Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ciencias de la Información 41
Pérez, Aguilera y Rivero
debería ser siempre protegida las organizaciones dan a la información. Por usuarios con potencial de ataque, que no
adecuadamente. ello, resulta necesario acotar y precisar qué tan solo se centran en el ambiente que se
se entiende por cada uno de esos conceptos. ubica fuera de la organización, sino también
El recurso que hoy se considera más en los usuarios comunesque trabajan y
importante es la información. Para alcanzar Se considera dato, como la unidad mínima son una gran amenaza a la seguridad si no
un objetivo es preciso acceder a la con la que se compone la información, los se tienen políticasclaras de acceso a la
información pertinente para llegar a tomar datos no tienen significado sin un contexto, información.
las decisiones adecuadas. Esto es y guarda relación con el espacio y el tiempo,
especialmente importante en ambientes es decir, el ciclo de vida de estos datos en Lograr que la seguridad de la información
cada vez más interconectados. Como un espacio y tiempo determinado, por lo que se corresponda con la importancia de los
consecuencia de esta creciente interconectividad, los datos son acaecidos físicos (pequeńas bienes a proteger y de los riesgos a que
la información está ahora expuesta a un parcelas o trozos de la realidad), susceptibles están sometidos es el principal dilema que
número mayor y a una variedad más amplia de transportar cierta información. Poseen enfrentan las entidades educacionales,
de amenazas y vulnerabilidades. una naturaleza material y pueden ser como se declara en el artículo 4 del
considerados como soporte físico de la Reglamento de Seguridad para las
La protección de la información depende de información, por ser acaecimientos físicos, Tecnologías de la Información del Ministerio
un conjunto de medidas administrativas, son sencillos de capturar, estructurar, de la Informática y las Comunicaciones
organizativas, físicas, técnicas o lógicas, cuantificar o transferir, la expresión dato es (Resolución Ministerial 127 del 2007),
legales y educativas, con un enfoque sinónimo de seńal. Los datos son la materia aplicablea todos los Órganos y Organismos
integral y en sistema, de forma tal que prima de la información. de la Administración Central del Estado y
garantice su confidencialidad, integridad y sus dependencias; otras entidades
disponibilidad. Por su parte la información, es el conjunto estatales; empresas mixtas; sociedades y
organizado de datos, que constituye un asociaciones económicas que posean o
El presente trabajo tiene como objetivo mensaje sobre un cierto fenómeno o ente. utilicen, en interés propio o de un tercero,
ofrecer una alternativa que favorezca la La información permite resolver problemas tecnologías de la información.
protección de la información que se procese, y tomar decisiones, ya que su uso racional
intercambie, reproduzca o conserve a través es la base del conocimiento. Es el resultado
de procesar o transformar los datos. ¿Cómo resolver estacontradicción?
de las TI en correspondencia con las El análisis de las principales normas,
funciones propias del trabajo para el que guías, modelos, estándares y metodologías
estas tecnologías han sido destinadas. En las entidades educativas los datos se
pueden procesar o transformar a través de existentes en la bibliografía sobre seguridad
las TI en función de las clases, la elaboración de la información coinciden en que para
Métodos utilizados de software, la investigación, la dirección garantizar la protección de la información es
del proceso docente educativo o de brindar necesario establecer medidas administrativas,
Para elaborar el trabajo se emplearon los diversos servicios a trabajadores y organizativas, físicas, técnicas o lógicas,
métodos de análisis y síntesis, inducción- estudiantes y por tanto la información es legales y educativas estrechamente
deducción y la revisión de documentos, los relevante en relación con el contexto. interrelacionadas pero con un carácter
cuales permitieron la elaboración de los muy general, dejando a la entidades la
indicadores para la caracterización de las Es por ello que el conjunto de medidas adecuación de las mismas en
tecnologías informáticas y su agrupación administrativas, organizativas, físicas, correspondencia con sus objetivos.
en clases, así como el método sistémico- técnicas o lógicas, legales y educativas, con
estructural funcional para establecer cada un enfoque integral y en sistema, para Para poder contextualizar las normas,
una de las clases y su relación con los garantizar la protección de la información guías, modelo, estándares y metodologías
niveles de seguridad. (en lo adelante seguridad de la información) existentes en el ámbito internacional a las
deben estar en correspondencia con la entidades educativas cubanas fue necesario
importancia que tiene la información para la establecer un criterio que nos permitiera
Resultados entidad educativa,y no se corra el riesgo de ajustar el conjunto de medidas administrativas,
que estas medidas sean insuficientes para organizativas, físicas, técnicas o lógicas,
La información tratada en las entidades proteger la información o que sean legales y educativas para garantizar la
educativas se ha convertido en el eslabón impracticables por ser molestas o costosas. seguridad de la información que se procesa,
esencial para el desarrollo económico y intercambia, reproduzca o conserva a través
social de las mismas, yaque la información Según ACISSI (2011), hoy en día no existe de las tecnologías de información.
