correctivo de computadoras, laboratorio de redes de datos, cubículos para docentes y cuanto para el Switch central. Los dos Switch centrales Cisco que se encuentran uno en cada edificio de la Facultad se encuentra enlazados con 83

fibra óptica y de estos Switch centrales sale el enlace hacia los tres Switch 3Com secundarios de cada edificio para las conecciones a los diferentes computadores que se encuentra ubicados en los lugares antes mencionados, mediante cable UTP categoría 6.  El wi-fi de la facultad, tiene acceso solo las personas que se encuentran registados en el Portal Cautivo Monowall, es decir, debe tener una cuenta creada con usuario y clave para poder validarse y asi establecer conexión, además se puede decir que el ancho de banda destinado para este tipo de servicio es de 8 Megas. 3.4.1.2.3 Servidor de Internet El srvicio de internet es proporcionado por TELCONET con un ancho de banda de 160 Megas. Los equipos que tienen salida a Internet es porque fueron asignados direcciones IP, las mismas que son admiistradas por un responsable que se tiene por facultad. No se cuenta con un servidor de internet de respaldo, lo que significa que una ves perdido el enlace, el resultado es que no tendremos internet, a pesar que las aplicaciones como lo es Sianet (Sistema Académico) funciona con la intranet. 3.4.1.2.3 Servidor de Correo Utilizando Zimbra, se tiene cuentas de correo para todos los funcionarios de la Universidad Estatal de Bolívar, dentro del dominio @ueb.edu.ec;. La forma de creación de usuarios es en base a los nombres de cada persona, de donde se elige las primeras letras de los dos nombres y el primer apellido (en minúsculas), por ejemplo: Docente universitario Jonathan Patricio Cárdenas Benavides con la cuenta de correo institucional [email protected].

84

3.4.1.3 Antivirus En los servidores se tiene instalado Centos 5 y 6, no cuentan con un antivirus instalado, aparte de eso se puede recalcar que los servidores no han sufrido daños por motivos de virus. En la Facultad de Ciencias de la Educación se asignan equipos computacionales tanto a docentes como adminnistrativos, en muchas de las mismas contamos con dos sistemas operativos el de windows que vienen con sus licencias respectivas y el otro sistema operativos que es de Linux, Ubuntu en sus últimas versiones. También existen computadoras que solo trabajan con el sistema operativo de Windows. En muchos de los casos los antivirus han caducado y en otras se manejan con antivirus libres. 3.4.1.3.1 Escaneo de Virus No se cuenta con un cronograma que realice esta operación, facultando al responsable de cada equipo computacional la ejecución del escaneo de virus y sus procesos correctivos. 3.4.1.4 Firewall El firewall implementado hace unos meses atrás era Astaro, con la finalidad de bloquear el acceso a distintas páginas web que se consideraban de poca ayuda al proceso educativo y administrativo de la Universidad Estatal de Bolívar y por ende a la Facultad de Ciencias de la Educación. Los problemas que presentaba este tipo de firewall era que mantenia bloqueados sitios en verdad importantes para la realización de investigaciones, y el tramite para gestionar su desbloqueo era un poco tedioso, es por esta razón la incoformidad y la generación de quejas a las personas encargadas de la administración de este recurso por parte de muchos trabajadores de la Universidad.

85

En la actualidad por la no renovación del contrato de este firewall, se tiene un acceso desmedido a cualquier sitio web, trayendo consigo la desviación o perdida de tiempo en asuntos ajenos a su actividad laboral diaria. 3.4.1.5 Ataques a la Red. No se ha tenido un reporte de ataques a la red, es por esta razón que no se han realizado las gestiones para la compra de equipos que ayuden a contra restar este tipo de sucesos. Tampoco existe software o hardware aproiado para realizar un chequeo sobre Detección de Intrusos (IDS). 3.4.1.6 Seguridad de las Aplicaciones 3.4.1.6.1 Servidores En la Universidad Estatal de Bolívar se cuenta con varios Servidores (Sistema Académico, Nube de datos, Educación en línea, Web, Biblioteca, etc), cargados con el Sistema Operativo Centos en sus versiones 5 y 6. Cabe recalcar que por cada servidor existente, ha sido asignado una persona como responsable de la administración del mismo, es decir, estas personas son las encargadas

de

brindar

en

mantenimiento

respectivo,

controlar

en

buen

funcionamiento, organizar los respaldos, etc. 3.4.1.6.2 Computadoras de escritorio y laptops Las computadoras son asignados al personal administrativo y/o profesores. Las computadoras de escritorio por lo general son instaladas el Sistema Operativo de Linux - Ubuntu, en sus últimas versiones, mientras que en las laptops se manejan en algunos casos solo windows como sistema operativo, con su respectiva licencia y en otros casos se instala dos sistemas operativos Windows y Linux – Ubuntu, en particiones de disco duro distintas. 86

En la Universidad Estatal de Bolívar, se cuenta con un equipo técnico de especialistas encargados de brindar el mantenimiento y controlar el buen funcionamiento de estos equipos computacionales, los mismo que ayudan en la instalación de sistemas operativos, instalación de antivirus, instalación de software de aplicación, actualizaciones de software, etc. Pudiendo estas tareas ser realizadas por los mismos responsables de cada computadora, que tienen un conocimiento básico del tema. Todo esto da como resultado, la manipulación de las computadoras de forma abierta y libre sin tener o realizar la documentación donde refleje los cambios realizados. 3.4.1.7 Seguridad Física Se ha realizado un levantamiento de información referente a los mecanismos y a las políticas de seguridad para prevención y protección de los recursos físicos que componen a los sistemas. 3.4.1.7.1 Equipos 3.4.1.7.1.1 Servidores Existe un cuarto con divisiones donde se encuentran por una parte ubicados los servidores, cubículos para el personal administrativo del área de redes y una oficina para mantener reuniones. En la Universidad Estatal de Bolívar, se cuenta con ocho servidores Hp con características descritas a continuación: Procesador XEON X5550 2.67 Ghz 8MB L3 Cache, Memoria RAM 16 GB, 4 Discos Duros Seagate 500 GB 7200rpm SATA, 2 Fuentes de Poder Redundantes. 3.4.1.7.1.2 Computadores Se cuenta con al rededor de 120 computadoras distribuidas en laboratorios, oficinas y aulas con características variadas pero de ultima generación. 87

