Está en la página 1de 100

PROTOCOLO DE POLTICAS DE SEGURIDAD INFORMTICA PARA LAS

UNIVERSIDADES DE RISARALDA

JORGE LUIS GALEANO VILLA


CRISTIAN CAMILO ALZATE CASTAEDA

UNIVERSIDAD CATLICA DE PEREIRA


FACULTAD DE CIENCIAS BSICAS E INGENIERA
PROGRAMA DE INGENIERA DE SISTEMAS Y TELECOMUNICACIONES
PEREIRA
2013

1
PROTOCOLO DE POLTICAS DE SEGURIDAD INFORMTICA PARA LAS
UNIVERSIDADES DE RISARALDA

JORGE LUIS GALEANO VILLA


CRISTIAN CAMILO ALZATE CASTAEDA

ASESOR
ING. JULIO CESAR CANO RAMREZ

UNIVERSIDAD CATLICA DE PEREIRA


FACULTAD DE CIENCIAS BSICAS E INGENIERA
PROGRAMA DE INGENIERA DE SISTEMAS Y TELECOMUNICACIONES
PEREIRA
2013

2
DECLARACIN DE DERECHOS DE AUTOR

Programa de Ingeniera de sistemas y Telecomunicaciones, Universidad


Catlica de Pereira.

Por la presente se deja constancia de ser el autor del trabajo de grado titulado:

PROTOCOLO DE POLTICAS DE SEGURIDAD INFORMTICA PARA LAS


UNIVERSIDADES DE RISARALDA. Que present como requisito parcial para
optar por el ttulo de Ingeniero de Sistemas y Telecomunicaciones.
Asesorado por el Ingeniero Julio Cano Ramrez.

Dejando constancia la autorizacin en forma gratuita a la Universidad Catlica


de Pereira para utilizar este material en aplicaciones acadmicas,
publicaciones y como referencia para futuros estudios del tema.

___________________________ ___________________________

Cristian Camilo Alzate Castaeda Jorge Luis Galeano Villa

3
AGRADECIMIENTOS

Primero que todo queremos agradecer a nuestro padre superior Dios, que fue quien nos
guio en todo momento con su sabidura y divinidad en el andar de esta experiencia.

Agradecemos inmensamente a nuestros padres que sin ellos no habra sido posible
empezar y culminar esta etapa tan importante de la vida, como lo es formarnos
profesionalmente y con sentido social apoyados por los valores inculcados en nuestro
hogar puestos a prueba en la universidad.

Igualmente le agradecemos al tutor, el ingeniero Julio Csar Cano Ramrez por compartir
tantos conocimientos y su constante colaboracin en la realizacin de este proyecto, y
tambin nuestro primer tutor el ingeniero lvaro Morales por iniciar este proceso y
orientarnos con sus aportes.

Por ltimo a todas aquellas personas, amigos y familiares que de alguna u otro manera
estuvieron involucradas en el transcurso de la carrera y de este proyecto agradecemos
toda su colaboracin y paciencia.

4
RESUMEN

Las malas prcticas de la seguridad informtica y la poca importancia que se le


da a la misma en su implementacin y divulgacin en las instituciones de
educacin superior impulso a plantear un protocolo de seguridad informtica.

De esta manera el objetivo del trabajo es proponer un protocolo que marque


unas pautas claras al momento de implementar la seguridad en las
instituciones de educacin superior proporcionando una orientacin y unas
recomendaciones en la eleccin de herramientas.

De esta forma, se realiz un estudio basado en sondeos a estudiantes de


diferentes universidades y distintos programas, adems de una serie de
entrevistas a los encargados del rea de sistemas, por lo que elegimos el
tamao de la muestra de acuerdo a la necesidad utilizando estadstica no
probabilstica. Donde se realizaron una serie de encuestas y entrevistas en las
universidades ms importantes de la ciudad, tanto en la parte administrativa
como la parte acadmica, dando como resultado que no hay unas buenas
practicas implementadas de seguridad informtica y poco conocimiento e
importancia por la parte acadmica y administrativa.

Se puede concluir que la seguridad informtica juega un papel muy importante


en las universidades, por lo cual, es importante realizar unas buenas prcticas
de seguridad, para as mantener un alto estndar de proteccin de la
informacin

Palabras claves: Seguridad informtica, instituciones de educacin superior,


Protocolo, vulnerabilidades, Amenazas,

5
ABSTRACT

The bad computer security practices and the lack of importance,


implementation and dissemination given to it in universities, boost us to
propose a security protocol.

For that reason, the aim of this work is to carry out a security protocol that
marks clear guidelines at moment to implement security in higher education
institutions, that provide them guidance and recommendations in tools choice .

In that way , we conducted a study based on students surveys of different


universities and programs, along with a series of interviews carried out at area
managers of systems; so we chose the sample size according to need, using
statistical not random. In addition there were a series of surveys and interviews
in the most important universities in the city, both in administrative and
academic side, as a result of that, there is not a safe computer security
practices implemented, little knowledge and lack of importance on security as
much for academic and administrative side.

As a conclusion, information security plays a very important role in universities,


so it is important to make a good security practices in order to maintain a high
standard of information protection.

Keywords: Computer security, higher education institutions, Protocol,


Vulnerabilities, Threats.

6
NDICE

Tabla de Contenido

DECLARACIN DE DERECHOS DE AUTOR ......................................................................... 3


AGRADECIMIENTOS .......................................................................................................... 4
RESUMEN .......................................................................................................................... 5
ABSTRACT ......................................................................................................................... 6
NDICE ............................................................................................................................... 7
1. INTRODUCCIN...................................................................................................... 10
2. DESCRIPCIN DEL PROBLEMA ............................................................................... 11
2.1 Planteamiento del problema ............................................................................................ 11
2.2 Formulacin del problema ................................................................................................ 13

3. OBJETIVOS .............................................................................................................. 14
3.1 Objetivo general ................................................................................................................ 14
3.2 Objetivos especficos ......................................................................................................... 14

4. JUSTIFICACIN ....................................................................................................... 15
5. PLANTEAMIENTO DE LA HIPTESIS ....................................................................... 17
6. DELIMITACIN ....................................................................................................... 18
6.1 Espacial .............................................................................................................................. 18
6.2 Temporal ........................................................................................................................... 18

7 IDENTIFICACIN DE VARIABLES ............................................................................. 19


7.1 Variable Independiente. ................................................................................................... 19
7.2 Variable Dependiente ....................................................................................................... 19

8. PRESUPUESTO ........................................................................................................ 20
9. CRONOGRAMA DE ACTIVIDADES........................................................................... 22
10. MARCO CONTEXTUAL ........................................................................................ 23
11. MARCO TERICO ................................................................................................ 24
11.1 Antecedentes .................................................................................................................... 24
11.2 Conceptos claves ............................................................................................................... 25

7
11.2.1 Seguridad de la informacin ..................................................................................... 25
11.2.2 Seguridad informtica ............................................................................................... 25
11.2.3 Mecanismos de seguridad......................................................................................... 25
11.2.4 Seguridad pasiva........................................................................................................ 26
11.2.5 Seguridad activa ........................................................................................................ 26
11.2.6 Seguridad fsica ......................................................................................................... 26
11.2.7 Seguridad lgica ........................................................................................................ 26
11.2.8 Arquitectura de seguridad OSI .................................................................................. 27
11.2.9 Servicios de seguridad ............................................................................................... 27
11.3 Normas ISO sobre gestin de seguridad de la informacin. ............................................. 30
11.3.1 ISO 27000 .................................................................................................................. 31
11.3.2 ISO 17000 .................................................................................................................. 32
11.4 Consideraciones al abordar la construccin del Protocolo para elaborar polticas de
seguridad ....................................................................................................................................... 35
11.4.1 Seguridad Informtica ............................................................................................... 35
11.4.2 Anlisis de Riesgos..................................................................................................... 37
11.4.3 Evaluacin de Riesgos ............................................................................................... 37
11.4.4 Importancia de la seguridad ...................................................................................... 40
11.4.5 Funciones de la seguridad informtica ..................................................................... 41
11.4.6 Polticas generales de seguridad ............................................................................... 44
11.4.7 Protocolos ................................................................................................................. 49

12 MODELOS TERICOS.............................................................................................. 53
12.1 Sistema de Gestin de la Seguridad de Informacin (SGSI) .............................................. 53
12.1.1 Modelo PDCA ............................................................................................................ 53
12.1.2 Otra proposicin de una forma de realizar el anlisis para llevar a cabo un sistema
de seguridad informtica .......................................................................................................... 55

13 CONCRECIN DEL MODELO ................................................................................... 57


13.1 Metodologa utilizada ....................................................................................................... 57
13.2 Resultados de las encuestas y entrevistas ........................................................................ 61
13.3 Proposicin del protocolo para elaborar polticas de seguridad informtica ................... 67

14 CONCLUSIONES ...................................................................................................... 77
15 RECOMENDACIONES .............................................................................................. 78
16 REFERENCIAS BIBLIOGRFICAS .............................................................................. 79
17 GLOSARIO ............................................................................................................... 82
18 ANEXOS .................................................................................................................. 88

8
Listado de Ilustraciones

1 PORCENTAJE DE DISTRIBUCIN PRESUPUESTO ........................................................ 21


2 CRONOGRAMA ...................................................................................................... 22
3 GRAFICO ISO 27000 ............................................................................................ 30
4 ENFOQUE ISO 17000 ........................................................................................... 33
5 MODELO PDCA .................................................................................................... 53
6 RESULTADOS PREGUNTA 1 ACADMICOS ................................................................ 61
7 RESULTADOS PREGUNTA 2 ACADMICOS ................................................................ 62
8 RESULTADOS PREGUNTA 8 ACADMICOS ................................................................ 62
9 RESULTADOS PREGUNTA 14 ACADMICOS .............................................................. 63
10 RESULTADOS PREGUNTA 1 ADMINISTRATIVOS ....................................................... 63

Listado de Tablas

1 VARIABLE INDEPENDIENTE ..................................................................................... 19


2 VARIABLE DEPENDIENTE ........................................................................................ 19
3 PRESUPUESTO...................................................................................................... 20
4 TOTAL ENTREVISTAS Y ENCUESTAS ........................................................................ 66
5 INVENTARIO EQUIPOS DE CMPUTO ....................................................................... 69
6 INVENTARIO TERMINALES ....................................................................................... 69
7 DISPOSITIVOS DE RED ........................................................................................... 70
8 INVENTARIO DE SERVICIOS..................................................................................... 70

9
1. INTRODUCCIN

En las instituciones de educacin superior se ha encontrado que no se le da la


importancia necesaria a la seguridad informtica, ya que segn estudios
realizados mediante encuestas y entrevistas en las diferentes sedes
universitarias de la ciudad de Pereira, se pudo concluir que son muy pocas las
que tienen algn indicio de seguridad y aquellas que la tienen apenas se
encuentran en proceso de implementacin, igualmente se observ que no se
estn guiando por metodologas, tcnicas o normas de seguridad
estandarizadas y con aplicacin especfica al entorno acadmico, si no con
una mezcla, la cual no asegura un buen proceso final

De igual manera se pudo detectar que los usuarios tanto administrativos


como acadmicos no tienen conocimiento sobre seguridad informtica.
Tambin se observ que en las instituciones donde tienen un mnimo de
seguridad en la parte de sistemas no tienen claro el concepto del mismo, ni hay
una socializacin a los usuarios sobre las polticas de seguridad establecidas.

Por esta razn se ha realizado un protocolo basado en la norma ISO 27000


e ISO 17000, entendiendo que la seguridad tiene una parte muy importante
que es la evaluacin y anlisis de riesgos, y as se concluye con la propuesta
de un protocolo de seguridad que puede ser aplicado en las instituciones de
educacin superior el cual permitir guiar y facilitar su implementacin
garantizando una disponibilidad, integridad y seguridad de la informacin en un
porcentaje muy alto de aplicacin y proteccin.

10
2. DESCRIPCIN DEL PROBLEMA

2.1 Planteamiento del problema

Con el constante crecimiento de las tecnologas de la informacin, se va


acrecentando tambin la aparicin de nuevas aplicaciones, nuevos avances
tcnicos y mejoramiento en la funcionalidad de los mismos. De forma paralela
a estos avances surgen nuevos riesgos y vulnerabilidades que pueden ser
utilizadas para comprometer nuestros sistemas, nuevos virus y software
malicioso circulando en la red, diseados para alterarlos o cometer fraudes.

Otro fenmeno que se est presentado en la actualidad, es el enorme


crecimiento de los ataques cibernticos, segn declara un estudio de la
agencia Akamai, la cual registr un aumento de un 2000% de los ataques de
denegacin de servicio (DDoS). La Verizon Business dio a conocer el listado
del top 15 ataques ms frecuentes contra organizaciones, estos son:

Keyloggers y spyware (19%):


Puerta trasera, comandos de control (18%).
SQL Injection(18%).
Violacin de privilegios/acceso del sistema (17%).
Acceso no autorizado a travs de credenciales por defecto (16%).
Violacin de las polticas de uso (12%).
Acceso no autorizado a travs de listas de control de acceso (ACL) mal
configuradas (10%).
Sniffers(9%).
Acceso no autorizado a travs de credenciales robadas (8%).
Ingeniera social (8%).
Authentication bypass (6%).

