GESTIÓN DEL RIESGO EN ESCUELA SEGUNDARIA, PARA SISTEMAS

COMPUTARIZADOS DE INFORMACIÓN.

En el sur de África se convirtió, el uso de sistemas computarizados en la

educación como algo elemental, promoviendo retos como la seguridad de la
información, ya que en las escuelas reposa información confidencial de los
educadores, estudiante y todo lo referente a gastos e ingresos de las
instituciones.

Al no existir los recursos humanos ni monetarios se requiere educar a la gestión

de usuarios, haciendo un ejercicio de gestión de riesgo para su sistema, con el
fin de reducir o mitigar el riesgo.

El planteamiento para solucionar esta situación se realiza a partir de un estudio

donde se evalué la vulnerabilidad para organizaciones pequeñas y así
conseguir enfrentar esta situación.

Al tratarse de un sistemas de información computarizados (CISS) las escuelas

se ven expuestas al riesgo, muchas veces en desconocimiento de esta
situación. Dicho riesgo radica en la seguridad como cualquier empresa a
pequeña escala. Es así que vemos la importancia de la gestión del riesgo en la
seguridad de la información, ya que su resultado es la base para la toma de
decisiones sobre las acciones a tomar para mitigarlo.

Ante las carencias planteadas anteriormente se realiza un ejercicio en dos

escuelas con el fin de gestionar los riesgos, plasmando como objetivo principal
educar al personal escolar

En primera medida se evalúa la importancia de la información, destacando

puntos importantes como la confidencialidad, fiabilidad y todo lo concerniente al
buen manejo y seguridad de la información. Cuando se habla de seguridad en
la confidencialidad es la certeza de que la información solo estará disponible
para personal autorizado. Cuando se habla de seguridad de la integridad de la
información se hace referencia a la certeza de que nadie va a modificar ni
manipular la información. Es por esto que con el fin de dar seguridad a la
información se y permitir el acceso de la misma al personal autorizado se crea
la máscara de disponibilidad.

Cuando se da inicio a la identificación de la fuente de problemas encontramos

un riesgo potencial la compatibilidad que existe en las diferentes escuelas con
las LAN ya que se requiere de la implementación de estas para dar acceso a la
web a las diferentes terminales, generando la necesidad de establecer
protocolos de seguimiento y monitoreo a la gestión del riesgo y así tener menor
exposición de los archivos al riesgo.

Luego de la identificación damos paso a la búsqueda de la solución al problema

inminente, el cual consiste en llevar a cabo los ejercicios de gestión de los
riesgos de seguridad de la información para ayudar a la dirección del centro
para explorar diversos mecanismos de seguridad de la información.
Pasando a la gestión del riesgo decimos que un activo sistema de información
que evalúa una organización con el objetivo de cumplir su misión. Un activo
para una organización puede ser material o inmaterial cuando se habla de
activos materiales, se hace referencia al hardware y cuando se habla de activos
inmateriales se habla de software. Pero en la mayoría de los casos el activo
inmaterial es mucho más valioso que el activo material, puesto que este es el
que refleja el crecimiento de la organización, lo cual incluye la reputación, la
confianza, las operaciones y la mora.
Es acá cuando se identifica un riesgo, pues existe un problema contextual y un
peligro, lo cual puede reflejarse en la materialización de un evento no favorable,
hago referencia que siendo más valioso el activo inmaterial, existe la posibilidad
de que manos inescrupulosas quieran acceder o manipular la información,
convirtiéndose así en un riesgo. Es por esto que al ser vulnerable la seguridad,
se crea un grado de exposición de la información y se considera la magnitud del
impacto que tendría la materialización de la amenaza.

La gestión del riesgo tiene dos actividades principales las cuales son evaluar y
analizar el riesgo. La evaluación del riesgo consiste en identificar las
características y causas del riesgo, esto se consigue mediante el análisis,
estudio de probabilidades en una tarea específica. El análisis del riesgo
consiste aparte de identificar el riesgo en determinar la magnitud del área que
necesita salvaguardar.
La elección de un método de gestión de riesgo depende de la comprensión y la
aplicación adecuada de ese método en un contexto organizativo. Lo que indica
que para el caso de la escuela segundaria es aún peor, dado que el personal
con habilidades informáticas de línea de base se trata únicamente con el uso de
la CISS.

Partiendo que la identificación de los riesgos puede ser de tipo cualitativo o

cuantitativo. Los métodos cuantitativos son usados en organizaciones de gran
envergadura de sistemas de información, apoyada por recursos humanos y
financieros. Los métodos cuantitativos evalúan mediante fórmulas matemáticas
el impacto o probabilidad de daños o pérdidas de activos del sistema de
información. La evaluación cualitativa consiste en la evaluación de los efectos
de los factores de riesgo identificados, creando prioridades para resolver los
posibles factores de riesgo.

Analizando nuestro tema en particular encontramos que mediante el método

cualitativo se hace evidente graves problemas en la escuela segundaria,
teniendo cierto grado de complejidad, tales como el riesgo y la operatividad,
modo de fallo y análisis de efectos o el modo de fallo y análisis de efectos de
criticidad.

Si tratamos de explicar y comprender algunas de las técnicas de gestión de

riesgos son demasiado difíciles de entender, con el resultado de que estas
organizaciones pequeñas pueden usar métodos no autorizadas o evitar la
realización de ejercicios de gestión de riesgos por completo. Para llevar a cabo
la gestión de riesgos en la escuela segundaria, se puede sugerir el método de
gestión de riesgos simple y participativo en la categoría cualitativa, OCTAVE.
Este método se basa en procesos de identificación, priorización y manejo, por
otra parte favorece la implementación de este método teniendo en cuenta la
estructura de la escuela segundaria ya que es una estructura jerárquica plana,
facilitando la evaluación y análisis por este método.

Las organizaciones pequeñas aseguran que con la implementación del método

OCTAVE, tienden a beneficiarse, dando la facilidad de identificar la totalidad de
las amenazas que la organización debe contemplar, también ofrece un catálogo
de vulnerabilidades basadas en la plataforma y aplicación, sirviendo como
punto de referencia para aplicarlo en la escuela.

Implementando el método OCTAVE, un equipo de trabajo tiene que llevar la

responsabilidad de llevar a cabo el ejercicio de gestión de riesgos. Cada equipo
está compuesto de tres a cinco usuarios clave seleccionados de cada escuela.
Dichos miembros deben tener pleno conocimiento del funcionamiento de la
escuela, luego de aprobar la conformación de los equipos, el equipo de
colaboración iniciara el ejercicio de gestión de riesgos. El jefe del equipo dirige,
mientras el otro documenta todos los procesos llevados a cabo durante el día.
El resto del equipo llevara a cabo las funciones como lo describe la figura.
Durante el proceso dos la actividad primaria es el control de los mecanismos de
protección existentes, los equipos adicionales analizan quien tiene acceso a los
activos, identificando ¿cómo?, ¿cuándo? Y ¿porque? Acceden, el líder del
equipo observa cómo se usan los sistemas.

Luego se realiza la identificación de la vulnerabilidad en la computación, esto se

consigue con una inspección realizada por el equipo. Por último se evalúan los
riesgos, el desarrollo y la implementación. Proceso durante el cual el equipo
analiza los resultados de la evaluaciones con el fin de obtener una métrica
cualitativa de los riesgos, de los cuales se debe identificar el origen. Los riesgos
se califican en función de su impacto. Al término de este proceso, se espera
que cada usuario participante para llevar a cabo análisis de riesgos simple y
llegar a una estrategia de protección para un activo afectado.