3.4.1.7.1.3 Serguridades del cuarto de Servidores Existe un servicio de guardias privados, los mismos que se ecnuentran ubicados al rededor del perimetro interno de la Universidad. Para el acceso al cuarto de servidores no contamos con seguridades lógicas, es decir, tarjetas magnéticas, solo hay llaves físicas para el ingreso y estas están a cargo del personal administrativo que labora en esta área. Se puede recalcar que se maneja un circuito cerrado de cámaras, las cuales estan direccionas algunos de los sitios de la Universidad de manera fija. No existe una cámara que se encuentre instalada en el área de redes, tampoco en el cuarto de servidores y mucho menos una cámara que este direccionada a la puerta de estas dependencias antes descritas. El ingreso al área de redes esta prohibido a personas ajenas a esta dependencia, la forma de ingreso es con el concentimiento de dichos funcionarios, que brindan las facilidades a los diferentes responsables de cada servidor para realizar sus funciones diarias. 3.4.1.7.1.4 Acceso a Equipos La forma de ingresar a los servidores es con la autorización de los funcionarios de departamento de redes, cabe mencionar que tienen esta autorización los responsables de cada servidor. Dichos servidores se encuentran disponibles, con la particularidad que para el ingreso y su manipulación deben ingresar el usuario y contraseña correspondiente y pasa lo mismo con las computadoras de escritorio y laptops que tiene como responsables a los funcionarios de la Universidad en sus diferentes facultades, escuelas y dependencias. Como medios para el envio y copiado de información, se maneja el correo electrónico personal e institucional, puerto USB y unidad de CR-ROM, los mismo que no tienen restricciones en cuanto a estar bloqueados, pero se vuelve a recalcar que necesitan validar su usuario y la contraseña para el ingreso a manipular los equipos. 88

3.4.1.7.1.5 Otros Dispositivos La Universidad cuenta con lo siguiente: En el área de redes:  Aire acondicionado.- El cuarto donde estan ubicados los servidores cuenta con un equipo de aire acondicionado con temperatura promedio de 21°, con el fin de mantener temperatura estable y asegurar que los equipos no fallen por causa de la humedad o quiza por muy seco se puede producir una descarga electrostática.  Piso aislante.- No se cuenta con este tipo de equipamiento.  UPS.- Se cuenta con dos UPS de marca Tripp-Lite, modelo SU2200RTXL2Ua, Imput: 120V ∼ /16A 50/60 Hz, Output: 120V ∼ /18A 50/60 Hz 2200VA 1600W, estos tienen la capacidad para abarcar hasta cinco servidores cada uno.  Reguladores de voltaje.- Son utilizados para los switch  Descargas a tierra.- Se cuenta con una barilla instalada, pero para mayor seguridad se tiene en la parte alta del edificio un para rayos con la finalidad de prevenir las descargas.  Extintores.- No se cuenta con este tipo de equipamiento.  Alarmas contra intrusos.- No se cuenta con este tipo de equipamiento.  Generador de energía.- La Universidad cuenta con un generador de grandes proporciones capas de alimentar a toda la entidad educativa de energia al momento de que esta sea suspendia por algún suceso no previsto, dicho generador se poner en marcha a los pocos segundos de ausencia de fluído eléctrico. 89

En los laboratorios:  Aire acondicionado.- Los laboratorios cuenta con un equipo de aire acondicionado con temperatura promedio de 18°, con el fin de mantener temperatura estable y asegurar que los equipos no fallen por causa de la humedad o quiza por muy seco se puede producir una descarga electrostática.  Piso aislante.- No se cuenta con este tipo de equipamiento.  UPS y Regulaodores de voltaje.- Este tipo de equipo cumple las dos funciones a la ves; regulador de voltaje y suministro temporal de energía (UPS), con la finalidad de brindar el tiempo necesario para almacenar su información y apagar el equipo en forma correcta en caso de presentarse una falta de fluido eléctrico, el mismo que esta conectado a un y solo a un computador.  Descargas a tierra.- No se cuenta con este tipo de equipamiento.  Extintores.- No se cuenta con este tipo de equipamiento.  Alarmas contra intrusos.- No se cuenta con este tipo de equipamiento. En los cubículos y oficinas  Aire acondicionado.- En los cubículos y oficinas de los docentes y administrativos cuentan con un equipo de aire acondicionado con temperatura promedio de 18°, con el fin de mantener temperatura estable y asegurar que los equipos no fallen por causa de la humedad o quiza por muy seco se puede producir una descarga electrostática.  Piso aislante.- En algunos cubículos y oficinas cuentas con este tipo de equipamiento.  UPS y Regulaodores de voltaje.- Este tipo de equipo cumple las dos funciones a la ves; regulador de voltaje y suministro temporal de energía (UPS), con la finalidad de brindar el tiempo necesario para almacenar su información y 90

