GUA METODOLGICA PARA EL USO DE LOS RECURSOS DE INFORMACIN EN LA GESTIN DE SEGURIDAD INFORMTICA DEL NIVEL OPERATIVO DE ETECSA

ANTECEDENTES ETECSA, es la Empresa de Telecomunicaciones de Cuba, Sociedad Annima, considerada una de las empresas ms fuertes en el mercado cubano. Se fund como empresa mixta en agosto de 1994, como parte del amplio proyecto de reanimacin econmica llevado a cabo por el estado. Es la entidad encargada de la prestacin de los servicios pblicos de telecomunicaciones mediante la operacin, instalacin, explotacin, comercializacin y mantenimiento de las redes pblicas de telecomunicaciones en todo el territorio nacional y para lo cual se encuentra organizada en Direcciones, Unidades de Negocios y Filiales Territoriales con un enfoque basado en los procesos que soportan su gestin. Se Anexa Diagrama de la Estructura Organizativa1. Para la organizacin de la Seguridad Informtica, ETECSA cuenta en su estructura organizativa con: Gerencia de Seguridad y Control: Realiza tareas de control del cumplimiento de Polticas, Estrategias y Planes de Seguridad Informtica. Gerencia de Auditoria: Realiza auditoras a todas las reas de la empresa para agregar valor y mejorar sus operaciones, contribuyendo a cumplir sus objetivos y metas, aportando un enfoque sistmico y disciplinado para evaluar y mejorar la eficacia de los procesos de gestin de riesgos, control y direccin. Evala desde el punto de vista del control interno, previo a su implementacin la seguridad de los procedimientos administrativos, mtodos de trabajo, manuales contables y aplicaciones informticas.

Gerencia de Sistemas Informticos: Elabora la poltica de seguridad informtica, considerando este aspecto en todo su mbito de accin. Unidad de Negocios de Tecnologas de la Informacin y el Software, Gerencia de Seguridad Informtica: Garantiza la confidencialidad,

integridad y disponibilidad de la informacin que se procesa e intercambia por medio de las tecnologas de la informacin, a travs del desarrollo, implementacin y comercializacin de productos de seguridad informtica. Grupos de Sistemas Informticos en las Unidades de Negocios: Garantiza y exige la aplicacin de los procedimientos de seguridad implementados en el software de base, a fin de detectar riesgos que afecten los archivos informticos. Administra la Red LAN de la UN. Filiales Territoriales de TISW: Garantiza el cumplimiento de las polticas sobre seguridad informtica emitidas por la empresa. Garantiza la confiabilidad de la informacin impidiendo su intervencin. Responsables de Seguridad Informtica en cada unidad organizativa: Apoyan el trabajo de la mxima direccin de la Unidad Organizativa a la cual pertenece, en cuanto al estudio, diseo y aplicacin del Sistema de Seguridad Informtica establecido.

Conocimientos existentes sobre el problema objeto de estudio: En la ltima dcada la posicin alcanzada por el sector de la informacin ha sido un factor clave para impulsar el desarrollo econmico y social; como consecuencia de su accin, la forma de vida en la sociedad moderna ha cambiado de forma radical. Su crecimiento, ms rpido que el de otro cualquiera de la economa, ha propiciado un mayor uso de la informacin, tanto como recurso, que contribuye a la competitividad de las organizaciones en su lucha por la eficiencia y la calidad de los bienes y servicios que generan, as como desde la perspectiva de su empleo por los individuos, quienes la necesitan para su educacin y desarrollo en su carcter de seres sociales.

Las actuales sociedades avanzadas son denominadas frecuentemente sociedades dela informacin, pues el volumen de datos que es procesado, almacenado y transmitido es inconmensurablemente mayor que en cualquier poca pretrita. Adems, no slo el volumen si no la importancia de esta informacin, para el desarrollo econmico y social, no tiene paralelo con la que tuvo en cualquier otra poca que consideremos. De hecho, en la actualidad, las empresas consideran que la informacin es un bien ms de su activo y, en muchos casos, prevalece sobre los restantes

Pero gran parte de estos datos han sido tratados, durante su proceso, o almacenamiento o transmisin, mediante las llamadas tecnologas de la informacin, entre las que ocupa una posicin focal la informtica.

