CASO DE ESTUDIO TECNOLOGIAS DE INFORMACION

Durante el siglo XX y lo que va del siglo XXI a nivel mundial se han desarrollado importantes cambios en el mbito tecnolgico, econmico, social y cultural, entre otros. La complejidad y globalizacin de los mercados han generado una serie de necesidades de carcter tcnico en las grandes empresas obligando a romper con las viejas tradiciones de computadores monousuarios para unirse a una red de ideas globales, donde resalta la accesibilidad de la informacin y las facilidades de comunicacin. A finales del siglo pasado, la informacin se convirti en el recurso ms valioso con el que cuentan las empresas, por lo que la seguridad de la informacin en las redes aparece como un problema potencial de grandes proporciones, originado por la vulnerabilidad a la que se encuentra expuesta la informacin dentro de los entornos de las redes en Internet e Intranets. Igualmente, las organizaciones tales como: Entidades Bancarias, Compaas de Seguros, Administracin Pblica, entre otras, contienen en sus bases de datos informacin corporativa y personal cuyo acceso o difusin a personas o entes no autorizados podra perjudicar gravemente a la empresa o a la(s) persona(s) involucrada(s). En este sentido, Hernndez, E. (2003) seala que se pueden diferenciar dos aspectos muy importantes: seguridad, que la informacin depositada no se pierda o sea alterada de forma incorrecta y privacidad, que esta informacin slo sea accesible cuando sea necesaria o con los autorizaciones pertinentes. Como reflejo de la importancia de la seguridad, Hernndez, E. (ob. cit), present unas conclusiones de un informe realizado por la FBI de Mayo 1999 en la que se estudiaron 521 compaas de distinto tamao y actividad, donde el 61% present prdidas de informacin debido al uso no autorizado de sus sistemas informticos, el 50% de las compaas informaron del abuso en el uso de la red y la media de prdida por robo o sabotaje fue de 1.1 Millones de dlares. Es de destacar, que hoy en da, una violacin a la seguridad de una red cableada o inalmbrica puede desatar el caos en las operaciones ms importantes de una empresa, afectando la productividad, poniendo en peligro la integridad y confidencialidad de los datos y en consecuencia originar desconfianza en los clientes. La falta de polticas y procedimientos en seguridad es uno de los problemas ms graves que confrontan las empresas hoy da en lo que se refiere a la proteccin de sus activos de informacin frente a peligros externos e internos. De all, que en los ltimos aos, ha sido cada vez ms evidente la necesidad de un marco referencial para la seguridad y el control de tecnologa de informacin (TI). Las organizaciones exitosas requieren una apreciacin y un entendimiento bsico de los riesgos y limitaciones de TI a todos los niveles dentro de la empresa con el fin de llevar una direccin efectiva y controles adecuados. Por eso, el estndar internacional ISO/IEC 27001:2005 adopta un proceso para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el sistema de gerencia de la seguridad de la informacin (SGSI) en una organizacin. En este sentido, es responsabilidad de la gerencia decidir cul es la inversin razonable en seguridad y en control en TI, y cmo lograr un balance entre riesgos e inversiones en control en un ambiente de TI frecuentemente impredecible, ya que la seguridad y los controles en los sistemas de informacin que ayudan a manejar los riesgos, no los eliminan. Adicionalmente, el exacto nivel de riesgo nunca puede ser conocido ya que siempre existe un grado de incertidumbre. Es por ello, que en Venezuela las empresas se han abocado a la implementacin de Sistemas de Gestin de Seguridad en la Informacin para lograr la optimizacin de los servicios y de los sistemas de informacin. En