apagar el equipo en forma correcta en caso de presentarse una falta de fluido eléctrico, el mismo que esta conectado a un y solo a un computador.  Descargas a tierra.- No se cuenta con este tipo de equipamiento.  Extintores.- No se cuenta con este tipo de equipamiento.  Alarmas contra intrusos.- No se cuenta con este tipo de equipamiento. 3.4.1.7.1.6 Edificio de la Universidad La estructura física de la Universidad es propia, consta de algunos edificios para cada facultad e institutos. El edificio central en el primer piso es donde se encuentra ubicado el área de redes y por ende los servidores. Desde un inicio no se pensó que ahí pudiera funcionar tal dependencia por lo que fue acondicionada de a poco en cuanto a la temperatura adecuada, desvío de las descargas eléctricas a tierra, etc. 3.4.1.7.1.7 Cableado Estructurado El cablado estructurado de la universidad fue desarrollado por los mienbros del departamento técnico de esta institución. El cableado sale de backbone de la Universidad hacia los diferentes switch con que cuentan cada facultad ó institutos por medio de fibra óptica subterránea que viaja por medio de canales o conductos. De los mencionados switch se ha tendido cable con conectores RJ-45, el mismo que pasa por el interior de las paredes hasta llegar a conectarse en los jacks de las diferentes ubicaciones, como lo son laboratorios, oficinas, cubiculos; con esto se puede decir que se mantiene cierto tipo de macanismo de protección del cable ya que se encuentra libre de la manipilación de los usuarios y libre de los desastres naturales que puedan ocurrir.

91

3.4.1.8 Backups 3.4.1.8.1 Backups del Servidor Como se menciono en apartados anteriores, cada servidor existente en la Universidad Estatal de Bolívar tiene un responsable, el mismo que se encarga de mantenerlo funcionando de manera correcta, de su mantenimiento preventivo y correctivo, respaldar la información. No se maneja documentación histórica donde se detalle la forma o mecanismos aplicados para la realización de cambios en el servidor y de igual manera pasa con las copias de respaldo o backup. En particular se puede recalcar que los backup del servidor de la Facultad de Ciencias de la Educación de la Universidad Estatal de Bolívar, se los realizan sin ninguna planificación, es decir, los backups se los realiza al momento de que se presente fallas de funcionalidad en el Servidor y sea irreparable o en muchos de los casos unas horas antes de ser formateado. 3.4.1.8.2 Backups de datos de la Pc de escritorio La información que se genera por parte de las Autoridades, Directores de Escuelas, Coordinadores, Secretarías, etc. De la Facultad de Ciencias de la Educación de la Universidad Estatal de Bolívar es responsabilidad de cada uno de ellos en forma individual, ya que no se cuenta con un plan para la realización de backups de datos, es decir, el personal debe emplear mecanismos propios para dar seguridad a sus datos, uno de ellos es, copiar la información cada cierto tiempo en un dispositivo de almacenamiento externo. 3.4.1.8.3 Backup del sitio de la Facultad No se ha realizado ninguno.

92

3.4.1.8.4 Protección del Backups Los archivos de respaldo o backups generados no cuentan con algún tipo de seguridad, unicamente permanecen almacenados en los dispositivos externos, los mismo que se encuntran a cargo de los funcionarios de la Facultad. 3.4.1.8.5 Documentación del Backup No existe documentación de las copias de seguridad realizadas, debido a que los funcionarios de esta Facultad los realizan dependiendo su criterio y tiempo disponible. 3.4.1.9 Documentación 3.4.1.9.1 Documentación de las Oficinas Administrativas, Laboratorios, Cubículos Se maneja información referente a:  Características de las computadoras.  Planning IP.  Planos del Cableado Estructurado.  Ubicación gráfica de los equipos de red y computadoras. Se cuenta con los documentos físicos aunque algunos se encuentran desactualizados. 3.4.1.9.2 Manuales No se cuenta con manuales de contingencia o de seguridad desarrolados, que sirvan de guía para ser ejecutados en caso de que se presente incovenientes de funcionalidad en los aspectos antes decritos. Incluir un resumen global de lo encontrado. 93

3.4.2 Diseño del Plan de Seguridad Informática Una vez realizando el analisis de la situación actual sobre los procesos inmersos en el área de informatica de la Facultad de Ciencias de la Educación de la Universidad Estatal de Bolívar, se procedera a la elaboración de las políticas y aspectos importantes que debe contener el Plan de Seguridad Informática. La finalidad al momento de desarrollar el

Plan de Seguridad Informática, es

proporcionar los mecanismos necesarios para dar la seguridad a la información y a los activos con que cuenta la entidad educativa antes mencionada.

94

Orgánico de la Facultad

FIGURA 15. Orgánico de la Facultad.

95

En cada departamento de la Facultad de Ciencias de la Educación, Sociales, Filosóficas y Humanísticas de la Universidad Estatal de Bolívar se genera información de diversa índole, a continuación una descripción de cada una de ellas. Dentro de las diferentes Carreras que oferta la Facultad y a un grupo determinado de ellas se les considera como Escuela, tal como refleja en el esquema antes descrito, aquí se maneja el historial académico de cada estudiante, es decir, se maneja una carpeta física y dentro de ella una hoja por cada ciclo académico donde se refleja las asignaturas con sus respectivas notas, a más de esto una hoja en donde ubicamos datos personales del estudiante. La mencionada carpeta es almacenada en un cuarto de archivo en diferentes archivadores o simplemente en cajas de cartón; sin dar la atención pertinente debido a que dicha documentación se encuentra expuesta a diferentes amenazas naturales como puede ser incendios, inundaciones o simplemente el deterioro del papel, a más de esto no se puede decir que dicho cuarto no cuenta con las seguridades de acceso pertinentes, es decir, que personas ajenas a la facultad podrían ingresar y sustraer la documentación Con la metodología de seguridad de la información que se pretende poner en marcha en la Facultad es, mantener el cuarto de archivo pero con normas de seguridad establecidas por ejemplo un sistema tecnológico que permita dar el acceso únicamente a personas que laboran en la Facultad, la documentación debe estar ubicada ordenadamente en archivadores y con su seguridad respectiva, alarmas contra incendios, etc. La digitalización de los documentos es otro aspecto importante en la metodología planteada, ya que se propone que todo documento debe ser escaneado para luego ser subido a un servidor de documentos, en cierta forma es tener centralizada toda la información y documentación de la Facultad, al mismo tiempo que tendrán acceso los funcionarios de la Facultad por medio de una cuenta de usuario, la que será entregada o generada por medio del administrador del servidor, en este sentido ayuda a la consulta de documentos en una forma ágil y rápida que sería un punto a favor dentro del proceso administrativo. También tiene un punto importante sobre la transparencia de la información ya que si se desea y es pertinente 96