es un bien más de su activo y, en muchos duda de que se está en una nueva era
casos, prioritario sobre los restantes. caracterizada porel uso masivo de la El análisis y valoración de la bibliografía
información, que adicionalmente ha relacionada con el tema, la aplicación
acarreado mucha másrelevancia que en de varios instrumentos empíricos como
Dato e Información (diferencias y anteriores épocas, debido a lo cual es entrevistas y el análisis de riesgo y la
dependencias) fundamental dentro de las organizaciones experiencia de los autores como especialistas
el poder detectar las vulnerabilidades del de seguridad informática condujeron a
Estos dos elementos serán herramientas sistemade información para contrarrestar las establecer como criterio la caracterización
prioritarias para estudiar el tratamiento que amenazas y riesgos por el gran número de de la tecnología de la información y como
Ciencias de la Información 43
Pérez, Aguilera y Rivero
información que se caracteriza porque estos p ued en ser evaluad o en las de funcionamiento afectaría el trabajo de las
ésta solo pueda ser modificada por categorías de: ALTO, MEDIO y. BÁSICO áreas y de la conexión de la entidad con el
personal autorizado, (incluye la creación a partir del criterio de: exterior, es decir afectaría el procesamiento,
y borrado de la información). envío y recepción desde la entidad y hacia
d) Confidencialidad: se establecerá en la entidad de información.
Para los autores del presente trabajo, función de las consecuencias que tendría
la integridad se refiere a la validez y su revelación a personas no autorizadas Clase B: Constituye el segundo nivel de
consistencia de los elementos de o que no necesitan conocer la seguridad. A esta clase pertenecen
información almacenados y procesados información. aquellos sistemas informáticos que
en un sistema informático. Basándose procesan, intercambian, reproducen o
en este principio, las herramientas de e) Integridad: se establecerá en función de conservan información clasificada o se
seguridad informática deben asegurar las consecuencias que tendría su encargan de su correcto funcionamiento.
que los procesos de actualización estén modificación por alguien que no está
bien sincronizados y no se dupliquen, autorizado a modificar la información. Esta clase se subdivide en dos:
deforma que todos los elementos del
sistema manipulen adecuadamente f) Autenticidad: se establecerá en función • B1: aquellos sistemas informáticos que
los mismos datos. Este principio es de las consecuencias que tendría el hecho se encargan de la configuración y
importante en sistemas descentralizados, de que la información no fuera auténtica correcto funcionamiento de las máquinas
esdecir, aquellos en los que diferentes y en función de las consecuencias que de la clase anterior o cuya salida de
usuarios, computadores y procesos tendría el hecho de que el servicio fuera funcionamiento afectaría el trabajo de un
comparten la misma información. usado por personas indebidamente área específica.
autenticadas.
c) Disponibilidad, cualidad deseable en la • B2: pertenecen aquellos sistemas
información que se caracteriza por exigir g) Disponibilidad: se establecerá en función informáticos encargados de procesar,
que la misma se encuentre asequible y de las consecuencias que tendría el que intercambiar, reproducir o conservar
utilizable en el momento y forma que una persona autorizada no pudiera información clasificada.
requieran los usuarios autorizados. acceder a la información cuando la
necesita y en función de las Clase C: Constituye el tercer nivel de
Baeta, J. (s/f), plantea que la disponibilidad consecuencias que tendría el que una seguridad. A esta clase pertenecen
se refiere a la continuidad de acceso a persona autorizada no pudiera usar al aquellos sistemas informáticos que
los elementos de información almacenados servicio cuando lo necesita. procesan, intercambian, reproducen o
y procesados en un sistema informático. conservan información limitada.