Consiguientemente, la seguridad de las tecnologas de la informacin, y por ende de la informtica, se convierte en un tema de crucial importancia para el continuo y espectacular progreso de nuestra sociedad.

Algunos especialistas prefieren definir la informacin desde el punto de vista de su existencia como fenmeno "en s", pero que, a la vez, es inseparable de la conciencia humana informacin "para s"; otros desde su perspectiva cognitiva, al parecer est en la mente de las personas en forma de configuraciones de las cosas; y, por otro lado, existen quienes ven la informacin como proceso social, al emplearse de modo consciente y planificado para informar o informarse, a partir de diferentes fuentes de informacin las cuales, a su vez, utilizan datos, y la experiencia obtenida mediante la observacin directa del entorno.

Dicho enfoque concuerda con la primera y ms simple de las acepciones registradas en el Diccionario de la Real Academia de la Lengua Espaola que plantea que es la "accin y efecto de informar o informarse".8 Si consideramos a la informacin como un recurso, entonces es necesario que se gestione como tal y ms an por su valor estratgico ya que significa conocimiento y control; permite optimizar y aprovechar al mximo otros recursos adems de su gran valor para la toma de decisiones a cualquier nivel.

En la medida en que los volmenes de informacin a manejar en la empresa aumentan, crece igualmente la necesidad de disponer de herramientas de gestin, que soporten de forma gil y eficaz el funcionamiento habitual de los procedimientos de trabajo de la Organizacin: gil, en el sentido de adaptable con facilidad a los cambios de la empresa derivados de la alteracin de las condiciones iniciales; eficaz, en la medida en la que es capaz de dar respuesta satisfactoria a las necesidades de los usuarios (clientes).9

De esta manera Orozco10 destaca la importancia de la Gestin de la Informacin planteando que es la manera de lograr que cada cual en la organizacin disponga de la informacin necesaria, en el momento preciso, en el soporte apropiado, al menor costo posible. A tales efectos Ponjun11 subraya que la gestin de informacin constituye el proceso mediante el cual se obtienen, despliegan o utilizan recursos bsicos (econmicos, fsicos, humanos, materiales) para manejar informacin

(denominada tambin recurso de recursos) dentro y para la sociedad a la que sirve. Cheng y Kanabar12 desarrollan un concepto que sita en la cabeza de la gestin de recursos de informacin a los sistemas automatizados de informacin con 3 componentes: software, hardware y el pblico. Estos 3 componentes conforman

los recursos computarizados y humanos, que unidos a los elementos bsicos de datos, la informacin y el conocimiento, son considerados los recursos de informacin.

Por otra parte se reconoce el papel que juega el recurso humano en el proceso de seguridad en las organizaciones, un estudio realizado por McAfee seala que el recurso humano no capacitado o que desconoce las polticas de seguridad es el principal riesgo para sus sistemas tecnolgicos.13 Para desarrollar un sistema que permita la gestin de los recursos de informacin, lo primero que se requiere es conocer la organizacin: su estructura, funciones y personas que la integran. Es necesario tambin conocer cmo se utiliza la informacin, por quines y para qu y cmo fluye. Con estos fines, Horton14 sugiere una unidad de medida de los recursos de informacin organizacionales que denomina Entidad de Recursos de Informacin (ERI), que pueden ser fuentes, servicios y sistemas y la define como: configuracin de personas, cosas, energa, informacin y otras entradas que tienen la capacidad de adquirir, proveer, procesar, almacenar o diseminar informacin. Las fuentes que se emplean en una organizacin para su funcionamiento pueden ser las que existen internamente o las que se adquieren del ambiente externo. Los servicios son, en general, una actividad til para la adquisicin, procesamiento o transmisin de informacin y datos a fin de crear un producto de informacin. Por lo general participan las personas que brindan servicios a solicitud del cliente. Y los sistemas pueden ser entendidos como las metodologas y software que se emplean en el tratamiento de la informacin, o como describe Horton, una serie estructurada e integrada de procesos para el tratamiento de la informacin o datos, que se caracterizan por el procesamiento sistemtico y reiterado de datos de entrada, actualizaciones y datos de salida del fichero, ya sea manual o automatizado.