11
Robo fsico de activos (6%).
Ataques por fuerza bruta (4%).
RAM scraper (4%).
Phishing (4%).

En el informe se identifica, clasifica y esboza los ataques ms comunes.


Para cada tipo de ataque, el informe proporciona escenarios reales, seales de
alertas, cmo se ha orquestado el ataque, en qu activos se centraron los
atacantes, qu industrias son las ms afectadas y cules son las
contramedidas ms eficaces.

Fuente: Verizon Business

Resulta casi imposible que se detecten todos o que se pueda prevenir su


totalidad, sin embargo, es importante que se tengan indicadores y controles
que ayuden a mitigar estos riesgos. De all que sea importante conocer un

12
poco ms acerca de estos ataques, cmo operan, de qu manera se pueden
combatir, entre otros.

2.2 Formulacin del problema

Debido a los problemas presentados y a las fallas de seguridad registradas, al


poco conocimiento que tienen las organizaciones del concepto de seguridad
informtica, se hace necesario descifrar si se requiere de un documento
adicional o de uno de ms fcil aplicacin por parte de las instituciones de
educacin superior que facilite la compresin de lo que es la seguridad
informtica, lo que esta implica y lo que conlleva a no tenerla implementada.
De acurdo a esto podemos decir:

Cmo debe disearse el protocolo de poltica de seguridad informtica para


las universidades de Risaralda?

Cmo favorece a las universidades de Risaralda contar con una serie de


pasos y/o reglamentos para la implementacin de la seguridad?

Cules son los puntos principales que deben ser incluidos en el protocolo de
poltica de seguridad para las universidades de Risaralda?

13
3. OBJETIVOS

3.1 Objetivo general

Construir y proponer un protocolo para la elaboracin de una poltica seguridad


informtica para instituciones de educacin superior en Risaralda.

3.2 Objetivos especficos

Documentar y consultar sobre seguridad informtica.

Documentar y consultar sobre protocolos.

Clasificar la informacin y aplicaciones de los sistemas informticos


utilizados en las universidades.

Identificar los principales aspectos vulnerables de un sistema de


seguridad informtica.

Consultar sobre las normas ISO 17000 e ISO 27000 como metodologas
para la seguridad informtica.

14
4. JUSTIFICACIN

La seguridad informtica es el proceso por medio del cual se protegen los


activos informticos. Se debe tener en cuenta que en la actualidad, la
informacin juega un papel muy importante y es considerado el activo ms
valioso en todas las organizaciones, lo cual ha generado que se le d mayor
atencin a la disponibilidad, confidencialidad e integridad de los sistemas
informticos para as garantizar una fluidez de informacin segura y sistemas
protegidos.

Por tanto, se hace necesario contar con estrategias y procedimientos a la


hora de implementar la seguridad informtica, para as garantizar el correcto
funcionamiento de los sistemas y al momento de un posible ataque o desastre
natural que conlleve a perdida de informacin o sistemas informticos, saber
cmo actuar para mitigar el problema tomando los correctivos apropiados.

Haciendo relacin a las universidades de Risaralda, estas instituciones


educativas de educacin superior requieren de gran control en este aspecto,
as como unas polticas bien establecidas en todo lo que concierne al manejo
de informacin de datos y usuarios, que sean precavidas a la hora de permitir
el acceso a los sistemas informticos.

La informacin y su confidencialidad es un tema de gran importancia, tanto


a nivel personal como empresarial e institucional, de ah que se realicen
continuas investigaciones acerca de los nuevos riesgos que se presentan,
debido al avance de la tecnologa, la cual genera diversas herramientas para
los usuarios quienes pueden utilizarlas con buena o mala intencin de acuerdo
al objetivo que esta tenga para atacar sistemas que no cumplan o no se
preocupan por proteger su entorno tecnolgico.

15
Recientes estudios han relevado que el 73% de las empresas han sufrido
un ataque informtico, y que estas compaas mueven el 96% de la economa del
pas, es evidente la falta de aseguramiento informtico segn artculos de revistas
especializadas en el tema, como lo es la revista digital Enter donde publican
expertos en seguridad .

De igual manera se detect en la indagacin realizada el poco conocimiento


sobre el tema, especialmente por parte de directivos de empresas e instituciones
de educacin superior, que no valoran la importancia de su informacin, adems
no son conscientes de que esto puede acarrear una afectacin tanto a nivel
econmico como a nivel organizacional, ya que lo que est en juego es la
seguridad de la informacin, la cual, se considera uno de los activos ms
importantes

16
5. PLANTEAMIENTO DE LA HIPTESIS

Construir un protocolo para la generacin de polticas de seguridad informtica


al interior de las universidades y la implementacin de stas mejorar
notablemente la seguridad y evitar en gran medida la perdida de informacin
por ataques, descuidos del usuario y/o fallas de seguridad.

17
6. DELIMITACIN

6.1 Espacial

El proyecto se realizar en el departamento de Risaralda, para las universidades


que decidan acogerlo y hacer seguimiento. Se entregarn las recomendaciones y
las metodologas para su puesta en marcha y control.

6.2 Temporal

El proyecto se desarrollar entre el segundo semestre de 2012 y el primer


semestre del ao 2013

18
7 IDENTIFICACIN DE VARIABLES

7.1 Variable Independiente.

TIPO DE OPERACIN
VARIABLE VARIABLE NALIZACIN CATEGORAS DEFINICIN
El seguimiento de
La presencia o
Protocolo para un protocolo puede
ausencia de una
elaborar Normas garantizar la
Cualitativa gua de
polticas de Modelos elaboracin de
seguridad
Seguridad adecuadas normas
genera polticas
de seguridad
1 Variable independiente

Fuente: Elaboracin propia

7.2 Variable Dependiente

Cuadro 1. Identificacin de variable dependiente.

TIPO DE OPERACIO
VARIABLE VARIABLE NALIZACIN CATEGORAS DEFINICIN
La implementacin
La presencia o
correcta de la
ausencia de la
Integridad poltica de
Poltica de poltica de
Cualitativa Confidencialida seguridad minimizan
Seguridad seguridad causa un
d Disponibilidad los riesgos en la
impacto positivo en
seguridad
las universidades
informtica
2 Variable dependiente

Fuente: Elaboracin propia

19
8. PRESUPUESTO

3 Presupuesto

Costo
Materia Fungible Unidades Unidad Costo

Resma Papel 1 $15.000 $15.000

Cartuchos de Tinta 2 $45.000 $90.000

Fotocopias 85 $100 $8.500

CD-ROM 2 $1.000 $2.000

Argollado 1 $10.000 $10.000

Total Costo Material Fungible $125.500

Costo
Comunicaciones Unidades Unidad Costo

Celular 4 $60.000 $240.000

Total Costo de comunicaciones $240.000

Costo
Gastos Varios Unidades Unidad Costo

Pasajes 128 $1.700 $217.600

Gasolina 6 $30.000 $180.000

Almuerzos 8 $5.500 $44.000

Total Gastos Varios $441.600

Imprevisto (10% del Proyecto) $80.710

Total $887.810

20
Fuente: Elaboracin Propia

Grfico de distribucin de porcentaje de acuerdo a los gastos

Comunicacion
es
27%

Materia
Fungible Gastos Varios
14% 50%
Imprevisto
9%

1 Porcentaje de distribucin presupuesto


Fuente: Elaboracin Propia

En el anterior presupuesto se refleja los costos que se han tenido a lo largo de la


elaboracin del proyecto, los cuales, se clasifican en: Material fungible,
comunicaciones, gastos varios e imprevistos dando un valor total de $887.810

21
9. CRONOGRAMA DE ACTIVIDADES

Fecha de inicio: 20 Agosto 2012

Fecha de finalizacin: 31 de Mayo 2013

Realizadores: Cristian Camilo Alzate Castaeda, Jorge Luis Galeano Villa

Tutor: Ing. Julio csar Cano Ramrez

Agosto Septiembre Octubre Noviembre Diciembre Enero Febrero Marzo Abril Mayo
Nro Actividad 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
1 Formuacion del proyecto
2 Investigacion
3 Marco Teorico
4 Entrevistas
5 Encuestas
6 Diseo del Protocolo
7 Conclusiones
8 Resumen
9 Organizacin de documento
2 Cronograma

Fuente: Elaboracin Propia

22
10. MARCO CONTEXTUAL

El proyecto se va a desarrollar para las diferentes instituciones de educacin


superior del departamento de Risaralda, por lo cual, se seleccionaron las
universidades ms importantes de la regin, como lo son la Universidad
Andina, Universidad Libre, Universidad Tecnolgica de Pereira y la Universidad
Catlica de Pereira donde se realizaron una serie de entrevistas y encuestas
dando como resultado el poco conocimiento por la parte administrativa y
acadmica de seguridad y la pobre implementacin de polticas de seguridad
en los campus universitarios.

La regin tiene una proyeccin de crecimiento alto en su nivel social,


econmico, cultural y educativo, ya que se detecta un aumento de empresas,
centros comerciales y universidades de otras ciudades, lo que motiva la
migracin de estudiantes provenientes de diferentes destinos del pas, esto ha
causado mayores requerimientos de capacitacin, educacin etc., y ha creado
ms necesidades de manejo de la informacin, lo cual conlleva
necesariamente a que se tenga o generen escenarios adecuados para que se
presenten vulnerabilidades de seguridad en sus sistemas informticos.

El incremento de instituciones de educacin superior y de otro tipo, tales


como educacin no formal, y el tipo de informacin que se maneja al interior
de ellas, as como la necesidad de que interacten con el sistema de
informacin acadmico y el administrativo para los servicios que se prestan a
la comunidad acadmica como el proceso de matrcula, inscripcin, consulta
de notas, solicitudes, procesos acadmicos etc., hace que se presente un
escenario importante de anlisis para la seguridad informtica.

23
11. MARCO TERICO

11.1 Antecedentes

Las normas en seguridad informtica como la ISO 27000 se han gestado a partir
de entidades normalizadores britnicas como lo es la (British Standards Institution)
que publicaron documentos sobre prcticas en Seguridad para empresas desde
1995, a partir de esto se empez a gestar la familia 27000 el ao 200 como
requisito para un Sistema de gestin de la seguridad de Informacin o SGSI, que
puede ser adoptado en el mbito internacional, de all siguen surgiendo
complementos como la norma ISO 17000.

En la actualidad se han desarrollado estudios e investigaciones sobre


seguridad informtica, as como proyectos de grado relacionados con el tema. Tal
caso puede ser un anlisis de la seguridad a una empresas especfica y tambin
universidades, un ejemplo claro est en la Universidad Catlica de Pereira cuya
poltica se ha desarrollado a partir de un trabajo de grado, tambin se encuentran
la elaboracin de polticas de seguridad para organizaciones como Apostar, de
igual manera el CDA de Cartago y en general mucha documentacin sobre el
tema y sobre los diferentes mtodos de deteccin y ataques a sistemas
informticos.

Pero no existe en el momento una gua para que las propias universidades, es
decir los encargados del rea de sistemas puedan revisar todo lo relacionado con
la seguridad y a partir de all generar su propia poltica basados en los pasos
planteados en el presente trabajo, as como concientizarse de la importancia de
tener esto implementado, actualizado y socializado con toda la comunidad
acadmica.

24
11.2 Conceptos claves

11.2.1 Seguridad de la informacin

Es un trmino que hace referencia a la seguridad de activos de forma general,


incluyendo la seguridad informtica, la seguridad TIC y la seguridad de los datos.

11.2.2 Seguridad informtica

Es la disciplina que se ocupa de disear las normas, procedimientos, mtodos y


tcnicas destinados a conseguir un sistema de informacin segura y
confiable.(Aguilera Lpez, Purificacin, 2010).

11.2.3 Mecanismos de seguridad

Todo aquello de naturaleza hardware como software que se utiliza para crear,
reforzar y mantener la seguridad informtica.

Se clasifican en:

Preventivos: Actan antes de que se produzcan ataques. Su misin es


evitarlos.

Detectores: Actan cuando el ataque se ha producido y antes que cause daos


en el sistema.

Correctores: Actan despus de que haya habido un ataque y se hayan


producido daos. Su misin es la de corregir las consecuencias del dao.

25
11.2.4 Seguridad pasiva

Est construida por el conjunto de medidas que se implementan con el fin de


minimizar la repercusin debida a un incidente de seguridad y permitir la
recuperacin del sistema. A estas medidas podemos llamarlas de correccin.
(Aguilera Lpez, Purificacin, 2010).

11.2.5 Seguridad activa

Los mecanismos y procedimientos que permiten prevenir y detectar riesgos para


la seguridad del sistema de informacin constituyen la seguridad activa del
mismo. (Aguilera Lpez, Purificacin, 2010).