la documentación que se considere puede ser publicada en la Web para ser observada por otras personas ajenas o no a la Facultad. Dentro de las Unidades de Apoyo, Direcciones de Escuela, Vice Decanato, Decanato y de más dependencias de la Facultad se genera información importante como son: resoluciones de Consejo Directivo, Comunicados a docentes, estudiantes, personal administrativo, pedidos de estudiantes, egresados y/o profesionales, folder de docentes, etc. , la cual es consolidada en folders cuando son físicos y cuando son digitales se almacena en computadores personales que se encuentran a cargo de los diferentes administradores de las dependencias de la Facultad. Con la metodología de seguridad de la información que se pretende poner en marcha en la Facultad es digitalizar este tipo de documentos y ser subidos al servidor con la finalidad de tener un respaldo de todas estas resoluciones y demás información. A más de esto dicha metodología se enfocara en aspectos importantes para prevenir amenazas que atenten al buen desempeño y funcionamiento de las computadoras con las que trabaja el personal administrativo, todo esto con miras a proteger los equipos informáticos y lo que en ellos se está almacenando. Así mismo destacar la importancia de la información como el activo más relevante de la Facultad y de las formas o mecanismos que se pueden emplear para dar su respectiva protección; implementación de cuentas de usuario con claves de acceso dentro de la BIOS y/o puede ser para el ingreso al Sistema Operativo, sobre la asignación de claves, instalación de antivirus y sus respetivos análisis y actualizaciones, planificar respaldos y donde se los puede almacenar, sobre el manejo del internet y cuentas de correo, etc. La metodología de Seguridad de la Información por lado del servidor, este deberá estar en el área de producción, es decir, al aire; donde todas las personas ajenas o no a la Facultad tendrán acceso para la visualización de documentos y es por eso que se ha pensado en asignar las seguridades pertinentes para proteger sobre algún ataque informático que pudiera ser víctima; como por ejemplo: la implementación de un

97

Firewall, planificación de Backups, Control de acceso sobre todo en la parte de administración del servidor, etc. También se ha implementado la posibilidad de manejar correos institucionales para la comunicación entre las personas que trabajan en la Facultad, controlar la utilización de las redes inalámbricas por medio de validación de cuentas de usuario, bloquear el acceso a sitios Web que no ayuden al buen desempeño administrativo. Las capacitaciones al personal que labora en la Facultad sobre las amenazas más comunes y las que van tomando forma con el paso del tiempo, conocer los campos en los cuales pueden afectar al buen desempeño administrativo, así como las maneras o formas de mitigarlos. Los aspectos que se tomarán en cuenta en este Plan de Seguridad Informática son los siguientes:  Seguridad Lógica.  Seguridad en las Comunicaciones.  Seguridad de las Aplicaciones.  Seguridad Física.  Administración del Centro de Servidores 3.4.2.1 Seguridad Lógica 3.4.2.1.1 Identificación de Id  Se debe aclarar si todos los trabajadores en sus dependencias administrativas de la Facultad pueden acceder a ingresar, borrar o actualizar información o si es el caso de tener el acceso centralizado por medio de una sola persona encargada del sitio.

98

 El acceso a los datos se debe permitir unicamente a personas que puedan validar usuario y contrseña correctas, con la finalidad de dar seguridad a la información.  Al momento de crear un nuevo usuario, se lo debe hacer de forma física, es decir, con la petición escrita y avalizada por la autoridad máxima de la Facultad y de la misma manera para dar de baja algún usuario, ya que el administrador no conoce a todos los trabajadores ni la función que desempeña en la Facultad. No se debe eliminar el usuario solo dar de baja, con la finalidad de que no se pierdan las acciones realizadas por esta persona y se las pueda evidenciar en futuras auditorias.  Se deberá realizar una revisión mensual del estado de las cuentas, es decir, la comprobación de que están ingresando el sitio y saber a detalle los cambios que realizan con fechas y horas, esto debe estar a cargo del administrador del sitio.  También es importante configurar el tiempo que estará abierta la sesión cuando el trabajador dejo de interactuar con el sitio (3 minutos), si excede el tiempo deberá bloquearse, y pedir que valide sus datos nuevamente (Usuario y contraseña).  Se deberá realizar un informe de las cuentas existentes de todos los usuarios de sitio incluido el de super administrador, cada tres meses, esto debera ser guardado en un sobre, sellarlo y guardarlo en en sitio seguro, con el fin de ser utilizado si fuera necesario. 3.4.2.1.2 Autenticación  Para iniciar sesión se deberá solicitar que ingrese información como lo es el nombre de usuario y su contraseña.