El estndar internacional ISO/IEC 17799 refiere las mejores prcticas para la Gestin de la Seguridad de la Informacin y plantea en su objetivo de control referido a la seguridad del personal, la necesidad de educar e informar a los empleados actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y asuntos de confidencialidad15. LA ISO/IEC 27001 es la norma internacional que especifica los requisitos para la implementacin del sistema de gestin de seguridad de la informacin (SGSI), se considera la norma ms importante de la familia y adopta un enfoque de gestin de riesgo y promueve la mejora continua de los mismos16. La doctora Nancy Fernndez Rodrguez directora de la Oficina Nacional de Normalizacin (ONN), declar al doctor Alan Bryden, Secretario General de la Organizacin Internacional de Normalizacin, conocida por su sigla ISO en ingls, en una visita realizada a nuestro pas, que sugiri la idea de aumentar la participacin de Cuba en la ISO y promover la aplicacin de nuevas normas, entre ellas la 27001 sobre gestin de la Seguridad Informtica17. En este contexto la Oficina Nacional de Normalizacin (NC), que representa a Cuba ante las organizaciones internacionales y regionales de normalizacin, estableci la NC ISO/IEC 27001: 2007:Tecnologa de la Informacin Tcnicas de SeguridadSistemas de Gestin de la Seguridad de la Informacin Requisitos (ISO/IEC 27001: 2005, IDT)18, como adopcin idntica por el mtodo de traduccin de la Norma Internacional ISO/IEC 27001:2005 Information technology Security techniques Information security management systems Requirements. Para el licenciado Jos Bidot, director general de la Empresa de Consultora y Seguridad Informtica (Segurmtica) el creciente uso de las modernas tecnologas de la informacin en Cuba puede conducir a una mayor vulnerabilidad en los sistemas de computadoras, si no sabemos las deficiencias existentes y contamos con los medios necesarios para protegerlas19

Nuestro pas, gracias al esfuerzo annimo de muchos especialistas, est en condiciones de enfrentar de manera ms efectiva el asedio de las diferentes modalidades de ataques cibernticos, pues se conocen las debilidades ms comunes detectadas en las redes nacionales de datos y se han incorporado nuevos productos y servicios especializados.

Por otro lado existe el Modelo COBIT (Control Objectives for Information and related Technology), de aplicacin en las funciones de Servicios de Sistemas de Informacin de toda la empresa y que es el resultado de una investigacin con expertos de varios pases, desarrollado por ISACA (Information Systems Audit and Control Association) comienza en su marco referencial con una premisa simple y prctica: Con el fin de proporcionar la informacin que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos de TI agrupados en forma natural20. Este modelo COBIT se aplica a los sistemas de informacin de toda la empresa, incluyendo los computadoras personales y redes. Est basado en la filosofa de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la informacin pertinente y confiable que requiere una organizacin para lograr sus objetivos y define un marco de referencia que clasifica los procesos de las unidades de tecnologa de informacin de las organizaciones en cuatro dominios principales: - Planificacin y organizacin, Adquisicin e implantacin, Soporte y Servicios y Monitoreo.

Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de informacin, como de la tecnologa que la respalda. Estos dominios y objetivos de control facilitan que la generacin y procesamiento de la informacin cumplan con las caractersticas de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad. Asimismo, se deben tomar

en cuenta los recursos que proporciona la tecnologa de informacin, tales como: datos, aplicaciones, plataformas tecnolgicas, instalaciones y recurso humano. Se conoce adems que en informe emitido en el marco de su novena conferencia anual, denominada "El Futuro de las TI", realizada en la ciudad de Mxico la consultora Gartner21 especialista en pronsticos de las nuevas tecnologas, dio a conocer un conjunto de 10 tecnologas estratgicas, que tendrn alto impacto en los prximos aos y donde se encuentra la Gestin de Informacin Empresarial (GIE); que unido a la estrategia de Arquitectura Orientada al Servicio (SOA), permitir a las organizaciones conocer dnde est la informacin, cmo conectarla e integrarla para un uso ms eficiente de la misma. En ETECSA es conocido de la existencia de violaciones del Manual de Seguridad Informtica y de las Polticas de Seguridad establecidas por el desconocimiento del marco legal tanto interno como externo en este tema22.