11.2.6 Seguridad fsica

Se utiliza para proteger el sistema informtico utilizando barreras y mecanismos


de control. Se emplea para proteger fsicamente el sistema informtico.
Las amenazas fsicas se pueden producir provocadas por el hombre, de forma
accidental o voluntaria, o bien por factores naturales. (Aguilera Lpez,
Purificacin, 2010).

11.2.7 Seguridad lgica

Se encarga de asegurar la parte del software de un sistema informtico, que se


compone de todo lo que no es fsico, es decir, los programas y los datos.
(Aguilera Lpez, Purificacin, 2010).

26
11.2.8 Arquitectura de seguridad OSI

La arquitectura de seguridad OSI (Estndares ISO 7498-2 y ITU-T X.800) hace


distincin entre los conceptos de servicio y mecanismos de seguridad. Un servicio
de seguridad es una caracterstica que debe tener un sistema para satisfacer una
poltica de seguridad. Un mecanismo de seguridad es un procedimiento concreto
utilizado para implementar el servicio de seguridad. En otras palabras, un servicio
de seguridad identifica lo que es requerido; mientras el mecanismo describe cmo
lograrlo.

La arquitectura OSI identifica las clases de servicios de seguridad:


Confidencialidad, autenticidad, integridad, control de acceso, y no repudio.

11.2.9 Servicios de seguridad

Confidencialidad: se refiere a la proteccin de la informacin respecto al


acceso no autorizado, sea en los elementos computarizados del sistema o en
elementos de almacenamiento.

Integridad: Proteccin de la informacin respecto a modificaciones no


autorizadas, tanto a la almacenada en los elementos computarizados de la
organizacin como la usada como soporte. Estas modificaciones pueden
llevarse a cabo de manera accidental, intencional, o por errores de hardware-
software.
Autenticidad: Garanta que el usuario autorizado tiene para usar un recurso y
que no sea suplantado por otro usuario.

Control de Acceso: Posibilidad de controlar los permisos a cualquier usuario


para acceder a servicios o datos de la organizacin.

27
No Repudio: Al ser transferido un conjunto de datos, el receptor no puede
rechazar la transferencia, y el emisor debe poder demostrar que envi los
datos correspondientes.

Disponibilidad de los recursos y de la informacin: Proteccin de los elementos


que poseen la informacin de manera que en cualquier momento, cualquier
usuario autorizado pueda acceder a ella, sin importar el problema que ocurra.

Consistencia: Capacidad del sistema de actuar de manera constante y


consistente, sin variaciones que alteren el acceso a la informacin.

Auditora: Capacidad para determinar todos los movimientos del sistema, como
accesos, transferencias, modificaciones, etc., en el momento en que fueron
llevados a cabo (fecha y hora).

Vulnerabilidad: Consiste en cualquier debilidad que puede explotarse para


causar prdida o dao del sistema. De esta manera, el punto ms dbil de
seguridad de un sistema consiste en el punto de mayor vulnerabilidad de ese
sistema.

Amenaza: Ser cualquier circunstancia con el potencial suficiente para causar


prdida o dao al sistema. De esta manera, el punto ms dbil.

La presencia de uno o ms factores de diversa ndole (personas, mquinas


o sucesos) que de tener la oportunidad atacaran al sistema producindole daos
aprovechndose de su nivel de vulnerabilidad.

11.2.9.1 Clasificacin de las amenazas en funcin del tipo de alteracin, dao o


intervencin que podran producir sobre la informacin:

28
De interrupcin: El objetivo de la amenaza es deshabilitar el acceso a la
informacin; por ejemplo, destruyendo componentes fsicos como el disco duro,
bloqueando el acceso a los datos, o cortando o saturando los canales de
comunicacin.

De interpretacin: Personas, programas o equipos no autorizados podran acceder


a in determinado recurso del sistema y captar informacin confidencial de la
organizacin, como pueden ser datos, programas o identidad de personas.

De modificacin: Personas, programas equipos no autorizados no solamente


accederan a los programas y datos de un sistema de informacin sino que
adems los modificaran.

De fabricacin: Agregaran informacin falsa en el conjunto de informacin del


sistema.

Segn su origen las amenazas se clasifican en:

Accidentales: accidentes meteorolgicos, incendios, inundaciones, fallos en


equipos, en las redes, en los sistemas operativos o en el software, errores
humanos.

Intencionadas: Son debidas siempre a la accin humana, como a introduccin de


software malicioso, malware, intrusin informtica, robos o hurtos.

Ataques: Se define como cualquier accin que explota una vulnerabilidad.

11.2.9.2 Clasificacin de ataques:

29
Ataques Pasivos: Consiste en slo observar comportamientos o leer informacin,
sin alterar sin alterar el estado del sistema ni la informacin. En este sentido, un
ataque pasivo slo afecta la confidencialidad o privacidad del sistema o de la
informacin.

Ataques Activos: Por el contrario, tiene la capacidad de modificar o afectar la


informacin o el estado del sistema o ambos. En consecuencia, un ataque activo
afecta no slo la confidencialidad o privacidad sino tambin la integridad y la
autenticidad de la informacin o del sistema.

Riesgos: Se denomina riesgo a la posibilidad de que se materialice o no una


amenaza aprovechando una vulnerabilidad.

3 Grafico ISO 27000


Fuente: www.ISO27000.es

11.3 Normas ISO sobre gestin de seguridad de la informacin.

Norma: es un documento cuyo uso es voluntario y que es fruto del consenso de


las partes interesadas y que deben aprobarse por un organismo de normalizacin
reconocido.

30
El ISO (International Organization for Standardization, Organizacin Internacional
para la Estandarizacin) es un organismo internacional que se dedica a desarrollar
reglas de normalizacin en diferentes mbitos, entre ellos la informtica.
El IEC (International Ellectrotechnical Commision) es otro organismo que publica
normas de estandarizacin en el campo de la electrnica.

11.3.1 ISO 27000

La serie de normas ISO/IEC 27000 se denomina requisitos para la especificacin


de sistemas de gestin de la seguridad de la informacin (SGSI), proporciona un
marco de estandarizacin para la seguridad de la informacin para que sea
aplicado en una organizacin o empresa y comprende un conjunto de normas
sobre las siguientes materias:
Sistema de gestin de la seguridad de la informacin
Valoracin de riesgos
Controles

Serie de normas:

ISO 27001: Que sustituye a la ISO 17799-1, abarca un conjunto de normas


relacionadas con la seguridad informtica. Se basa en la norma BS 7799-2 de
British Estndar, otro organismo de normalizacin.
Segn esta norma, que es la principal de la serie, la seguridad de la informacin
es la prevencin de su confidencialidad, integridad y disponibilidad, as como de
los sistemas implicados en su tratamiento.

ISO 27002: que se corresponde con la ISO 17799, y que describe un cdigo de
buenas prcticas para la gestin de la seguridad de la informacin y los controles
recomendados relacionados con la seguridad.

31
ISO 27003: que contiene una gua para la implementacin de la norma.

ISO 27004: que contiene los estndares en materia de seguridad para poder
evaluar el sistema de gestin de la seguridad de la informacin.

ISO 27005: que recoge el estndar para la gestin del riesgo de la seguridad.

ISO 27006: requisitos a cumplir por las organizaciones encargadas de emitir


certificaciones ISO 27001.

ISO 27007: Es una gua de auditora de un SGSI. Como un complemento a lo


especificado en la ISO 19011. (Garca, Alfonso. Hurtado Cervign. Alegre
Ramos, Mara del Pilar. 2011).

11.3.2 ISO 17000

No describen un sistema de gestin de calidad (el sistema de gestin de


calidad es solamente uno de los requisitos de estas normas), sino que
establecen los requisitos especficos que cada uno de los organismos de
evaluacin de la conformidad (laboratorios, certificadores e inspectores) deben
cumplir para demostrar su competencia tcnica.

32
Enfoque funcional a la evolucin de la conformidad

4 Enfoque ISO 17000


Fuente:www.iso.org/casco_building-trust-es.pdf

Seleccin:
Especificacin de las normas u otros documentos en los cuales se
evaluar la conformidad.
Seleccin de los ejemplos del objeto que se debe evaluar.
Especificacin de tcnicas de muestreo estadstico si es aplicable.

Determinacin:

33
Ensayos para determinar las caractersticas especficas del objeto de
evaluacin.
Inspeccin de las caractersticas fsicas del objeto de la evaluacin.
Auditora de los sistemas y registros relacionados con el objeto de la
evaluacin.
Examen de las especificaciones y los planos para el objeto de la
evaluacin.

Revisin y atestacin:
Revisin de las evidencias relevantes en la etapa de determinacin para
resolver las no conformidades.
Elaborar y emitir una declaracin de conformidad
Coloca una marca de conformidad de productos conformes

Vigilancia:
Llevar a cabo actividades de determinacin en el punto de produccin o
en la cadena de suministro al mercado
Llevar a cabo actividades de determinacin en el mercado
Llevar a cabo actividades de determinacin en el lugar de uso
Revisar los resultados de las actividades de determinacin
Volver a la etapa de determinacin para resolver no conformidades
Elaborar y expedir confirmacin de continuidad de la conformidad
Iniciar acciones correctivas y preventivas en el caso de no
conformidades. (ISO/IEC 17000(ES),2004)

34
11.4 Consideraciones al abordar la construccin del Protocolo para elaborar
polticas de seguridad

11.4.1 Seguridad Informtica

Se puede definir la seguridad en cualquier sistema, aquella capaz de identificar la


existencia de peligros, daos o riesgos. Un peligro o riesgo se define como aquel
que puede afectar el buen funcionamiento de un determinado sistema o de los
resultados que de l se obtienen. Aunque ningn sistema puede ofrecer un 100%
de seguridad, los existentes s pueden aminorar los posibles riegos presentados a
nivel de informacin.

Segn lvarez Maran y Prez Garca (2004), La seguridad de la


informacin es una disciplina que se ocupa de gestionar el riesgo dentro de los
sistemas informticos. Dicho de otro modo, mediante la aplicacin de sus
principios, se implementarn en los sistemas informticos las medidas de
seguridad capaces de contrarrestar las amenazas a que se encuentran expuestos
los activos de la organizacin: la informacin y los elementos hardware y software
que la soportan. No se trata de implantar sino de medidas de seguridad, tales
como cortafuegos o cifrado de datos porque tal o cual tecnologa estn de moda o
porque se cree que as va a estar ms seguro. Se trata ms bien de evaluar los
riesgos reales a los que la informacin est expuesta y mitigarlos mediante la
aplicacin de las medidas necesarias y en el grado adecuado, con el fin de
satisfacer las expectativas de seguridad generadas. (p. 3)

Es importante tener en cuenta que son muchas las medidas de seguridad


que resultan ineficientes, especialmente cuando stas se aplican de forma aislada,
por lo tanto se hace importante que se combinen con otras que tambin ofrezcan
proteccin ante posibles amenazas, con el fin de lograr contrarrestarlas en su
totalidad; es indispensable entonces que se busquen las medidas apropiadas para
el contexto en el cual se vayan a aplicar.

35
Segn las caractersticas o fuente de las amenazas, la seguridad se podr
dividir en seguridad lgica y seguridad fsica.

Seguridad Lgica: segn Aguilera, (2005). Es toda aquella con relacin a la


proteccin de software y de los sistemas operativos, que en definitiva es la
proteccin directa de los datos y de la informacin. (p. 31)

A travs de este tipo de seguridad se pueden poner a salvo todos aquellos


datos y el software que se est utilizando, ofreciendo seguridad a quien est
autorizado para su acceso.

En cuanto a la seguridad fsica, y segn lo dice el mismo autor, se llama


Seguridad Fsica A la que tiene que ver con la proteccin de los elementos fsicos
de la empresa u organizacin, como el Hardware y el lugar donde se realizan las
actividades, edificio o habitaciones. (p. 31)

Es la forma en cmo se aseguran los entornos fsicos con el fin de ofrecer


tranquilidad a los usuarios y no permitir el acceso a aquellos intrusos que tratan de
acceder a los sistemas.

Cabe sealar que es importante tener en cuenta estos dos aspectos en la


implementacin de las polticas, ya que es por aqu donde se presentan los
ataques a los sistemas informticos y se da la perdida de la informacin, de
acuerdo a los datos estadsticos que se tienen.

El objetivo de los sistemas de seguridad es ofrecer proteccin a los activos, los


cuales estn conformados por tres elementos:

Informacin: La informacin es la que mayor valor presenta para


cualquier organizacin, su objetivo es resguardar la informacin, sin
importar el lugar en la cual se encuentra registrada.

Equipos que la soportan: Entre ellos se encuentra el hardware, el


software y la organizacin en s.

36
Usuarios: Son aquellos individuos que hacen uso de la estructura
tecnolgica y comunicacional y son quienes manejan la informacin.

Estos tres objetivos de los sistemas de seguridad son muy importantes


tenerlos en cuenta al momento de establecer las polticas, ya que son los que
conforman la estructura tecnolgica de las instituciones y en cada uno de ellos se
recomienda mirar su funcionamiento y qu los conforman para as poder
implementar una buena seguridad.