99

 Al momento de que el o los trabajadores ingresen sus datos, la clave deberá ser un campo password, es decir, no se mostrará.  Al momento de estar validado, se mostrata en un sector de la pantalla el nombre del usuario con el cual lo ha hecho. 3.4.2.1.3 Password  La cuenta de usuario deberá cumplir con ciertas recomendaciones: o Debe ser alfanumérico. o Longitud entre 8 y 12 carateres.  Deberá cambiar su clave, al final de cada ciclo académico.  Si se bloquea la cuenta o el usuario olvida su clave, el proceso que deberá realizar será de solicitar en forma escrita y avalizada al administrador para que su password sea reiniciado. 3.4.2.2 Seguridad en las Comunicaciones 3.4.2.2.1 Topología de Red  Por medio de dispositivos de hardware o protocolos de transmisión, se debe proporcionar integridad, disponibilidad y confidencialidad en

los datos

trasmitidos y almacenados.  Se desarrollará una gráfica sobre la topológico de las redes, nodos y todo el equipamiento informático existente en la Facultad.

100

3.4.2.2.2 Conexiones Externas  Para el acceso a internet desde equipos que no son parte de la Facultad se lo deberá hacer mediante la creación de una cuenta, por medio del administrador de la red de la Facultad.  Se debe cerrar los puertos que no sean necesarios mediante la implementación y configuración del firewall con el fin de dar seguridad al servidor.  Capacitación a los trabajadores con el fin de concientizar sobre el peligro que representa publicar o dar a conocer a personas ajenas a la facultad sobre las cuentas de usuario, contraseñas, etc.  La información que generen los trabajadores de la Facultad es propiedad de la entidad educativa, no se tiene autorización para su reproducción parcial o total. 3.4.2.2.3 Configuración de la Red.  Las direcciones Ip para los computadores de los estudiantes (laptops), serán asignados en forma dinámica, previo la creación de la cuenta.  Las computadoras de esritorio que están a cargo del personal administrativo, usarán direcciones Ip estáticas, las mismas que serán implantadas de acuerdo al mapa de direcciones que se encuentra a cargo del Administrador de la Red de la Facultad, esta información debe ser confidencial. 3.4.2.2.4 Correo  Todo el personal que labora en la Universidad Estatal de Bolívar, deberá contar con una cuenta personal y centralizada de correo electrónico. Las cuentas de correo para su creación o eliminación deberán ser solicitadas en forma física con el aval de la autoridad pertinente. 101

 El correo electrónico no debe ser usado para el envío de información reconocida como Spam.  La aplicación de correo electrónico debe garantizar la fiabilidad y seguridad de la información que se envia y recepta por este medio.  Las cuentas de correo serán configuradas para almacenar una cierta cantidad de información. 3.4.2.2.5 Antivirus  Las computadoras del personal que trabaja en la Institución Educativa, deben contar con un antivirus instalado.  Los antivirus instalados deberán estar configurados para estar en modo ejecución y las actualizaciones se las deberá hacer fuera del horario de oficina con la finalidad de no afectar al desempeño de la red.  Los escaneos de virus deberán ser realizados en forma periódica, con la finalidad de eliminar virus que puediran afectar al buen funcionamiento o desempeño de las computadoras.  Al momento de ser detectado algún virus, se deberá proceder con las acciones pertinentes para su mitigación. 3.4.2.2.6 Firewall  Unicamente los puertos necesarios deberán ser habilitados y los demás serán bloqueados o cerrados.  La configuración del firewall lo realizaremos utilizando Iptables (Ver Anexo 1).

102

 El administrador del firewall deberá manejar una bitácora sobre las configuraciones realizadas con sus respectivas fechas y de las pruebas de ingresos.  Se procederá a bloquear los sitios web que se considera no útiles (Ver Anexo 2). 3.4.2.2.7 Ataques a la red 3.4.2.3 Seguridad de las Aplicaciones 3.4.2.3.1 Software  El en Servidor de la Facultad se maneja el Sistema un Sistema Operativo que preste las siguientes características: o Bajo costo o Fiable o Escalable o Compatible o Permita actualización continua. o Control del Autenticación (Seguridad) o Transmisión de datos segura (Seguridad), etc. 3.4.2.3.2 Base de Datos  Analizar si se estan generando los backups de la base de datos.  Verificar si el backup generado, esta correcto y en la ubicación deseada.  Hacer un seguimiento aquellos usuarios que no han accedido a la base de datos. 103

 Revisar perfiles de usuario.  Verificar si los recursos asignados para el funcionamiento de la base de datos son los correctos para su óptimo funcionamiento. 3.4.2.3.3 Software en las Computadoras  Se deberá tener un listado de aplicaciones instaladas en la computadoras según las necesidades requeridas por el personal que labora en la institución educativa.  Se deberá manejar un documento histórico por cada computadora, en donde refleje información referente a las aplicaciones instaladas, reparación o cambio de hardware y mantenimiento del equipo.  Se deberá notificar al personal que labora en la institución educativa que esta prohibido la instalación de paquetes informáticos ajenos a su labor diaria.  Se realizará inspecciones periódicas para el control de software instalado.  En el caso que se necesite trabajar con un software específico y el mismo no conste en los listados de el o los administradores, se procederá a instalar previo oficio de autorización por parte de la autoridad pernitente. 3.4.2.3.4 Subida de Información  Para centralizar la información se utilizará un Webmin, el mismo que se instalará en el servidor de la Facultad  El ingreso al Webmin se lo podrá hacer mediante una cuenta de usuario, la misma que se podrá generar a los trabajadores de la Facultad previa autorización de las autoridades respectivas.  La creación de las cuentas de los usuarios, estará a cargo del área de sistema. 104