Basándose en este principio, las h) Trazabilidad: se establecerá en función
herramientas de seguridad informática de las consecuencias que tendría el no Esta clase se subdivide en tres:
deber reforzar lapermanencia del sistema poder rastrear a posteriori quién ha
informático, en condiciones de actividad accedido a o modificado una cierta • C1: aquellos sistemas informáticos que
adecuadaspara que los usuarios accedan información y en función de las procesan, intercambian, reproducen o
a los datos con la frecuencia y dedicación consecuencias que tendría el no poder conservan información que solo es del
querequieran, este principio es rastrear a posteriori quién ha accedido conocimiento del consejo de dirección
importante en sistemas informáticos al servicio ampliado de la entidad.
cuyoscompromiso con el usuario, es
prestar servicio permanente. • C2: aquellos sistemas informáticos que
¿Para qué caracterizar las TI? procesan, intercambian, reproducen o
Otros autores como De Lara, N. (2007: 6) Como se mencionó, el proceso de conservan información que solo es del
le incluyen otros dos principios: caracterización de las TI de la entidad conocimiento del consejo de dirección
permite seleccionar los elementos que ampliado de la entidad o manejan
• Autenticidad, cualidad deseable en la las tipifican y distinguen de las demás información relacionada con proyectos
información que se caracteriza por exigir tecnologías, y facilitando su organización de investigación.
que la misma sea válida y utilizable en en grupos o clases y la adecuación de las
tiempo, forma y distribución. medidas de seguridad para proteger la • C3: aquellos sistemas informáticos
información en correspondencia con dicha que procesan, intercambian, reproducen
• Trazabilidad, cualidad deseable en la organización. o conservan información relacionada con
información que se caracteriza por la dirección del proceso de enseñanza
asegurar que en todo momento se podrá Considerando la información que las TI aprendizaje de la entidad.
determinar quién hizo qué y en qué procesan y el cargo o función del usuario
momento, así como quién ha accedido a que la trabaja se agruparon en las siguientes Clase D: Constituye el cuarto nivel de
los datos. clases: seguridad. A esta clase pertenecen
aquellos sistemas informáticos que
A partir de las consecuencias que tendría Clase A: Constituye el nivel de seguridad procesan, intercambian, reproducen o
para la entidad el incumplimiento de válido más alto. A esta clase pertenecen conservan información contable y
alguno de los elementos antes señalados, aquellos sistemas informáticoscuya salida financiera.
Clase E: Constituye el quinto nivel de Tabla 1. Relación entre las clases y los indicadores a evaluar (Fuente: elaboración propia)
seguridad. A esta clase pertenecen
aquellos sistemas informáticosque
procesan, intercambian, reproducen o CLASES
conservan información ordinaria. A B1 B2 C1 C2 C3 D E F
Nivel Alto X
Clase F: Constituye el nivel más bajo de
seguridad. A esta clase pertenecen los Nivel Medio X X X X X
Confidencialidad
sistemas informáticos personales. Nivel Básico X
Ciencias de la Información 45
Pérez, Aguilera y Rivero
2007) permitió, desde un enfoque integral Por ello, cada nivel de seguridad estará Conclusiones
y en sistema, delimitar las medidas de compuesto por un conjunto de medidas
seguridad a implantar. físicas y ambientales, técnicas o lógicas,
En las entidades educativas cubanas, la
administrativas y de organización, legales y
información que se procesa, almacena
Estas medidas de seguridad se subdividen educativas muy interrelacionadas entre sí y
electrónicamente, se trasmite por correo o
en: que dependen de la caracterización de las
por medios electrónicos debe ser protegida
tecnologías informáticas de la entidad.
adecuadamente. La protección de la
a) Medidas administrativas y organizativas: información depende de un conjunto de
consiste en la aplicación de procedimientos En la figura 2 se observa la relación entre
medidas administrativas, organizativas,
de control, como medidas de prevención la caracterización de las TI y las medidas
físicas, técnicas o lógicas, educativas y
y contramedidas dirigidas a minimizar de seguridad para garantizar el nivel de
legales, con un enfoque integral y en sistema,
riesgos sobre los sistemas informáticos y seguridad que exige la información a
de forma tal que garantice su integridad
garantizar la continuidad de los procesos proteger.
confidencialidad, y disponibilidad. Es por
informáticos. ello, que la caracterización y organización
Claro está que la seguridad de la información
de las tecnologías informáticas encargadas
b) Medidas de seguridad física y ambiental: no es un producto, sino un proceso continuo
de procesar dicha información permite
consiste en la aplicación de barreras que debe ser controlado, gestionado y
ajustar estas medidas en correspondencia
físicas y procedimientos de control, monitorizado en el que la caracterización
con la clase en la que se ubica dicha
como medidas de prevención y de las TI juega un importante papel dentro
tecnología y por tanto favorece los procesos
contramedidas ante amenazas a recursos de la gestión global de la seguridad de
la información en la entidad educativa. que se desarrollan en cada una de las
e información, implementados para entidades educativas.