11.4.2 Anlisis de Riesgos

La meta del anlisis de riesgos es ayudar en la seleccin de salvaguardas costo-


efectivas. El anlisis de riesgo incluye un estimado de las prdidas potenciales y
qu salvaguardas pueden reducirlas para identificar cules de entre estas
salvaguardas son las mejores en funcin de su costo. (Summers, 1997, pp. 1-11)

La informacin es el activo ms importante que se pueda tener en cualquier


organizacin, por lo tanto, la existencia de tcnicas que la aseguren debern
realizarse teniendo en cuenta adems aquellos equipos en los cuales se
almacenan. Estas tcnicas se deben implementar siguiendo los lineamientos de la
seguridad lgica, por medio de la cual se aplican barreras y procedimientos que
van a ofrecer el no acceso a los datos por personas no autorizadas.

11.4.3 Evaluacin de Riesgos

Hacer una evaluacin de riesgos es mucho ms que tratar de calcular la


posibilidad de que cualquier sistema de informacin se vea afectado por cualquier
eventualidad negativa. Se deben calcular los posibles efectos econmicos, con el
fin de compararlos con el costo de implantar un buen sistema de seguridad. Es

37
necesario hacer una distincin en cuanto al gasto incurrido en el sistema de
seguridad y el gasto ocasionado por la implantacin o restauracin del dao
ocasionado.

Hay que estar conscientes de la probabilidad de que surjan los problemas, con
el fin de desarrollar medidas o planes de accin adecuados. Tomar en
consideracin los programas existentes, evaluar de cada uno las amenazas que
se puedan presentar y tratar de minimizar estos riesgos, bajo medidas adecuadas
y efectivas.

Metodologas de Evaluacin de Riesgos

La metodologa MAGERIT es una de las ms utilizadas ya que se


encuentra en espaol. MAGERIT est basado en tres submodelos. Los
submodelos son:

1. Submodelo de elementos: Es este se clasifican 6 elementos bsicos que son:


activos, amenazas, vulnerabilidades, impacto, riesgo, salvaguarda.

2. Submodelo de eventos: Aqu se clasifican los elementos anteriores en tres


formas: dinmico fsico, dinmico organizativo y esttico.

3. Submodelo de procesos: Se definen en 4 etapas: anlisis de riesgo,


planificacin, gestin de riesgo y seleccin de salvaguardas.

La metodologa OCTAVE est compuesta en tres fases:

1. Visin de organizacin: Donde se definen los siguientes elementos: activos,


vulnerabilidades de organizacin, amenazas, exigencias de seguridad y normas
existentes.

2. Visin tecnolgica: se clasifican en dos componentes o elementos:


componentes claves y vulnerabilidades tcnicas.

38
3. Planificacin de las medidas y reduccin de los riesgos: se clasifican en los
siguientes elementos: evaluacin de los riesgos, estrategia de proteccin,
ponderacin de los riesgos y plano de reduccin de los riesgos.

La Metodologa NIST SP 800-30 est compuesta por 9 pasos bsicos para


el anlisis de riesgo:

1. Caracterizacin del sistema.

2. Identificacin de amenazas.

3. Identificacin de vulnerabilidades.

4. Control de anlisis.

5. Determinacin del riesgo.

6. Anlisis de impacto.

7. Determinacin del riesgo.

8. Recomendaciones de control.

9. Resultado de la implementacin o documentacin.

Mehari

Diagnstico de Seguridad

Anlisis de los Intereses Implicados por la Seguridad

Anlisis de Riesgos

39
11.4.4 Importancia de la seguridad

Como ya se ha tratado en varios apartes del documento la seguridad de la


informacin es un elemento importante para las organizaciones, por eso se debe
continuar esta lnea de investigacin con la opinin de algunos autores que han
investigado sobre el tema.
El autor Mediavilla Manuel (1998) menciona que: La seguridad hoy en da
es uno de los principales problemas encontrados en el rea informtica, cuando se
habla de seguridad por lo general se piensa en un trmino privacidad de la
informacin en el cual se pueden incluir aspectos tales como: contraseas,
accesos a la informacin, mensajes cifrados y en definitiva, todo lo relacionado
con la proteccin y confiabilidad de los datos.
El autor Mediavilla menciona que tambin se tienen que considerar otros aspectos
como son: la privacidad, la integridad y disponibilidad (p.15)

De acuerdo a lo anterior mediante el estudio realizado en campo se observ


que a pesar que la seguridad es uno de los principales problemas y que cada da
es ms crtico el tema por el avance tecnolgico, se detect que las instituciones
de educacin superior no le han dado gran importancia a la seguridad y la
manejan de acuerdo a la necesidad sin tomar la medidas correctas para proteger
su informacin, y le dan poca relevancia a stas.

Para Jess Minguet (1994) La informtica debe concebirse en un sentido


amplio y con un carcter propio. Si bien no existe una definicin precisa del
alcance de esta disciplina, es importante sealar que la misma ha surgido como
una convergencia durante varias dcadas entre las telecomunicaciones, las
ciencias de la computacin y la microelectrnica, incorporando a su vez conceptos
y tcnicas de la ingeniera, la administracin, la psicologa y la filosofa, entre otras
disciplinas. Algunas reas de la informtica como es la de la inteligencia artificial
tienen una estrecha relacin con los algoritmos de bsqueda y de optimizacin de

40
la investigacin de operaciones y con los conceptos de psicologa cognitiva. (p.
39)

Se puede, por lo tanto tambin detallar que hay que tomar la seguridad ms
en serio ya que est en juego la informacin y los equipos lo que se refleja en un
tema financiero crtico para las instituciones.

11.4.5 Funciones de la seguridad informtica

Hay que tener en cuenta que la seguridad informtica est en estrecha relacin
con la forma, modo o lugar en que se emplea, de all que sea importante traer a
colacin a tres autores que se han ido identificando con el tema.

Mediavilla Manuel (1998) Dentro de las funciones que se refieren a la


seguridad informtica tenemos:

Planear y establecer estrategias de seguridad informtica de acuerdo a


lineamientos principios y necesidades institucionales.

Contar con un sistema de informacin estadstico para dar seguimiento


a los proyectos y planes de accin con el fin de garantizar dentro de la
institucin su implantacin control y seguimiento.

Definir, elaborar, liberar, difundir y actualizar polticas y normas de


seguridad informtica que permitan a las reas de la organizacin
implantar y fortalecer mecanismos de proteccin de la informacin.

41
Realizar campaas de capacitacin, difusin y concientizacin que
eleven el nivel de recepcin, entendimiento y conocimiento del personal
en general sobre la materia.

Realizar diagnsticos y evaluaciones de seguridad informtica para


identificar y minimizar los riesgos en los diferentes niveles funcionales,
operativos y de sistema.

Mantener la actualizacin sobre los avances tecnolgicos en este


campo, con el fin fortalecer esquemas de proteccin en la organizacin.
(pp. 102, 103)

De acuerdo con las entrevistas y las encuestas aplicadas en las


Instituciones de educacin superior se puede concluir que ninguna planea
estrategias de acuerdo a sus necesidades tecnolgicas, no se establecen polticas
de seguridad de acuerdo a lo mencionado y si las tienen implementadas no siguen
una norma de estandarizacin como la ISO 27000 y la ISO 17000, tampoco se
evidencio que tuviesen un sistema de auditoria implementado, ni se realizan
diagnsticos de riesgos y finalmente las que poseen un mnimo de seguridad, no
realizan campaas de capacitacin entre los integrantes administrativos y
acadmicos de la institucin.

Segn Herrera Reyna (1994) La funcin centralizada: Permite un mejor


control y desempeo de las funciones de seguridad informtica, sin embargo, este
esquema tambin suele generar algunos roces con otras reas de la empresa,
particularmente con el rea de Sistemas.

Entre las existentes, es una de las mejores opciones para reas donde el
control resulta esencial aunque se tenga que sacrificar algo de desempeo en
produccin a costa de una mejor vigilancia. Algunos sectores donde este

42
esquema puede ser benfico son: Financiero, Farmacutico, Salud, Gobierno,
Organismos Militares y Organismos Policiales.

Tambin se puede hacer referencia a la Funcin Distribuida, pues en


algunas organizaciones es relevante distribuir la funcin de la seguridad, pues de
esta manera se da un mejor desempeo operativo a costa de menor control y
desempeo en la seguridad informtica.

A consideracin de Anderson, (2001) "Existen tres caractersticas


fundamentales asociadas con el mercado de tecnologas de informacin.
El valor de un producto para un usuario depende de cuntos exitosamente
lo han adoptado.
La tecnologa tiene altos costos fijos y bajos costos marginales.
Existen frecuentemente altos costos para los usuarios con el cambio de
tecnologas.

Dichas caractersticas establecen una competencia de los proveedores por


conquistar segmentos de mercado importantes, sabiendo que el ganador se lleva
todo. Pero la pregunta es: Quin es el beneficiado de esta dinmica? La
empresa? El mercado de productos?

La seguridad informtica, no es ajena a estas caractersticas propias del


mercado de TI, pues, como se coment previamente, el hardware, el software y
los servicios especializados, son parte de la dinmica de la funcin de seguridad
informtica en las organizaciones.

Po ese es importante resaltar que la seguridad de la informacin no se


consigue con una inversin costosa, es necesario una serie de componentes y un
proceso que de acuerdo como se plantee puede tener una relacin costo beneficio
favorable o desfavorable para las organizaciones.

43
La inversin en seguridad informtica es un reto para los encargados de
este tema en las organizaciones. Surgen preguntas alrededor del tema de
presupuesto, impacto y retorno de la inversin que en la actualidad causan revuelo
y establecen muchos interrogantes para aquellos que se halla en la tarea de
justificar presupuestos de seguridad informtica. (p.86)

De acuerdo a lo anterior, se puede establecer que las funciones de la


seguridad informtica se dividirn de acuerdo al orden en el que se empleen, sin
embargo, cualquier organizacin o empresa debe hacer un anlisis bsico de cul
es problema y cules los conflictos potenciales para poner en marcha un plan de
contingencia.

11.4.6 Polticas generales de seguridad

Las polticas de seguridad deben, principalmente, enfocarse a los usuarios: una


poltica de seguridad informtica es una forma de comunicarse con los usuarios y
los gerentes. Indican a las personas cmo actuar frente a los recursos
informticos de la empresa, y sobre todo, no son un conjunto de sanciones, sino
ms bien una descripcin de aquello valioso que deseamos proteger y por qu.

11.4.6.1 Elementos de una poltica de seguridad informtica

Si las decisiones tomadas en relacin a la seguridad, dependen de las PSI


(Polticas de Seguridad Informticas), cada persona debe estar en disposicin de
aportar lo necesario para poder llegar a una conclusin correcta de las cosas que
son importantes en una empresa y en cualquier institucin de educacin superior,
que deben ser protegidas. Es por esto que una PSI debe tener los siguientes
elementos:

44
Rango de accin de las polticas. Esto se refiere a las personas sobre
las cuales se posa la ley, as como los sistemas a los que afecta.

Reconocimiento de la informacin como uno de los principales activos


de la empresa.

Objetivo principal de la poltica y objetivos secundarios de la misma. Si


se hace referencia a un elemento particular, hacer una descripcin de
dicho elemento.

Responsabilidades generales de los miembros y sistemas de la


empresa.
Cmo la poltica cubre ciertos dispositivos y sistemas, estos deben tener
un mnimo nivel de seguridad. Se debe definir este umbral mnimo.

Explicacin de lo que se considera una violacin y sus repercusiones


ante el no cumplimiento de las normas.

Responsabilidad que tienen los usuarios frente a la informacin a la que


tienen acceso.

Se puede aadir que es muy importante tener en cuenta estos elementos a


la hora de establecer las polticas de seguridad, siendo estas unas pautas
fundamentales para unas buenas prcticas de la proteccin de la informacin
en los entornos tecnolgicos. De igual manera es importante conocer las
caractersticas y las recomendaciones para lograr el objetivo.

45
11.4.6.2 Caractersticas de las PSI

Siempre se debe tener en cuenta cules son las expectativas de la


organizacin frente a las PSI, qu es lo que espera de ellas en cuanto a
seguridad y eficacia.

Siempre que se redacten, las PSI deben permanecer libres de tecnicismos


que dificulten su comprensin por parte de cualquier persona de la
organizacin.

Cada poltica redactada, debe explicar por qu se toma dicha decisin y por
qu se protegen esos servicios o conocimientos particulares

Toda PSI debe ser vigilada por un ente, una autoridad, que la haga cumplir
y apique los correctivos necesarios. Sin embargo, no debe confundirse una PSI
con una ley, y no debe verse como tal.

As como las caractersticas y elementos de una empresa cambian, tambin


deben hacerlo las PSI, por lo que debe tenerse en cuenta, al redactarlas, que
deben establecer un esquema de actualizacin constante, que dependa de las
caractersticas de la organizacin.

No hay nada obvio. Se debe ser explcito y concreto en cuanto a los


alcances y propuestas de seguridad. Esto evita gran cantidad de malos
entendidos, y abre el camino para el establecimiento de la poltica de seguridad
especfica.