3.4.2.4 Seguridad Física 3.4.2.4.1 Mantenimeinto  Se deberá implementar un plan de mantenimiento para todos los equipos informáticos de la Facultad de Ciencias de la Educación cada cierto periodo. 3.4.2.4.2 Control de acceso físico al cuarto del servidor y oficinas.  La o las personas que ingresan al cuarto del servidor u oficinas, deberán ser identificado plenamente.  No se permitirá el ingreso al cuarto del servidor a personas ajenas a la institución educativa, salvo el caso de tener una autorización por parte de las autoridades de la Facultad.  Para el ingreso a las oficinas, las personas que ingresan serán, únicamente las que cuenten con el aval del responsable de cada oficina o cubículo.  Se deberá tener a la disposición de vigilancia por parte de personal de seguridad, dentro y fuera de la institución educativa.  El cuarto del servidor, oficinas y cubúculos deberá disponer de herramientas que ayuden a mitigar ciniestros, tales como: aire acondicionado (cuarto del servidor), extintores, energía auxiliar, detector de humo, etc. 3.4.2.4.3 Control de acceso a equipos  Se deberá configurar un usuario con clave para poder ingresar a manipular la computadora.  Se deberá configurar al BIOS para que al tratar de ingresar, se lo pueda hacer mediante la digitación de una calve.

105

 Los switch ubicados en el rack, deberán estar con las seguridades físicas apropiadas, con la finalidad de no permitir moverlo de su posición original.  Deberán ser desactivados los puertos USB o unidades de CD, con la finalidad de no prestar facilidades en el caso de robo de información, pero unicamente a aquellas computadoras que no utilicen estos dispositivos. 3.4.2.4.4 Dispositivos de Soporte  Los dispositivos con los que se deben contar en el cuarto del servidor, oficinas, cubículos, serán los siguiente: o Aire acondicionado.- La temperatura deberá estar entre los 18° y 22° (solo cuarto del servidor). o Alarmas detectoras de humo. o Pararrayos.- Para atraer a los rayos y canalizar su descarga eléctrica a tierra. o Conección a tierra. o Generador de energía.- El cual se activará automáticamente cuando se produsca un corte inesperado de energía eléctrica. o Ups.- Deberán estar instalados en cada equipo, para ayudar a cada uno a tener unos minutos de energía eléctrica y así poder apagarlos de manera correcta y segura. o Extintor.-

Deberán

contener

especificaciones

informáticos. o Regulador de voltaje. o Piso flotante. (solo cuarto del servidor). 106

para

equipos

 Se dispondrá del personal capacitado y autorizado para llevar a cabo las evaluaciones del correcto funcionamiento de los diferentes dispositivos. 3.4.2.4.5 Estructura del Edificio  El caurto será ubiacdo en los predios de la Facultad, el mismo que deberá ser asignado la seguridad pertinente, en cuanto a seguridades de acceso y contra a ruidos.  Al momento de su ubicación se deberá considerar el crecimiento a futuro. 3.4.2.4.6 Cableado Estructurado  Se debe desarrollar un documento donde se especifique los puntos de red, es decir, los planos de los equipos que pertenecen a la red.  Se deberá tomar en cuenta los incrementos de equipos con la finalidad de dejar pasado los cables, para su futura adecuación y utilización.  Se deberá planificar los tiempos en los cuales se procederá a la realización de un test de funcionamiento.  Se deberá medir frecuentemente el ancho de banda con el cual se esta trabajando.  Tener mucho cuidado al momento de que se presente un corte de fluido eléctrico, entonces los equipos deberán ser apagados de forma manual, ya que contarán con la alimentación de energía por medio de los ups. 3.4.2.5 Administración del Centro de Servidores 3.4.2.5.1 Administración del Centro  El Centro de Servidores estará a cargo de una persona que cuente con amplios conocimientos en el área de Sistemas, ya que esta bajo su responsabilidad la 107

correcta operabilidad de los sistemas y de brindar la seguridad de la información.  A más del profesional en Sistemas, se podrá contar con la ayuda de otras personas, de la misma área, con la finalidad de cumplir responsablemente con actividades planificadas y controles respectivos.  Se realizará un cronograma de actividades, en el cual se detallará: tareas prioritarias, sus responsables e involucrados, recursos necesarios, etc.  Se mantendrá reuniones con los directivos de la facultad para dar a conocer sobre las actividades que se pretende realizar y de los avances que se han obtenido hasta la fecha según la planificación del cronograma, todo esto con el proposito de saber los motivos por los cuales no se cumplen las actividades planificadas.  Se debe mantener charlas sobre la importancia de la seguridad de la información, los mecanismos instalados, las amenazas y las formas como mitigar este tipo de problemas, con la finalidad de concientizar a todas las personas que laboran en la facultad.  En esta dependencia, se contará con un informe de inventario de los equipos informaticos con los que se cuentan e ir actualizando cada cierto tiempo. 3.4.2.5.2 Capacitación  Capacitaciones específicas constantes a las personas que laboran en el área de sistemas con la finalidad de tener un buen y actualizado desempeño.  Capacitación sobre el manejo de los equipos informáticos a las personas que laboran en la facultad, además de capacitaciones en las áreas de cada trabajador, el mismo que contribuye al buen y actualizado desempeño.