Por otra parte en la informacin brindada por la Gerencia de Seguridad Informtica, de la Unidad de Negocios de Tecnologa de Informacin y el Software23, se plantea que una insatisfaccin durante el trabajo del 2005 fue el no contar con un Sistema de Informacin de la Seguridad Informtica. Desde el punto de vista estructural, las responsabilidades sobre la seguridad estn distribuidas en diferentes reas organizativas, lo que eleva las necesidades de coordinacin. Adems la ausencia de herramientas estndares que permitan gestionar la seguridad informtica. Todo lo anterior ha contribuido a la falta de una cultura en la Seguridad Informtica de los usuarios de las nuevas tecnologas de la informacin y las comunicaciones.

Referencias bibliogrficas 1 Mapa de Responsabilidades de Unidades Organizativas. [http://tel.etecsa.cu] (Consultada: 27 de Febrero del 2006). 2 Unidad de Negocios de Tecnologa de la Informacin y el Software: Informe Estadstico Anual 2005. Informe and hoc, 2005. 3 Reglamento sobre Seguridad Informtica 1996. Ciudad de La Habana: MININT; 1996. (Resolucin 06/1996 del MININT). 4Bautista Flores Edith.Cmo citar recursos de informacin de internet? [http://www.dgbiblio.unam.mx/servicios/dgb/publicdgb/bole/fulltext/volII2/bautista.ht ml] (Consultada: 21 de febrero del 2006) 5 Glosario de trminos bibliotecolgicos y de Ciencias de la Informacin. [http://www.uh.cu/] (Consultada: 21 de febrero de 2006). 6 Polticas de Seguridad Informtica del Ministerio de la Informtica y las Comunicaciones2002. Ciudad de La Habana, 2002. (Resolucin 39/2002 del MIC). 7 Sistema de Gestin de Seguridad de la Informacin. [http://www.iso27000.es] (Consultada: 27 de febrero del 2006).

8 Real Academia Espaola. Diccionario de la lengua espaola. Madrid: Real Academia Espaola, 1936. p.721. 9 Utilizacin de las metodologas en los procesos de planificacin y desarrollo de sistemas de informacin. [http://www.recursos-as400.com/] (Consultada: 27 de febrero del 2006). 10 Orozco E. Seminario Pre Taller. Auditora de Informacin QU Y POR QU? Presentado en: 2002 III Taller Internacional de Inteligencia Empresarial y Gestin del Conocimiento en la Empresa, IntemPress2002, Ciudad Habana, Octubre 16, 2002. 11 Ponjun Dante, Gloria. Gestin de informacin en las organizaciones: principios, conceptos yaplicaciones. Santiago de Chile: CECAPI, 1998. p. 55. 12 Cheng, T. C. E.; V. Kanabar. "On Someissues of Information Resource Management in the1990s". Information Resources Management Journal. 1(1992): p. 21-33. Citado por: Barrios N.La gestin de informacin y sus recursos (Parte I). Ciudad Habana: Biblioteca Jos Mart; 2004. 13 Para McAfee, el empleado es la principal amenaza informtica. [http://www.infobaeprofesional.com/] (Consultada: 21 de febrero del 2006) 14 Horton F.W. Information Resources Management: Concept and Cases. Ohio: Association of Systems Management, 1979. Citado por: Barrios N. La gestin de informacin y sus recursos (Parte I). Ciudad Habana: Biblioteca Jos Mart; 2004. 15 Seguridad de la informacin. [http://www.minag.gob.pe/press/NTP-ISO-IEC17799SeguridadInformacion.ppt] (Consultada: 23 de octubre del 2006.)