11.4.6.3 Recomendaciones para las PSI

46
Antes que nada, se debe hacer una evaluacin de riesgos informticos, para
valorar los elementos sobre los cuales sern aplicadas las PSI.

Luego, deben involucrarse, en cada elemento valorado, la entidad que


maneja o posee el recurso, ya que ellos son los que tienen el conocimiento y la
experiencia manejando ese elemento particular.

Despus de valorar los elementos e involucrar al personal, debe explicarles


cuales son las ventajas de establecer PSI sobre los elementos valorados, as
como los riesgos a los cuales estn expuestos y las responsabilidades que les
sern otorgadas.

El siguiente paso es determinar quines son las personas que dan las
rdenes sobre los elementos valorados en la empresa. Ellos deben conocer el
proceso de las PSI, ya que sobre ellos recae la responsabilidad de los activos
crticos.

Finalmente, deben crearse mecanismos para monitorear a los elementos


valorados, las personas involucradas y los altos mandos directores de los
elementos. Esto con el objetivo de actualizar fcilmente las PSI cuando sea
necesario.

11.4.6.4 Puesta en marcha de una poltica de seguridad

Una buena poltica de seguridad debe asegurar que el acceso a la informacin


slo pueda realizarse por aquellos que tengan permiso de acceso a los datos,
contar con unas buenas herramientas de control para los mismos y poseer la
identificacin correspondiente.

47
Al momento de realizar una poltica de seguridad se debe tener en cuenta
algunos aspectos tales como:

Elaboracin de procedimientos y reglas, para cada servicio que se presente


y de acuerdo al servicio prestado por la organizacin.
Definir las acciones necesarias y el personal encargado para evitar una
posible intrusin.
Ofrecer sensibilizacin a quienes operen estos sistemas para que tengan
capacidad de detectar posibles problemas de seguridad.

La declaracin de la poltica de seguridad es una declaracin de propsito


general a nivel superior para la administracin superior, es similar a una
declaracin de la misin orientada a la seguridad. Su intento es demostrar el
compromiso de la administracin superior con las metas de seguridad de la
informacin, y, por lo tanto, autoriza la estructura de organizacin de la seguridad.
(Daltabuit, Hernndez, Malln& Vsquez, 2007, p. 313)

Para que un sistema est seguro, se debe contar con algunos servicios de
seguridad, que nos ayuden a minimizar los riesgos de fuga de informacin, sin
embargo, implementar cada uno de estos servicios en un hardware diferente,
implicas gastos y muchas horas de trabajo. Afortunadamente en la actualidad se
cuenta con appliances o utm's las cuales se caracterizan por ofrecer todos los
servicios de seguridad en un solo equipo.

En cuanto a lo anterior es fundamental seguir estos procedimientos que


hacen parte de una buena implementacin de las polticas de seguridad, de esta
manera orientando a los encargados en establecer unas buenas prcticas de
seguridad en las instituciones de educacin superior.

48
Lo postulado con antelacin ayudar a mitigar los problemas causados por
el abordaje en cuanto a esta temtica, cabe resaltar que esto no reducir en 100%
los factores externos como son los ataques y amenazas.

11.4.7 Protocolos

Segn la RAE el significado del trmino protocolo, es un conjunto de normas,


reglas, o procedimientos para la elaboracin de una poltica o estndar. Es un
acuerdo entre dos o ms partes para realizar algo especfico.

Un protocolo tiene las siguientes caractersticas:

El protocolo resuelve un cierto problema o produce un cierto resultado.


El protocolo consiste de una serie de pasos bien definidos, en este
contexto, significa que el protocolo cubre todas las posibles situaciones
que pueden surgir durante su ejecucin. En todo momento debe ser
claro lo que hay que hacer a continuacin.
Los pasos tienen que ser conocidos con anticipacin; adems, el
protocolo debe, finalmente, terminar. Cuando todos los pasos se hayan
seguido exactamente, el problema dado tiene que haber sido resuelto.
El protocolo involucra a dos o ms partes.
Todas las partes involucradas conocen el protocolo y estn de acuerdo
en seguirlo.
El protocolo define claramente lo que cada parte gana o expone con su
ejecucin.
El Protocolo se puede definir como el conjunto de normas y
disposiciones legales vigentes que, junto a los usos, costumbres y
tradiciones de los pueblos, rige la celebracin de los actos oficiales y, en
otros muchos casos, la celebracin de actos de carcter privado que

49
toman como referencia todas estas disposiciones, usos, tradiciones y
costumbres.

Pero el protocolo tiene que complementarse para cubrir todas las


necesidades que requieren el conjunto de actividades que tienen lugar cuando en
los actos oficiales se realizan otra serie de actividades que se deben regular y
organizar. (Vsquez; Rodrguez, 2010, p. 1)

Tipos de protocolos

Los protocolos, en general, consisten en desligar el proceso a seguir para realizar


una determinada tarea del mecanismo y herramientas concretas utilizadas; en
resumen, todo protocolo slo especifica las reglas de comportamiento a seguir.
Existen diferentes tipos de protocolos en los que intervienen terceras partes
confiables: (Regueiro, 2009)

Arbitrados.

Un protocolo arbitrado se basa en una tercera parte confiable para realizarse. El


rbitro no tiene ningn tipo y forma de preferencia por ninguna de las partes
involucradas. En la vida real es el papel que debe jugar un juez.

Adjudicados.

Los protocolos adjudicados son una variante de los arbitrados. Tambin se basan
en una tercera parte confiable, pero esta parte, sin embargo, no siempre es
requerida.

50
Auto implementado

Estos son los mejores protocolos. Se disean de tal manera que hacen
virtualmente imposible el engao. No requieren ni arbitro ni juez. Garantizan lo
siguiente: si cualquier participante en el protocolo engaa, el engao es
descubierto inmediatamente por el otro u otros participantes.

A travs de este recorrido se puede determinar que la proteccin a diversos


ataques es fundamental, de all que implementar un protocolo de seguridad sea un
arma efectiva, ya que se podr tener un punto de referencia a la hora de
implementar un plan de seguridad informtica en las universidades de Risaralda,
que permita mitigar este dificultad y masificar su implementacin.

Los problemas que en la actualidad se han venido presentando y cada vez


con mayor frecuencia, especialmente por la pobre implementacin de seguridad
en los activos informticos y las inadecuadas prcticas de polticas de seguridad,
lo que las deja expuestas a una posible infiltracin de sus sistemas, ya que no
cuentan con un punto de referencia que los gue a la hora de realizar un adecuado
sistema de seguridad.

Las universidades de Risaralda deben percatarse de la importancia de


implementar dentro de su infraestructura unas buenas polticas de seguridad, es
necesario que sean ms rigurosos a la hora de tomar decisiones acerca de la
necesidad de adquirir unas buenas prcticas de seguridad, adems es un deber
analizar las posibles consecuencias que pueden generarse en torno a la integridad
y la confidencialidad de sus datos.

Todos estos problemas son motivados especialmente por el poco


conocimiento que sobre el tema de seguridad informtica que se tiene, esto de
acuerdo a lo que se pudo indagar en las universidades de la regin mediante

51
encuestas y entrevistas. Son muy pocas las entidades que se dedican a la
prestacin de este servicio, y quienes la prestan no han evolucionado al ritmo en
cmo estn evolucionando estos peligros de seguridad informtica.

52
12 MODELOS TERICOS

12.1 Sistema de Gestin de la Seguridad de Informacin (SGSI)

Sistema de gestin de la seguridad de la informacin, una herramienta de gran


utilidad y de importante ayuda para la gestin de las organizaciones. Estos
sistemas nombrados en la Norma ISO/IEC 27001 incorporan el modelo PDCA 1
como mtodo de enfoque de mejora continua.

12.1.1 Modelo PDCA

5 Modelo PDCA

1
PDCA por sus siglas en ingls Plan Do Check - Act

53
Fuente:
http://www.inteco.es/Formacion/SGSI/Conceptos_Basicos/Modelos_PDCA_SG
SI/

Planificar:
Definir el alcance del SGSI
Definir la poltica de seguridad
Elegir la metodologa de evaluacin de riesgos
Realizacin del inventario de activos
Identificar amenazas y vulnerabilidades
Identificar impactos
Anlisis y evaluacin del riesgo
Seleccin de controles

Ejecutar:
Definir plan de tratamiento de los riesgos
Implantar plan de tratamiento de riesgos
Implementar los controles
Formacin y concienciacin
Operar el SGSI

Verificar:
Revisar el SGSI
Medir eficacia de los controles
Revisar riesgos residuales
Realizar auditoras internas del SGSI
Registrar acciones y eventos

Actuar
Implantar mejoras

54
Acciones correctivas
Acciones preventivas
Acciones de mejora
Comprobar eficacia de las mejoras

12.1.2 Otra proposicin de una forma de realizar el anlisis para llevar a cabo un
sistema de seguridad informtica

Fuente (Curso Sena Redes y Seguridad, 2012)

Antes que nada, se crea una base de anlisis para el sistema de seguridad, que
est basada en varios elementos:

Factor humano de la empresa


Mecanismos y procedimientos con que cuenta la empresa
Ambiente en que se desenvuelve la organizacin

55
Consecuencias posibles si falla la seguridad de la empresa
Amenazas posibles de la empresa.

Luego de evaluar este conjunto de elementos, que conforman la base del anlisis
del sistema de seguridad se procede a realizar el programa de seguridad, el cual
contiene todos los pasos a tomar para definir la seguridad deseada. Luego de
terminar este programa, se pasa al plan de accin, que posee todas las acciones a
llevar a cabo para implantar el programa de seguridad.

A continuacin se procede a crear un manual de procedimientos y normativas, que


sern en suma la forma como cada elemento del programa debe ser aplicado en
el elemento correspondiente, y las acciones a ejecutar luego de infringida una
norma. Mientras los programas de seguridad, plan de accin y procedimientos son
llevados a cabo, se debe ejercer un control y vigilancia de cada uno de ellos, para
asegurar su realizacin. Este control debe ser auditado, con el propsito de
generar los logfiles o archivos de evidencias, que pueden ser revisados en
cualquier momento para analizar la auditoria en la que fue llevado a cabo el
control y poder generar cualquier cambio. La auditada realizada tambin sirve para
generar simulaciones que permitan probar el sistema. Estas simulaciones pasan
por una revisin que da fe del desempeo de las polticas de seguridad, y ayudan
a modificar las bases del anlisis, as como el programa, el plan y las normativas
de seguridad.

Se va utilizar el Modelo PDCA pero teniendo en cuenta la primera parte del


modelo del Sena que es un insumo muy importante ya que aplica a las
instituciones de educacin superior. Adems tiene en cuenta todos los factores
iniciales importantes para una universidad.

56
13 CONCRECIN DEL MODELO

13.1 Metodologa utilizada

Para el desarrollo del objetivo general del proyecto es necesario abordar unos
puntos especficos con acciones que se definirn a continuacin.

1. Documentar y consultar sobre seguridad informtica.

Para la documentacin e indagacin o consulta de todos los conceptos


relacionados sobre seguridad informtica, amenazas, vulnerabilidades,
ataques, polticas de Seguridad se van a realizar consultas en fuentes
confiables como libros y artculos de revistas reconocidas, adems se
busc apoyo en trabajos de grado relacionados con el tema realizado en
diferentes universidades.

Para cumplir el objetivo se utiliz un recurso gratuito, un curso virtual de 40


horas denominado Redes y Seguridad impartido por el Servicio Nacional
de aprendizaje (Sena), el cual entreg una vez concretado a la respectiva
certificacin y que dio acceso a todo el material de estudio que ser de gran
ayuda en el desarrollo del protocolo.

2. Identificar los principales aspectos vulnerables de un sistema de seguridad


informtica.

Con base en las consultas hechas es necesario identificar las diferentes


partes crticas en las cuales se puede vulnerar la seguridad de un sistema:
como los puntos de red, las redes inalmbricas, la pgina web, las salas de

57
sistemas, el acceso al data center, la cantidad de estudiantes y
trabajadores para as poder establecer los principales pasos de un
protocolo de poltica de seguridad informtica.

Las amenazas que se pueden surgir y las vulnerabilidades que se den por
el descuido de lo anterior, abren paso a que los atacantes las exploten ya
que es sabido que no hay un sistema 100% efectivo, por lo cual es
indispensable tener estos puntos crticos controlados por la inmensa
cantidad de incidencias del exterior y del interior de las empresas o
universidades.

3. Distinguir la informacin y aplicaciones de los sistemas informticos utilizados


en las universidades de Risaralda.