108

 Se debe manejar políticas de seguridad, y el mismo deberá ser difundido con capacitaciones a los empleados que laboran en la facultad, además se entregará en forma física dichas políticas.  Será de vital importancia contar con documentación legalmente firmada por las personas que laboran en la facultad , dando a conocer su compromiso de no divulgar información referente a la entidad educativa durante cierto tiempo, este compromiso será renovado cada ciclo o cada año. 3.4.2.5.3 Backup  El jefe de sistemas deberá designar un equipo de trabajo para la realización y generación de los Backups.  Se definirá un procedimiento para la realización de los Backups, en el cual se detallará la siguiente información: o Datos relevantes del backup, como la fecha, responsable, etc. o La importancia de la información, la cual determinará la frecuencia que se realizarán los respaldos. o El lugar de almacenamiento de la información respaldada, dando como sugerencia que debería ser en un lugar ajeno a la entidad educativa. o Determinar la o las personas encargadas de trasladar los backups a su lugar de almacenamiento. o Realizar revisiones a los medios de almacenamiento de los respaldos de información.  Se deberá definir el procedimiento, donde se especifique la forma como se desarrollarán las restauraciones de las respaldos de información sacados con anterioridad. 109

3.4.2.5.4 Documentación  La información del área de sistemas deberá ser generada en forma digital y física y será responsabilidad de un integrante del área.  Con respecto a los eventos sucitados en el área de sistemas, es decir, la funcionalidad de los servidores, se debe manejar una bitácora en donde se describa el tipo de evento, solución, fecha, hora.  Se manejará un registro de actividades diarias por parte del personal de sistemas. Validación y/o evaluación de resultados de su aplicación Se utilizó la investigación-acción para analizar los resultados de la investigación.

ACTIVIDAD

TIEMPO DE EJECUCIÓN

REPONSABLE

Entrevista a las autoridades de la Facultad

30 minutos

Investigador

Realizar un análisis de la situación actual de la información en general.

180 minutos

Investigador

Encuesta a responsables del manejo de archivos y documentos.

60 minutos

Investigador

Desarrollo de la Metodología de aplicación del Sistema de Información

120 horas

Investigador

Taller de práctica para conocer sobre la seguridad y el sistema de información

5 horas

Investigador

110

Conclusiones Generales No existen mecanismos que brinden seguridad a la información que se recepta y se genera en la Facultad de Ciencias de la Educación, Sociales, Filosóficas y Humanísticas de la Universidad Estatal de Bolívar Se evidencia la poca cultura de mantener en seguridad la información de carácter administrativo en la Facultad. Los talentos Humanos de la facultad no dominan el manejo de sistemas de información automatizados. Recomendaciones Generales Que se creen mecanismos que brinden seguridad a la información que se recepta y se genera en la Facultad. Fomentar la utilización de software y hardware apropiado para consolidar la cultura de mantener en seguridad la información de carácter administrativo en la Facultad. Capacitar a todos los talentos Humanos de la facultad sobre los riegos que amenazan a la información y los diferentes medios para mantenerla segura.

111

BIBLIOGRAFÍA

Aguilera, P. (2010). Seguridad Informática. Madrid - España: Editex S.A. Alfonso García, C. H. (2011). Seguridad Informática. Madrid - España: Paraninfo. AreitioBertolín, J. (2008). Seguridad de la Información. Madrid - España: Paraninfo. Atehortúa Hurtado, F. A., Bustamante Vélez, R. E., & Valencia de los Ríos, J. A. (2008). Sistema de Gestión Integral. Colombia: Universidad de Antoquia. Avellaneda, J. C. (2013). Análisis detallado de la nueva versión ISO 27001:2013. España: Proyectos y Formación, S.L. Chiavenato, I. (1999). Introducción a la Teoría General de la Administración. Santa Fé de Bogota: Mc Graw Hill. Comité de Seguridad de la Información. Coordinación General. (1 de Abril de 2009). Políticas de Seguridad de la Información. Recuperado el 1 de Noviembre de 2013, de

Políticas

de

Seguridad

de

la

Información:

www.utn.edu.ar/download.aspx?idFile=14736 Díaz, G., Mur, F., Sancristóbal, E., & Castro, M. A. (2012). Seguridad en la Comunicaciones y en la Información. Madrid: Universidad Nacional de Educación a Distancia. Fisher, R. p. (1984). Seguridad en los Sistemas Informáticos. Madrid - España: PrenticeHall, Inc. Gómez Vieites, A. (2007). Enciclopedia de la Seguridad Informática. México: Alfaomega Grupo Editor, S. A.

Mieres, J. (01 de Enero de 2009). Ataques Informáticos. Recuperado el 02 de Febreo de 2014,

de

Debilidades

de

seguridad

comúnmente

explotadas:

https://www.evilfingers.com/publications/white_AR/01_Ataques_informaticos.pdf Ortiz Orellana, A., & Villegas Lara, R. A. (2014). Seguridad de la Información. Guatemala: Universidad de San Carlos de Guatemala. Royer, J.-M. (2004). Seguridad en la Informática de Empresa. Barcelona: ENI. Vallina, M. M. (2010). Tratamiento Informático de la Información. Madrid - España: Paraninfo. WEB GRAFIA http://www.microsoft.com/conosur/technet/articulos/seguridadinfo/ http://www.iso27000.es/download/doc_sgsi_all.pdf http://www.sunai.gob.ve/images/stories/PDF/Ponencias/EF/3_Daniel_sandoval.pdf http://www.siicex.gob.pe/siicex/resources/capacitacion/6775ce6a-09a5-4b24b25a-ad1ab2558cac.pdf http://www.criptored.upm.es/descarga/normas_segu_info_marzo_2014.pdf

ANEXOS

Listas de Anexos Anexo 1 Implementación de Seguridad con Firewall 1. Para iniciar abrimos un terminal.

2. Tenemos que levantar el servicio de Iptables, con el siguiente comando:

3. Desactivamos los ip6tables para poder utilizar el servicio iptables.

4. Para hacer que Iptables se inicie automáticamente cuando arranca el sistema, se debe ingresar la siguiente línea de comando.

5. Para bloquear el paso de paquetes entrantes o salientes alguna puerta de enlace de red, se debe ingresar la siguiente línea de comando.