esta misma lnea se encuentra la Universidad Nacional Experimental Politcnica Antonio Jos de Sucre, (Unexpo) Vicerrectorado de Puerto Ordaz, Estado Bolvar. Es de hacer notar, que la Unexpo es la institucin politcnica ms importante del pas y tuvo su origen en el ao 1979, cuando de conformidad con el Artculo 10 de la Ley de Universidades, los tres politcnicos: Escuela Tcnica Industrial de los Chaguaramos, el Instituto Politcnico de Barquisimeto y el Instituto Universitario Politcnico de Guayana se unificaron mediante Decreto Ejecutivo No. 3087, para formar la hoy Universidad Nacional Experimental Politcnica Antonio Jos de Sucre UNEXPO. Esa integracin se traduce en la consolidacin de tres sedes: Vicerrectorado Barquisimeto, Vicerrectorado Puerto Ordaz y Vicerrectorado Luis Caballero Mejas teniendo como objetivo la formacin de profesionales e investigadores creativos, con pensamiento crtico y conciencia ciudadana, para generar, aplicar y difundir el conocimiento, a fin de promover el desarrollo integral del pas. El rea tecnolgica de la Unexpo es dirigida por la Oficina Central de Tecnologa y Servicios de Informacin (OCTSI), ubicada en Barquisimeto cuyo objetivo es planificar, organizar, dirigir y controlar las polticas emanadas de la alta gerencia, a fin de garantizar la actualizacin tecnolgica, las comunicaciones y los servicios de informacin requeridos por la institucin, fue creada el 04 de mayo del 2005 en sesin extraordinaria del Consejo Universitario N 2005-E09-05, en concordancia con los lineamientos de Tecnologa y Servicios de Informacin, aprobado el 20 de julio del 2004 segn resolucin de Consejo Universitario No. 2004-E14-06. De la estructura organizativa de la OCTSI (ver anexo A), se observa que en cada vicerrectorado existen las Oficinas Regionales de Tecnologa y Servicios de Informacin ORTSI, conformadas por el Comit de Control de Cambios Regional, las Coordinaciones de Produccin y Operaciones (CPO), y Atencin a Usuarios (CAU), (ver anexo B). En esta estructura, la Coordinacin de Produccin y Operaciones (CPO) es la encargada de mantener la operatividad y funcionalidad de toda la infraestructura tecnolgica y de servicios de informacin que dan soportes a la gestin acadmica y administrativa del Vicerrectorado de Puerto Ordaz y est conformada por los siguientes grupos de trabajo: Soporte Ambiente Operativo (SAO), Soporte Servicios de Informacin (SSI) y Soporte Mantenimiento de Seguridad (SMS). Este ltimo grupo de trabajo es el rea donde se desarrollar la investigacin ya que es la definida estructuralmente para aplicar todo lo referente a seguridad. Es importante resaltar que la Unexpo, Vicerrectorado de Puerto Ordaz tiene en los actuales momentos la necesidad del fortalecimiento de la seguridad para los sistemas de informacin en produccin, en especial el Sistema Administrativo Integrado SAI, ya que, despus del sistema de control de estudio, es el sistema de informacin ms importante, el cual controla toda la parte administrativa. El Sistema Administrativo Integrado SAI es un servicio de informacin administrativo que permite integrar los flujos de informacin de cada una de las unidades administrativas del Rectorado y los Vicerrectorados regionales (Centros de Gastos) de la Unexpo para facilitar la gestin financiera, administrativa, recursos humanos, obras, ingresos, recaudacin y contratos, de cada uno de los procedimientos ejecutados por las unidades administrativas, as como tambin, crear las bases para integrar los flujos de informacin internos y externos de la Institucin, conjuntamente con el medio ambiente donde se desarrollan las diferentes actividades. Al respecto, se ha comprobado por observacin directa de la investigadora que la informacin crtica de los sistemas de informacin de la universidad estn fcilmente en peligro debido a: fallos en la red, cadas elctricas, errores de hardware y software, computadores y sistemas informticos amenazados por virus, hackers, spyware y spam, no existe acciones oportunas que evite la prdida o eliminacin involuntaria de informacin institucional en los computadores de los usuarios administrativos, usuarios que comparten las

contraseas para ingresar a los sistemas de informacin, instalacin de aplicaciones informticas sin autorizacin, no existe un control de acceso a las reas criticas, entre otros. Por lo antes expuesto, se determin que la problemtica objeto de estudio es ocasionado por falta de una gerencia proactiva en el rea de seguridad con una metodologa que permita detectar las vulnerabilidades y estimar la probabilidad de que ocurran ciertos eventos a fin de minimizar los riegos en los sistemas y una actitud holstica de proteccin de la informacin de los usuarios del SAI De lo anteriormente planteado, se evidencia la necesidad de establecer un sistema de gestin de seguridad de la informacin basado en la norma ISO/IEC 27001:2005, que permita aplicar controles, tales como: poltica de seguridad, organizacin de la seguridad de la informacin, gestin de activos, seguridad de recursos humanos, seguridad fsica y Ambiental, gestin de comunicaciones y operaciones, control de Accesos, adquisicin, desarrollo y mantenimiento de sistemas de informacin, gestin de incidente de seguridad de la informacin, gestin de continuidad del negocio y cumplimiento (legales, de estndares, tcnicas y auditorias), todo esto con la finalidad de garantizar la confidencialidad, integridad y disponibilidad de la informacin manejada en el sistema de informacin (SAI). INTERROGANTES A RESPONDER 1.- Cmo est actualmente la seguridad de la informacin, en la Universidad Nacional Experimental Politcnica Antonio Jos de Sucre, Vicerrectorado de Puerto Ordaz? 2.- Cul es factibilidad operativa, tcnica y econmica de disear un sistema de gestin de seguridad de la informacin para un sistema de informacin? 3.- Qu caractersticas debe tener un sistema de gestin de seguridad de la informacin para el Sistema Administrativo Integrado?