El alcance de ste proyecto est delimitado para las instituciones de


educacin superior de Risaralda. Se ha tomado una muestra de 4
Universidades las cuales son las ms reconocidas a nivel regional por su
trayectoria adems por la facilidad de acceso a su informacin, tambin, en
cuanto a cantidad de estudiantes, facultades y dependencias por lo que
sus aplicaciones e implementaciones en cuanto a seguridad informtica
tienen mucha validez a la hora de ser tomadas como base para la
formulacin del protocolo. Las siguientes son las universidades escogidas:

Universidad Catlica de Pereira


Universidad Tecnolgica de Pereira
Fundacin Universitaria del rea Andina
Universidad Libre de Pereira

58
Es importante conocer en el sector productivo cules son las tcnicas
utilizadas en cuanto a la seguridad informtica, estas deben ser muy
rigurosas por la criticidad de su activo principal que es la informacin y
cuentan con polticas de seguridad informticas que pueden servir de base
para la formulacin del protocolo porque son aplicables a cualquier
empresa o institucin de educacin superior. stas son las empresas a las
cuales se pudo obtener acceso al rea de sistemas y conocer sus polticas.

o Media Commerce Telecomunicaciones


o Fiscala general de La Nacin

Es entonces aqu donde se definen las acciones que se van a tomar en cuanto a
las universidades y empresas escogidas para conocer y analizar su informacin y
los sistemas de seguridad informticos implementados por ellas:

Encuesta a la comunidad acadmica de diferentes programas


Encuesta a personal administrativo
Entrevista a las persona encargada del rea de sistemas de las
universidades

4. Proponer un paso a paso para elaborar las polticas de seguridad informtica.

Lo que se debe determinar primero es la informacin manejada por las


instituciones de educacin superior y darles una clasificacin. Por ejemplo:
el sistema Financiero, sistema de registro y control, Sistema documental de
las bibliotecas, los repositorios institucionales con sus usuarios con base en
las indagaciones hechas en las instituciones. Se deben conocer las

59
plataformas tecnolgicas utilizadas (Software, Hardware, redes y
comunicaciones).

Con sta informacin ya clara, hay que analizar y establecer las amenazas
y vulnerabilidades a la que estos sistemas estn expuestos, al momento de
un ataque informtico.

Una vez obtenida la documentacin acerca de las instituciones de


educacin superior y las amenazas posibles a sus sistemas de informacin
de acuerdo a toda la indagacin anteriormente realizada se debe plantear
las mejores prcticas para elaborar polticas de seguridad informtica.

Todo esto se convertir en una gua o protocolo que pueden seguir las
universidades para asegurar su informacin, desde como determinar los activos, la
informacin, sus sistemas y plataforma tecnolgica, como identificar las
amenazas, vulnerabilidades y ataques que pueden tener hasta observar los
mtodos para elaborar una buena poltica de seguridad completa que mitigue al
mnimo el riesgo de tener ofensivas a sus sistemas de informacin.

60
13.2 Resultados de las encuestas y entrevistas

Los sondeos indicaron claramente en un gran porcentaje que tanto la comunidad


acadmica como la parte administrativa no consideran de alta importancia la
seguridad informtica, o no saben sobre el tema, al igual que la informacin que
se maneja dentro de las redes no es exclusivamente acadmica, si no de carcter
personal. As como las actividades desarrolladas suelen ser diferentes de los
temas de estudio, por ejemplo Redes Sociales, Descargas de informacin
(Msica, juegos entre otros) lo que claramente incrementan los riesgos y posibles
amenazas ya estudiadas con anterioridad.

Esto nos indica algo que se confirma durante el estudio, la comunidad en


general no conoce siquiera si hay polticas de seguridad informtica
implementadas, si hay reglas claras que se deben cumplir cuando se est en la
red o se utilizan los recursos de las instituciones por lo que cualitativamente los
encuestados respondieron en general que No nos sentimos seguros, es decir no
conocen las pautas claras que deben haber y se sienten en riesgo al navegar
sobre los sistemas de la universidad, los resultados fueron prcticamente los
mismos en todas las instituciones de educacin superior objeto de estudio.

Se va a mencionar los resultados de las preguntas ms relevantes para el


proyecto de la comunidad acadmica:

A la pregunta si conoce o ha escuchado sobre Seguridad Informtica?

53%
52%
51%
50%
49% 52,500%
48%
47% 6 Resultados Pregunta 1
46% 47,500% Acadmicos

45%
61
Si No
Se puede apreciar que ms de la mitad de los estudiantes de todas las
universidades no sabe sobre el tema.

A la pregunta Qu tan importante les parece la seguridad informtica?

7 Resultados Pregunta 2 Acadmicos

No todas las personas consideran de gran importancia la seguridad que debe


ser primordial.

A la pregunta en qu actividades se desempea con los recursos


informticos de la universidad?

120%
98%
100%
78%
80% 70%

60%
38%
40%
25%
20%

0%
Estudio Redes sociales Descargar Musica Juegos en linea
informacin

8 Resultados Pregunta 8 Acadmicos

62
Se puede observar que no solo dentro de la red de la universidad se utilizan los
recursos para estudio, tambin para otras actividades que pueden acrecentar los
peligros de ataques informticos.

A la pregunta sobre si conocen las polticas de seguridad implementadas


por la universidad?

9 Resultados pregunta 14 Acadmicos

Ninguno de los estudiantes encuestados sabe si hay polticas por parte de la


institucin, lo que demuestra que si las hay, no se estn difundiendo
adecuadamente a la comunidad acadmica.

Resultados de las preguntas ms relevantes para el proyecto de la parte


administrativa:

A la pregunta si conoce o ha escuchado sobre Seguridad Informtica?

63
10 Resultados pregunta 1 Administrativos
En este punto los empleados de las instituciones han escuchado un poco ms
sobre el tema.

A la pregunta Qu tan importante les parece la seguridad informtica?

Nuevamente no se le da la importancia necesaria a tener proteccin sobre los


sistemas informticos por parte de la mayora del personal administrativo.

A la pregunta sobre si conocen las polticas de seguridad implementadas


por las universidades?

64
En sta pregunta se denota que un 93% de los encuestados de las reas
administrativas de las instituciones no conocen las polticas de seguridad
informtica, lo que acarrea que no las implementen y aumenten los riesgos.

En las entrevistas a los encargados del rea de sistemas tambin se pudo


detectar que no se ha hecho un modelo establecido, lo que est implementado
se ha desarrollado a partir de consultas autnomas realizados por las personas
encargadas, adems de trabajos de grado relacionados, pero no se est siguiendo
al pie de la letra una norma como las ya estudiadas ISO 27000, ISO 17000.
Aunque s se le da la importancia requerida y se estn investigando cada da
tendencias y tecnologas actuales las cuales se puedan implementar.

Se puede mencionar que algunas instituciones ya estn en proceso de


implementar la norma ISO 27000, se han adelantado estudios sobre ITIL.

Cabe aclarar que la informacin recolectada es de manera confidencial


concertada con las personas entrevistadas por lo que no se dar a conocer los
resultados explcitos, pero si se pueden sacar algunas conclusiones:

Las polticas son desarrolladas por el rea de sistemas, no se han


contratado personas o empresas expertas en el tema.

Continuamente se estn investigando las tendencias, nuevas amenazas,


ataques y nuevas formas de proteccin.

En las instituciones s consideran importante la seguridad informtica.

En las universidades ya han ocurrido incidentes como prdida de


informacin por los altos riesgos a los que se exponen.

65
Se debe mencionar que las muestras no han sido muy representativas, pero se
escogi aleatoriamente buscando en todos los programas y dependencias, ya que
la intencin es conocer la opinin sobre la seguridad en las universidades. Lo
realmente importante del estudio fueron las entrevistas a las personas encargadas
del departamento de sistemas con un tipo semiabierto, es decir, preguntas
cerradas y otras abiertas con acompaamiento de los investigadores.

El pblico objetivo de las entrevistas fueron los jefes de cada rea de sistemas
y eventualmente colaboradores en el departamento de las 4 universidades
escogidas, Universidad Catlica de Pereira, Universidad Tecnolgica de Pereira,
Universidad Libre de Pereira, Fundacin Universitaria del rea Andina. De igual
manera las encuestas se disearon para otros dos pblicos as:

Comunidad Acadmica: Estudiantes y Profesores, escogidos al azar pero


velando que fueran de diferentes carreras.

Personal Administrativo: Empleados de las universidades de diferentes


departamentos, como tesorera, contabilidad, secretaras de facultades. Entre
otros.

Un resumen del total del trabajo de campo.

Encuesta
Universidad Entrevistas Acadmica Encuesta Administrativa
Universidad Catlica de Pereira 2 20 10
Universidad Libre de Pereira 1 20 10
Universidad Tecnolgica de Pereira 1 20 10
Fundacin Universitaria de rea Andina 1 20 10
4 Total Entrevistas y Encuestas
Fuente: Elaboracin propia

66
13.3 Proposicin del protocolo para elaborar polticas de seguridad informtica

DEFINICIN DEL PROTOCOLO DE SEGURIDAD INFORMTICA PARA LAS


INSTITUCIONES DE EDUCACIN SUPERIOR

El incremento de ataques cibernticos en todos los sectores, el crecimiento de


manejo de informacin y transacciones en lnea y las malas prcticas de
seguridad informtica hacen que cada vez la informacin sea ms vulnerable a
amenazas y riesgos de perdida de informacin.

De lo anterior se concluye que las instituciones de educacin superior no estn


exentas a esto y en su estructura manejan dos actores muy importantes como lo
son la parte administrativa que es donde est la informacin crtica de las
instituciones , en la cual se deben establecer una serie de restricciones
considerables y la parte acadmica donde se debe prestar un buen servicio,
teniendo en cuenta que una de las reglas de la seguridad informtica es que la
seguridad no puede ir en contra de la disponibilidad. Por tendencias actuales, los
recursos y la estructura de las redes deben estar unidas fsicamente, siguiendo
este parmetro tan significativo se va a desarrollar un protocolo, con el cual
cualquier institucin de educacin superior pueda implementar por lo menos un
mnimo de seguridad en toda su infraestructura tecnolgica, lo que hace que este
protocolo este diseado especficamente para esta situacin sin ser esto un bice
para que se aplique a otro tipo de institucin.

Para empezar se realizaron una serie de encuestas y entrevistas en las


instituciones de educacin superior de Pereira para evaluar el estado actual de la
seguridad y el concomimiento de la misma, dando como resultado que en la
mayora de las universidades no existe un comprensin real de seguridad
informtica y lo que se ha hecho de implementacin de seguridad es mnimo.

67
Que no hay unas buenas prcticas de seguridad implementadas en todas las
instituciones ni un conocimiento por parte del personal acadmico y administrativo.

Pasos definidos en el protocolo:

1. Normatividad:
Se debe seleccionar el tipo de normatividad a seguir para garantizar la
seguridad informtica, se recomienda utilizar la Norma ISO 17000 y la
27000 ya que una es complemento de la otra. La Norma 17000 establece
los requisitos especficos que cada organismo debe cumplir para demostrar
su competencia tcnica. Un requisito de esta norma es el sistema de
gestin de calidad, la norma ISO 27000 consiste en una serie de
documentos referentes a gestin de seguridad de la informacin.

Las instituciones deben revisar los servicios que se prestan tanto a nivel
acadmico como a nivel administrativo. Algunos servicios que se prestan
en las instituciones por la parte acadmica son: Pagina Web, matrcula en
lnea, consulta de notas en lnea, correo institucional, inscripcin de
materias en lnea y por la parte administrativa: servicio de conexin a mi
planilla, servicio de terminal virtual, entre otros. Se debe realizar un modelo
donde describa la aplicacin, su uso, el nivel de importancia, los usuarios
que acceden a ella, su disponibilidad, los riesgos, puntos de control y
responsable entre otras caractersticas.

2. Inventario de recursos (Hardware, software y comunicaciones):


Las instituciones deben realizar un inventario de sus recursos tecnolgicos
a nivel de hardware, software y de comunicacin. Algunas recursos en las
instituciones: Hardware: servidores, computadores, impresoras, puntos de
red, switches, routers, access point. Software: Aplicaciones utilizadas para
el manejo de informacin, conexiones e implementacin de plataforma

68
tecnolgica. Comunicaciones: UTM2, firewall, antivirus, tipo de conexin a
internet.

Para este punto es adecuado realizar una serie de tablas de aclaraciones


sobre los recursos prestados por la institucin, se anexa un ejemplo a
seguir:

Piso Disco Memoria


Bloque Nro. Nro. Oficina Dependencia Nro. Serial Duro RAM Procesador Unidad Responsable

personal de
Nombre de la sistemas y
Nombre del Nro. de la dependencia a Nro. serial administrativo
bloque o del oficina o del la que de los DVD- CD- (nombres y
campus 2 saln pertenece equipos 80 GB 2 MB Intel, Amd Micro SD apellidos)

personal de
sistemas y
Nro. serial administrativo
de los DVD- CD- (nombres y
Kabai 3 315 Sistemas equipos 1 TB 16 MB Intel Xeon Micro SD apellidos)

5 Inventario Equipos de Cmputo

Piso
Bloque Nro. Nro. Oficina Dependencia Nro. Serial Equipo Marca Responsable

personal de
Nombre de la sistemas y
Nombre del Nro. de la dependencia a Nro. serial Impresoras, Nombre administrativo
bloque o del oficina o del la que de los Scanner, del (nombres y
campus 1 saln pertenece equipos Telfonos IP fabricante apellidos)

personal de
sistemas y
administrativo
(nombres y
Nro. serial
apellidos)
de los
Biblioteca 1 105 Biblioteca equipos Scanner HP

6 Inventario Terminales

2
Siglas de Uniefed Threat Management o en espaol Gestin Unificada de Amenazas. Es un dispositivo
Hardware utilizado en las redes de datos para proveer varios servicios de seguridad.