proteger el hardware y los medios de
Por ello se asume el modelo de procesos
almacenamiento de datos o con el fin de
«Planificar-Hacer-Verificar-Actuar» (PHVA), Referencias
controlar los efectos de la naturaleza.
que se aplica para estructurar todos los
procesos del sistema de gestión de la ACISSI(2011). Seguridad Informática.
c) Medidas de seguridad técnica o lógicas:
seguridad de la información adoptado por Ediciones ENI, Primera
consiste en la aplicación de barreras
la norma cubana ISO/IEC 27001: 2007 y que edición,Barcelona – España.
y procedimientos que resguarden el
hace énfasis en la importancia de:
acceso a los datos y sólo se permita que Aldegani, G. (2003). Seguridad
accedan a ellos las personas autorizadas a) comprender los requisitos de seguridad Informática. MP Ediciones.
para hacerlos. de la información, la necesidad de Argentina.
establecer la política y objetivos en
d) Medidas legales: consiste en la aplicación Areitio J.(2008). Seguridad de la
relación con ellaasí como la de
de medidas de carácter preventivo e información. Editorial
caracterización de las tecnologías de la Paraninfo,Primera Edición,
inmediato a aplicar frente a cualquier información; Madrid-España.
violación en que incurran los usuarios
de los sistemas informáticos referente a b) implementar y operar controles para Atelin, P. (2006). Redes Informáticas.
lo que se estipula como prohibiciones y manejar los riesgos de seguridad de la Ediciones ENI, Primera
obligaciones del usuario. información enla entidad educativa a Edición,Barcelona-España.
partir de los niveles de seguridad
e) Medidas educativas: consiste en la declarados; Baeta, J. (s/f). Seguridad Informática.
aplicación de medidas de carácter [Versión electrónica]
preventivo dirigidas a la preparación Disponible en:http://
c) realizar el seguimiento y revisión del
del personal de la entidad sobre las es.scribd.com/doc/95069532/
desempeño y eficacia del sistema de gestión Seguridad-Informatica
medidas y procedimientos establecidos de la seguridad de la información; y
vinculados con la seguridad de las Consejo de Estado (1999). Decreto Ley
tecnologías de la información vital para d) la mejora continua basada en la medición 199/99 Seguridad y Protección
el desempeño de su trabajo. de objetivos. de la Información Oficial. La
Niveles de
Seguridad
Figura 2. Relación entre la caracterización de las TI y las medidas de seguridad según los niveles de seguridad (Fuente: elaboración propia)
Habana, Cuba. Norma Cubana ISO/IEC 17799: 2007 informática e Internet. Editorial
(2007). Tecnología de la Alfaomega Ra-Ma, Madrid-
De Lara Guerrero, N. (2007). Guía de información – Código de España.
Seguridad de la Información buenas prácticas para la
para Administración Local y gestión de la seguridad de la
Recibido: 21 de marzo de 2017
PYMES. información (ISO/IEC 17799:
Aprobado en su forma definitiva:
2005, IDT). La Habana, Cuba: 14 de julio de 2017
Ministerio de Educación (2007). Oficina Nacional de
Resolución Ministerial No. Normalización.
176/2007 Reglamento de Osmany Aguilera Almaguer
Seguridad para las Tecnologías Norma Cubana ISO/IEC 27001: 2007 Universidad de Holguín, Cuba
de la Información en la (2007). Tecnología de la Correo-e.: oaguilera@uho.edu.cu
actividad educacional. La Información – Técnicas de
Habana, Cuba: MINED. seguridad – Sistemas de Edilberto de Jesús Pérez Alí Osmán
gestión de la seguridad de la Universidad de Holguín, Cuba
Ministerio de la Informática y las información – Requisitos (ISO/ Correo-e.: edilbertop@uho.edu.cu
Comunicaciones (2007). IEC 27001: 2005, IDT). La
Resolución Ministerial No. Habana, Cuba: Oficina Rolando Rivero Cuesta
127/2007. Reglamento de Nacional de Normalización. Universidad de Holguín, Cuba
Seguridad para las Tecnologías Correo-e.: rolando@uho.edu.cu
de la Información. La Habana, Rodao, J.(2006). Piratas cibernéticos,
Cuba: MIC. Cyberware, Seguridad
Ciencias de la Información 47