6. La configuración del firewall permanece mientras el sistema este encendido y para grabar las configuraciones que se desarrollen y no se pierdan cuando se apague o si reinicie el sistema se debe aplicar la siguiente línea de comando:

7. Los administradores deben ir abriendo los puertos de comunicación acorde a sus necesidades. Por ejemplo el puerto 80, para abrir seria la siguiente línea de código.

8. Para permitir el acceso a sitios web seguros, deberá abrir el puerto 443, de la siguiente manera.

9. Para permitir las conexiones con clientes remotos, deberá ingresar la siguiente línea de código.

Anexo 2 Bloquer sitios web con Squid 1. Se debe instalar squid, con el siguiente comando.

2. Hay que acceder al siguiente directorio, para la configuración respectiva.

3. Quitamos el comentario de la línea de código, de la siguiente manera.

4. Ahora, en el mismo archivo de configuración, debemos especificar la red en la cual estamos trabajando, y creamos un archivo para especificar los sitios web que se desea bloquear, de la siguiente manera.

5. Para activar la configuración del bloqueo del archivo con las direcciones de los sitios web, especificar las siguientes líneas de comandos. Guarde los cambios.

6. Creamos el archivo que va contener las direcciones bloqueadas de la siguiente manera.

7. Insertamos los sitios que deseamos bloquear en el archivo creado, de la siguiente manera.

8. Se debe reiniciar el servicio de squid.

9. Ahora se procede a comprobar si la configuración esta funcionando.

Como se puede observar en la imagen, si se tiene acceso al sitio web, pero esto se debe a que el proxy no esta funcionando, para lo cual se debe levantar el servicio del mismo.

10. Inicializamos el proxy con la dirección Ip y el puerto, de la siguiente manera. Ingresamos al navegador de internet para la activación del proxy, se ilustra en base a las siguientes imágenes.

Luego damos click en configuración.

Ingresamos la Ip de la computadora y el puerto por defecto que se utiliza, luego aceptar. 11. Prueba final.

Anexo 3 Instalación del Webmin 1. Ingresamos al terminal y se escribe: yum install openssl apache mod_ssl

2. Descarga la última versión de webmin de www.rpmfind.net, o desde el terminal

se

puede

utilizar

la

siguiente

línea

de

comando

wget

ftp://194.199.20.114/linux/sourceforge/w/we/webadmin/webmin-1.6601.noarch.rpm

3. Ingresamos al Webmin desde un navegador de internet, escribiendo localhost/10000 o el dominio.

4. Ingresamos el nombre de usuario y su respectiva contraseña.

5. Se a instalado correctamente el Webmin y podremos ver la pantalla de administración Anexo 4 Instalación de m0n0wall 1. Ingresamos a la siguiente páguina http://m0n0.ch/wall/downloads.php, para proceder a la descarga del softwware.

2. Una vez decargado el software, procedemos a la instalación.

3. Al momento de seleccionar la opción 7, aparece el nombre del disco duro, ingresamos la letra y para confirmar la instalación.

4. Ahora seleccionamos la opción 1 y pregunta si deseamos configurar las Vlans, en este caso como no deseamos hacerlo, ingresamos la letra n.

5. A continuación se presenta información referente a las interfases de redes detectadas, ingreso la letra y para continuar.

6. Para comprobar si las conexiones estan correctas, podemos seleccionar la opción 6, para hacer un ping a una dirección conocida.

7. Selecciomos la opción 2 para la configuración del DHCP, en donde se describirá la dirección inicial y final

8. Luego de esto podremos acceder a modo gráfico del m0n0wall, ingresando en un navegador la siguiente dirección http://192.168.1.1, que es por defecto configurada.En el caso de pedir cuenta de usuario el login del administrador por defecto es: admin y su contraseña es mono.

Anexo 5 Encuestas realizadas al Personal Administrativo que labora en la Facultad de Ciencias de la Educación, Sociales, Filosóficas y Humanísticas de la Universidad Estatal de Bolívar

1. Cree usted que la información de los estudiantes esta almacenada de forma segura. SI NO 2. El tiempo que se requiere para entrega de documentos o certificados a los estudiantes es de. UN DIA DOS DIAS OCHO DIAS QUINCE DIAS 3. A tenido problemas, referente a la perdida de documentos de los estudiantes SI NO A VECES NUNCA 4. Las personas encargadas de la información de los estudiantes, brindan una atención ágil SI NO A VECES NUNCA 5. Le gustaría tener la información digitalizada y respaldada SI NO 6. La documentación para: matriculas, pase se ciclo académico, son generados con seguridad y en el tiempo establecido. SI NO A VECES 7. El computador de trabajo que utiliza está protegido sobre ataques informáticos Si No 8. Los respaldos de información personalizados los realiza cada:

Semana Mes Ciclo Académico Año Nunca 9. El nivel de seguridad de la sala de archivo es: Alto Medio Bajo 10. Cree usted que el proceso administrativo mejore al contar con una metodología de seguridad de la información. Si No

Anexo 6 Entrevista realizada al Señor Decano de la Facultad de Ciencias de la Educación, Sociales, Filosóficas y Humanísticas de la Universidad Estatal de Bolívar 1. Cuál es su opinión sobre la Seguridad de la Información. 2. En qué nivel usted considera que la información que maneja la facultad, está segura. 3. Considera usted que el personal que labora en la Facultad de Ciencias de la Educación, le da la importancia que se merece a la Seguridad de la Información.

4. Cuáles son los mecanismos que implementan las personas que labora en la Facultad de Ciencias de la Educación para sacar respaldos de información.

5. Considera que los procesos administrativos deben estar respaldados por una metodología de Seguridad de la Información.

6. El nivel de prioridad que usted le asignaría a la implementación de una metodología de Seguridad de la Información, seria:

Anexo 7 Certificación del Director del Departamento de Informática y Comunicación de la Universidad Estatal de Bolívar