69
Piso Nombre de
Bloque Nro. Nro. Oficina red Nro. Serial Equipo Marca Responsable

personal de
Router, sistemas y
Nombre del Nro. de la Nro. serial Switches, Nombre administrativo
bloque o oficina o del Nombre de la de los Access Point, del (nombres y
del campus 1 saln red equipos UTM fabricante apellidos)

personal de
sistemas y
Nro. serial administrativo
Nombre de la de los (nombres y
Biblioteca 1 105 red equipos Switch 5500G 3Com apellidos)

7 Dispositivos de Red

3. Inventario de Servicios:
Para este punto es adecuado realizar una tabla de aclaraciones sobre los
servicios prestados por la institucin, se anexa un ejemplo a seguir.

Aplicacin y/o Nivel de Tipo de Riesgos ms Puntos de Responsables


Descripcin Disponibilidad
servicio importancia usuarios importantes control del servicio

ataques por
permite registrar personal de
parte de revisiones
las notas a los docentes, sistemas y
usuarios mal peridicas y
consulta de notas docentes y ser por periodos media estudiantes y administrativo
intencionados, pruebas de
consultadas por administrativos (nombres y
perdida de pen testing
los estudiantes apellidos)
informacin

permite registras
ataques por
las materias por personal de
parte de revisiones
internet a los sistemas y
matricula en estudiantes y usuarios mal peridicas y
estudiantes y ser por periodos media administrativo
lnea administrativos intencionados, pruebas de
organizado por (nombres y
perdida de pen testing
los apellidos)
informacin
administrativos

8 Inventario de Servicios
Este primer paso es muy importante porque permite tener claridad sobre
qu?, cmo? y de quin se debe proteger la informacin, as como el nivel
de importancia del riesgo y el impacto para la institucin que esta aplicacin
o servicios dejen de funcionar.

70
4. Clasificacin de usuarios:
Se deben clasificar los tipos de usuarios que van acceder a la red. Se
recomienda clasificar la parte Administrativa y la parte acadmica en dos
actores importantes.

5. Identificar riesgos y amenazas:


Se debe ejecutar una metodologa adecuada para identificar los riesgos y
amenazas de la institucin. Algunas pruebas que se recomiendan son: Pen
testing, hacking tico

6. Proteccin de los servicios:


Se debe realizar de acuerdo al resultado del paso anterior. Pero, es
importante proteger la red, los servidores y equipos de cmputo de
amenazas evidentes por lo que se debe tener en cuenta lo siguiente:

Virus y software malicioso: Se deben tener instalados antivirus en


todos los computadores de escritorio y porttiles de la institucin.
Se adjunta una tabla comparativa sobre aspectos a tener en cuenta
a la hora de elegir antivirus, publicado en la revista ACIMED,
revisado por la sociedad cubana de ciencias de la informacin
adscrito al Centro Nacional de Ciencias Mdicas

Antivirus Ventajas Desventajas


Norton 1. Es el segundo ms vendido 1. Algo dbil en la
en el mundo. deteccin de troyanos y
2. Mejor porcentaje de backdoors.
deteccin. 2. Problemas con la
3. Interfaz sencilla. instalacin en sistemas
4. Buena integracin con el infectados.
correo y los navegadores de
Internet.
5. Licencia del producto de por
vida. 71
6. Al instalarse queda con todas
las opciones habilitadas.
7. Respuesta rpida ante
nuevos virus.
McAfee 1. Falta de sencillez en la 1. Es el primero en ventas en el
interfaz, que puede mundo.
Fuente: Analsis Comparativo de Antivirus, Revista ACIMED

72
Actualizacin del Software: Se deben ejecutar las ltimas
actualizaciones en los sistemas operativos disponibles en todas las
mquinas de las instituciones.

Configurar un firewall: Es importante tener configurado los firewall


tanto en los computadores y porttiles de administrativos y
acadmicos como en servidores y equipos de acceso a la red.

Evitar correos no deseados (Spam): Es importante tener los filtros de


correo electrnico actualizado y capacitar a los usuarios sobre el
tema.

Utilizar Software legal: Se debe instalar software legal y prohibir a los


usuarios la instalacin de software que no tenga que ver con sus
actividades laborales.

Navegacin Segura: Se debe implementar un filtrado de contenido


de acuerdo a la clasificacin de usuario, se recomienda implementar
servidores proxy y capacitar al personal para que realicen
navegaciones seguras.

Directorio Activo: Es importante tenerlo en cuenta para proteger las


aplicaciones y recursos facilitando la tarea de seguridad y
funcionalidad.
7. Configuraciones de red:
Para proteger la red es recomendable alguna de estas tcnicas:

Inalmbrica:

73
Ocultar el SSID (Identificador de redes inalmbricas)
Cifrado WEB, WPA o WAP2
Se debe configurar restricciones de acceso a la red ya sea por
autenticacin de Mac, servidores radius, o por usuario y contraseas.
Segmentacin de la red por VLANS.
Firewall a nivel de red.

8. Control de acceso:
Se deben asignar roles de acceso a la informacin, controlar acceso y
salida de la informacin, generando contraseas de acceso a los
computadores, aplicaciones administrativas las cuales se recomienda que
cumplan con las siguientes caractersticas:

Tener ocho caracteres como mnimo.


No contener el nombre de usuario, el nombre real o el nombre de
la empresa.

No contener una palabra completa.

Debe ser diferente de contraseas anteriores.

Estar compuesta por caracteres de cada una de las siguientes cuatro


categoras: Letras maysculas, letras minsculas, nmeros y smbolos del
teclado.
Se debe cambiar cada 90 das como mnimo y debe ser diferente a
las anteriores.

9. Restricciones de acceso:
Se debe restringir el acceso a sitios crticos como: el data center, oficinas
administrativas, salas de sistemas; para personal autorizado, se

74
recomienda utilizar, equipos de biometra, equipos lectores de tarjetas,
lectores de cdigo de barras, equipos con claves, etc.

10. Salvaguardado de la informacin:


Se deben tener en cuenta estos pasos para mantener la informacin
segura:
Copias de seguridad: Se recomienda realizar copias de seguridad
diaria y gurdala en un sitio diferente a la institucin por lo menos
cada semana. Se recomienda utilizar discos duros externos y cintas
magnticas.

Establecer permisos: Se deben establecer permisos de acceso a la


informacin segn la funcin y responsabilidad en la institucin. Es
decir tener usuarios con distintos privilegios.

Cifrar datos confidenciales: Es importante cifrar la informacin


confidencial que se transmite por la red, con sistemas de cifrado de
datos.

Sistema de alimentacin interrumpida (SAI): Para evitar los cortes


del suministro elctrico y para filtrar los micro cortes y picos de
intensidad, que son factores impredecibles se recomienda utilizar
sistemas SAI tambin conocido como UPS.

11. Aseguracin de equipos:

75
Se debe pagar una pliza de seguro por lo menos a los equipos ms
costosos de la plataforma tecnolgica como los servidores, y equipos Core,
es decir los ms importantes dentro del sistema de informacin.

12. Socializacin de la poltica de seguridad:


Se debe realizar una socializacin para crear compromiso y conocimiento
de las polticas de seguridad implementadas en la institucin, ya sea a
travs de una reunin, comunicados o capacitaciones

13. Seguimiento de la poltica de seguridad:


Se debe hacer seguimiento en un periodo determinado, es recomendable
cada 6 meses, de evaluar cada periodo y que hay de nuevo por
implementar.

76
14 CONCLUSIONES

En las instituciones de educacin superior no se estn rigiendo por ninguna


norma de estandarizacin o modelo como lo son la norma ISO 27000 y la
norma ISO 17000 que brindan una gua para el establecimiento e
implementacin adecuada de la seguridad informtica.

Una de las principales debilidades reflejadas en la indagacin realizada en


campo mediante encuestas y entrevistas se encuentra en la falta de
procedimientos normativos y prcticos que permitan la evaluacin de
desempeo de los sistemas tecnolgicos e informticos, como lo son las
auditorias y estudios de la red para establecer los riesgos, amenazas y
vulnerabilidades presentes en estos.

Paralelamente se pudo observar que en las universidades donde hay


polticas de seguridad establecidas no se ha realizado socializaciones o
difusin de una forma adecuada ni, en la parte acadmica ni en la
administrativa lo que acarrea desconocimiento y malas prcticas en la
utilizacin de los sistemas informticos.

Por otra parte se detect que los usuarios tanto administrativos como
acadmicos no tienen claro el concepto de seguridad informtica, por
consiguiente no lo aplican. Lo anterior conlleva a que no dimensionen la
importancia del tema y los problemas que pueden ocasionar su mal uso de
los entornos tecnolgicos.

77
15 RECOMENDACIONES

Se recomienda que los departamentos de sistemas de las instituciones de


educacin superior, adopten las normas ISO 17000 y 27000 para
implementar su sistema de seguridad

La comunidad en general no est enterada si su informacin est segura o


no, o de cmo protegerla. Es por esto que las polticas implementadas y las
nuevas a realizar deben ser socializadas ampliamente a todas las partes
involucradas, de ser necesario con capacitaciones peridicamente.

Cabe sealar que es importante al momento de establecer una poltica de


seguridad realizar un estudio de los activos y los servicios de la institucin
para as tener un panorama claro de que es lo que se va proteger y de la
misma manera poder proceder con unas buenas prcticas de seguridad.

78
16 REFERENCIAS BIBLIOGRFICAS

Aguilera Lpez, Purificacin. (2010) Seguridad Informtica. Madrid - Espaa:


Editex SA.

Garca, Alfonso. Hurtado Cervign. Alegre Ramos, Mara del Pilar. (2011)
Seguridad informtica. Madrid Espaa: Paraninfo SA.

Auditar Mi PC.com, "GUID - GloballyUniqueIdentifier"- Consultado el 12 de


mayo de 2012. Disponibles desde: http://www.auditmypc.com/
acronym/GUID.asp

Boone; Kurtz..(2003) Contemporary Business. New York: Times.

Borghello, Cristian. (2001) Seguridad Informtica sus implicancias e


implementacin. Bogot: Universidad Tecnolgica Nacional.

Coakes, Elayne; (2006)Clarke, Steve editors; Encyclopedia of Commnunities


of Practice in Information and Knowledge Management; 2006; Idea Group Inc.
Hershey.

Huerta, Antonio. (2000). Seguridad en Unix y redes. Espaa: Edicin.

Regueiro, Arturo. (2009). Autoridades de Certificacin y Confianza Digital.


Consultado el 4 de mayor de 2012. Disponible desde:
http://www.fundaciondike.org.ar/seguridad/firmadigital-autoridades.html

Smilor. (1993). Al-Ali, Nermien; Comprehensive Intellectual Capital


Management. Step by Step, 2003; John Wiley & Sons, Inc.New Jersey:
Hoboken.

79
Sophos, "los anlisis de virus de Sophos." Consultado el 23 de mayo de 2012.
Disponible desde: http://www.sophos.com/virusinfo/analyses/]

Summers, Rita C. (1996). Seguridad informtica: Amenazas y Salvaguardias.


Mxico: McGraw-Hill Companies.

Vsquez, Fernando; Rodrguez, Penlope. Solucin Negociada de Conflictos.


Cali; Pontificia Universidad Javeriana.

Fletscher Bocanegra, Luis Alejandro. (2007). Implementacin de


clustersbeowulf como firewall.

Gmez Guerra, John Alexis. (2007) Modelo de solucin de enrutamiento de


datos a bajo costo basado en software libre.

Garca, Alfonso. Hurtado, Cervign. Algre Ramos, Mara del Pilar. (2011).
Seguridad informtica. Espaa. Paraninfo.

Daltabuit Gods, Enrique. Hernndez Audelo, Leobardo. Malln Fullerton,


Guillermo. Vzquez Gmez, Jos de Jess. (2007) La seguridad de la
informacin. Mexico. Limusa.

Martin, Mercedes. (2008) Gua de seguridad.

Consultado el 28 de mayo de 2012. Disponible desde:


Http://www.sonicwall.com

Normas ISO 27000, 2012 Disponible en: http://www.iso27000.es/

80
Modelo PDCA ISO 27000, Instituo Uruguayo de normas tcnicas, 2012
Disponible en: http://www.unit.org.uy/iso27000/iso27000.php?&imprimir=1

Modelo PDCA, Instituto Nacional de Tecnologas de la Comunicacin, Espaa.


Disponible en:
http://www.inteco.es/Formacion/SGSI/Conceptos_Basicos/Modelos_PDCA_SG
SI/#modelo

Norma Internacional ISO/IEC 17000, 2004 Disponible en:


http://es.scribd.com/doc/75237631/Norma-Iso-iec-17000-2004-Es

81
17 GLOSARIO

Agujeros: Fallo en la seguridad de una aplicacin, sistema informtico o sitio


web, que permiten ser explotado para el hacking. Los agujeros son
considerados bugs de programacin. Los agujeros suelen corregirse en
versiones superiores de un software o sistema, pero en el caso de ser muy
riesgosos, se corrigen con la aplicacin de parches.

Backup: Se refiere a la copia de datos de tal forma que estas puedan restaurar
un sistema despus de una perdida de informacin.

Claves criptogrficas: es una pieza de informacin que controla la operacin de


un algoritmo de criptografa. Habitualmente, esta informacin es una secuencia
de nmeros o letras mediante la cual, en criptografa, se especifica la
transformacin del texto plano en texto cifrado, o viceversa.

Crackers: Persona que disea o programa los esquemas de proteccin anti


copia de los programas comerciales, que sirven para modificar el
comportamiento o ampliar la funcionalidad del software o hardware original al
que se aplican, para as poder utilizar o vender copias ilegales.

Cifrado: Encriptacin de una seal por el proveedor del programa para evitar
su uso no autorizado. La seal puede ser recuperada para ser utilizada con
autorizacin.

Cdigo malicioso: Trmino que hace referencia a cualquier conjunto de


cdigos, especialmente sentencias de programacin, que tiene un fin
malicioso. Esta definicin incluye tanto programas malignos compilados, como

82
macros y cdigos que se ejecutan directamente, como los que suelen
emplearse en las pginas web (scripts).

Continuidad del negocio: Es el resultado de la aplicacin de una metodologa


interdisciplinaria, la continuidad de las actividades crticas del negocio, en el
caso de que se presentara un evento inesperado que pudiera comprometer los
procesos y actividades importantes de la operacin de la compaa.

Contraseas: Una contrasea o password es una serie secreta de caracteres


que permite a un usuario tener acceso a un archivo, a un ordenador, o a un
programa. En sistemas multiusos, cada usuario debe incorporar su contrasea
antes de que el ordenador responda a los comandos.

Descifrado: La aplicacin inversa de un algoritmo de cifrado, que restaura los


datos a su estado original, sin cifrar.

Exploits: Programa informtico malicioso, que intenta utilizar y sacar provecho


de un bug o vulnerabilidad en otro programa o sistema. Suelen utilizar
vulnerabilidades como: desbordamiento de buffer, condicin de carrera.

Firewalls: E un elemento de software y hardware utilizado en una red para


prevenir algunos tipos de comunicaciones prohibidos segn las polticas de red
que se hayan definido en funcin de las necesidades de la organizacin
responsable de la red. La idea principal de un firewall es crear un punto de
control de la entrada y salida de trfico de una red.

Fuerza bruta: La fuerza bruta es una tcnica empleada para descubrir claves
en sistemas donde el mtodo sea posible. La fuerza bruta se implementa con

83
un programa que se encarga de probar mltiples claves hasta descubrir la
correcta. Por lo general, las claves que se prueban son distintas
combinaciones de caracteres, pero tambin se pueden probar palabras de un
diccionario predefinido.

Hackers: Usuario especializado en penetrar sistemas informticos con el fin de


obtener informacin secreta. En la actualidad, el trmino se identifica con el de
delincuente informtico, e incluye a los cibernautas que realizan operaciones
delictivas a travs de las redes de ordenadores existentes.

ISO 27001: El estndar para la seguridad de la informacin, Especifica los


requisitos necesarios para establecer, implantar, mantener y mejorar un
Sistema de Gestin de la Seguridad de la Informacin.

Keyloggers: Es un tipo de software o un dispositivo hardware especfico que se


encarga de registrar las pulsaciones que se realizan en el teclado, para
posteriormente memorizarlas en un fichero o enviarlas a travs de internet

Malware: La palabra malware es la abreviatura de la palabra malicious


software. Este programa es sumamente peligroso para la pc, esta creado para
insertar gusanos, spyware, virus, troyanos o incluso los bots, intentando
conseguir algn objetivo como por ejemplo recoger informacin sobre el
usuario de internet o sacar informacin de la propia pc de un usuario.

84
OSI: Siglas que significan Open Systems Interconnection o Interconexin de
Sistemas Abiertos. Es un modelo o referente creado por la ISO para la
interconexin en un contexto de sistemas abiertos. Se trata de un modelo de
comunicaciones estndar entre los diferentes terminales y host. Las
comunicaciones siguen unas pautas de siete niveles preestablecidos que son
Fsico, Enlace, Red, Transporte, Sesin, Presentacin y Aplicacin.

Password: Forma de autentificacin que utiliza informacin secreta para


controlar el acceso hacia algn recurso. La contrasea normalmente debe
mantenerse en secreto ante aquellos a quienes no se les permite el acceso.

Phishing: Es un tipo de engao creado por hackers malintencionados, con el


objetivo de obtener informacin importante como nmeros de tarjetas de
crdito, claves, datos de cuentas bancarias, etc. El objetivo ms comn, suele
ser la obtencin de dinero del usuario que cae en la trampa. Por lo general, el
engao se basa en la ignorancia del usuario al ingresar a un sitio que presume
legal o autntico.

PSI: Polticas de seguridad informtica, forma de comunicarse con los


usuarios, ya que las mismas establecen un canal formal de actuacin del
personal, en relacin con los recursos y servicios informticos de la
organizacin.

Protocolo: Uno o un conjunto de procedimientos destinados a estandarizar un


comportamiento humano o sistmico artificial frente a una situacin especfica.

Redes Wi-Fi: Son a aquellas redes de telecomunicaciones en donde la


interconexin entre nodos es implementada sin utilizar cables. Las redes
inalmbricas de telecomunicaciones son generalmente implementadas con

85
algn tipo de sistema de transmisin de informacin que usa ondas
electromagnticas, como las ondas de radio.

Seguridad Informtica: Consiste en asegurar que los recursos de una


organizacin sean utilizados de la manera que se decidi y que el acceso a la
informacin all contenida, as como su modificacin, slo sea posible a las
personas que se encuentren acreditadas y dentro de los lmites de su
autorizacin.

Servidores: Es un tipo de software que realiza ciertas tareas en nombre de los


usuarios. El trmino servidor ahora tambin se utiliza para referirse al
ordenador fsico en el cual funciona ese software, una mquina cuyo propsito
es proveer datos de modo que otras mquinas puedan utilizar esos datos.

SGSI: Sistema de Gestin de la seguridad de la Informacin, como el nombre


lo sugiere, un conjunto de polticas de administracin de la informacin. El
trmino es utilizado principalmente por la ISO/IEC 27001.

Spam: Son mensajes no solicitados y enviados comnmente en cantidades


masivas. Aunque se puede hacer por distintas vas, la ms utilizada entre el
pblico en general es por correo electrnico. Otras tecnologas de Internet que
han sido objeto de spam incluyen grupos de noticias, motores de bsqueda y
blogs. El spam tambin puede tener como objetivo los celulares a travs de
mensajes de texto y los sistemas de mensajera instantnea.

Spyware: es un software que recopila informacin de un ordenador y despus


transmite esta informacin a una entidad externa sin el conocimiento o el
consentimiento del propietario del ordenador.

86
Tecnologas de la Informacin: Son un conjunto de tcnicas, desarrollos y
dispositivos avanzados que integran funcionalidades de almacenamiento,
procesamiento y transmisin de datos.

TIC: Las Tecnologas de la Informacin y la Comunicacin, tambin conocidas


como TIC, son el conjunto de tecnologas desarrolladas para gestionar
informacin y enviarla de un lugar a otro. Abarcan un abanico de soluciones
muy amplio. Incluyen las tecnologas para almacenar informacin y recuperarla
despus, enviar y recibir informacin de un sitio a otro, o procesar informacin
para poder calcular resultados y elaborar informes.

Troyano: Se denomina troyano o caballo de troya a un programa malware


capaz de alojarse en computadoras y permitir el acceso a usuarios externos, a
travs de una red local o de Internet, con el fin de recopilar informacin o
controlar remotamente a la mquina de algn usuario, pero sin afectar el
funcionamiento de sta.

Virus informtico: Los virus, habitualmente, reemplazan archivos ejecutables


por otros infectados con el cdigo de este. Los virus pueden destruir, de
manera intencionada, los datos almacenados en un ordenador, aunque
tambin existen otros ms "benignos", que solo se caracterizan por ser
molestos.

87
18 ANEXOS

Formato Encuesta para Comunidad Acadmica

ENCUESTA: SEGURIDAD INFORMTICA

sta informacin en confidencial y nicamente se usar para efectos de


investigacin dentro el proyecto de grado Protocolo de Seguridad Informtica
para Universidades.

Fecha de ingreso D_____M_____A_____

Programa al que pertenece

Semestre actual

Ha escuchado o sabe sobre la seguridad informtica?

Si

No

Le parece importante este Tema?

Alto

Medio

88
C Bajo

D No importante

Qu tipo de Recursos informticos utiliza en la universidad?

Propios

Equipos de las salas de sistemas

No utiliza

Si son Propios Posee algn tipo de proteccin?

Antivirus

Firewall

C - Contraseas

No utiliza

Usualmente en qu actividades se desempea dentro de la red de la


universidad (seale con una X):

ACTIVIDAD Si No

Estudio

89
Redes
sociales

Descargar
informacin

Msica

Juegos en
lnea

6. Qu tipo de informacin maneja en los equipos dentro de la universidad?

Personal

Acadmica

Pblica

Conoce sobre polticas de seguridad informticas implementadas en la


universidad?

A Si

B No

90
Cuales?________________________________________________________
____________________

_______________________________________________________________
_______________________________________________________________
______________________________________________________________

Cul es su percepcin sobre la seguridad informtica en la Universidad?

_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
______________________________

GRACIAS POR LA PARTICIPACIN!

91
Formato encuesta para personal administrativo

ENCUESTA: SEGURIDAD INFORMTICA

sta informacin en confidencial y nicamente se usar para efectos de


investigacin dentro el proyecto de grado Protocolo de Seguridad Informtica
para Universidades.

Fecha de ingreso D_____M_____A_____

rea a la que pertenece

Ha escuchado o sabe sobre la seguridad informtica?

Si

No

Le parece importante este Tema?

Alto

Medio

C Bajo

D No importante

92
Qu tipo de Recursos informticos utiliza en la universidad?

Porttil

Equipos de escritorio

Los equipos poseen algn tipo de proteccin?

Antivirus

Firewall

Contraseas

No utiliza

No sabe

Ha tenido algn inconveniente de prdida de informacin?

Si

No

Cual?__________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
___________________________

93
Usualmente en qu actividades se desempea dentro de la red de la
universidad (seale con una X):

ACTIVIDAD Si No

Estudio

Trabajo

Redes
sociales

Descargar
informacin

Msica

Qu tipo de informacin maneja en los equipos dentro de la universidad

Personal

Acadmica y/o Laboral

11.. Conoce sobre polticas de seguridad informticas implementadas en la


universidad?

94
A Si

B No

Cules?
_______________________________________________________________
____________________

_______________________________________________________________
_______________________________________________________________
______________________________________________________________

12. Cul es su percepcin sobre la seguridad informtica en la Universidad?

_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
______________________________

GRACIAS POR LA PARTICIPACIN!

95
Formato entrevista para encargados del rea de sistemas

ENCUESTA: SEGURIDAD INFORMTICA

sta informacin en confidencial y nicamente se usar para efectos de


investigacin dentro el proyecto de grado Protocolo de Seguridad Informtica
para Universidades.

Cargo:
_______________________________________________________________
_____________________

Qu tan importante es la seguridad Informtica?

A- Alto

B- Medio

C Bajo

D No importante

Polticas de seguridad implementadas en la institucin

__________________________________________________________
______________________________
2.

96
__________________________________________________________
______________________________

__________________________________________________________
______________________________

__________________________________________________________
______________________________

__________________________________________________________
______________________________

__________________________________________________________
______________________________

__________________________________________________________
______________________________

__________________________________________________________
______________________________

__________________________________________________________
______________________________

__________________________________________________________
______________________________

Actualmente estn en Funcionamiento?

Si
No

97
Otra:
_______________________________________________________________
_______________

Desde qu fecha o en qu fecha se implementar:


_________________________________________

Cmo y quin desarroll las polticas:


______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_________________________________________________________

_______________________________________________________________
___________________________

Modelos que se est siguiendo (en qu se basaron):

_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________

98
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_________________________

_______________________________________________________________
_______________________________________________________________
______________________________________________________________

Normatividad con la cual se estn rigiendo para la seguridad


informtica:______________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
________________________________________________________

Cul considera que son los puntos ms crticos para proteger?

_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
____________________________

99
Ha habido algn suceso sobre perdida de informacin o delito informtico?

_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
____________________________

INFORMACIN DE LA UNIVERSIDAD

Dependencias de la Universidad:

___________________________________
___________________________________

___________________________________

___________________________________

Cantidad de usuarios en la red de la universidad: ________

GRACIAS POR LA PARTICIPACIN!

100