capÍtulo v propuesta introducciÓn
TRANSCRIPT
170
CAPÍTULO V
PROPUESTA
INTRODUCCIÓN
La gestión de la seguridad de la información en cada institución
cumple un rol trascendental; sin embargo, existen procedimientos que
coloca en riesgo este activo intangible, afectando los principios básicos de
seguridad, accesibilidad, disponibilidad, confidencialidad e integridad de la
información. La información es un activo intangible que aporta valor a la
institución; el tratamiento de la información implica, comprender y poder
tratar la información bajo un modelo sistémico de procedimiento. Formar
el recurso humano y fortalecer sus competencias en el tratamiento de la
información y la estrategia tecnológica es una tarea indispensable
entendiendo que el usuario es el eslabón más débil de la cadena de valor
en la seguridad de la información. Para ello, es necesario construir
nuevos conceptos y aportar nuevas reflexiones en torno a este tema.
En este orden de ideas, las instituciones de educación superior
pertenecen a una gran red llamada internet, donde se comparten y se
gestiona la información. Dentro de esta red muchas organizaciones han
alcanzado el éxito, otras por el contrario han sido víctimas de ataques
informáticos que colocan en riesgo los indicadores de negocio, ciencia,
tecnología, innovación, productividad y emprendimiento.
En este escenario, se necesita, crear un modelo con líneas
estratégicas propias para el diseño de nuevos procedimientos que
171
satisfagan las necesidades encontradas en las instituciones de educación
superior de la región caribe de Colombia. Por consiguiente, considerando
los resultados reportados de la investigación Doctoral GESTIÓN DE LA
SEGURIDAD DE INFORMACIÓN Y ESTRATEGIA TECNOLÓGICA EN
LAS INSTITUCIONES DE EDUCACIÓN SUPERIOR (IES) DE LA
REGIÓN CARIBE DE COLOMBIA, se determinó la necesidad de Diseñar
un Modelo de GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN Y
ESTRATEGIA TECNOLÓGICA, aplicados a LAS INSTITUCIONES DE
EDUCACIÓN SUPERIOR (IES) DE LA REGIÓN CARIBE DE
COLOMBIA.
En tal sentido, la participación del recurso humano en los procesos
de seguridad de la información y estrategia tecnológica busca lograr que
se identifiquen las etapas de la gestión de la seguridad de información, los
factores determinantes del recurso humano en la gestión de la seguridad
de la información, el estilo de liderazgo, los aspectos generales de la
estrategia tecnológica, factores internos de estrategia tecnológica,
capacidades tecnológicas y el análisis de los factores externos. Además,
de lograr que el recurso humano se convierta en un actor activo de los
procesos de gestión de la seguridad de la información y la estrategia
tecnológica en la institución públicas de educación superior de región
Caribe de Colombia.
Sin embargo, los lineamientos que se implementan en cada
institución de educación superior no poseen los elementos necesarios
para realizar una efectiva gestión de la seguridad de la información y
estrategia tecnológica. Lo antes señalado se evidencia en el análisis y
172
discusión de los resultados obtenidos, a la luz de la revisión de los
diferentes modelos de gestión de la seguridad de la información y
estrategia tecnológica planteados por los distintos autores. Atendiendo a
esta necesidad se diseñará un modelo de gestión de la seguridad de la
información y estrategia tecnológica teórico-empírico que minimice
riesgos en seguridad de la información, socialice los procesos del SGSI,
favorezca la ventaja competitiva y consolide la estrategia tecnológica en
las instituciones públicas de la Región Caribe de Colombia.
ASPECTOS LEGALES
ISO/IEC 27000 family - Information security management
systems
Un ISMS es un enfoque sistemático para administrar la información
sensible de la compañía para que permanezca segura. Incluye personas,
procesos y sistemas de TI mediante la aplicación de un proceso de
gestión de riesgos. Puede ayudar a las pequeñas, medianas y grandes
empresas en cualquier sector a mantener seguros los activos de
información.
INTECO (2010) La norma UNE-ISO/IEC 27001
Especifica los requisitos para establecer, implantar, documentar y
evaluar un Sistema de Gestión de la Seguridad de la Información.
También es el estándar más conocido en la familia que proporciona los
requisitos para un sistema de gestión de seguridad de la información. Por
173
ello, Colombia desde el ministerio de las TIC, adopta este estándar para
la implementación de una política en seguridad de la información.
ICONTEC ha desarrollado para Colombia una norma técnica NTC-
ISO/IEC COLOMBIANA 27001 donde propone como implementar un
SGSI. Y considera que la adopción de un SGSI debería ser una decisión
estratégica para una organización. Asimismo, asegura que el diseño e
implementación del SGSI de una organización están influenciados por las
necesidades y objetivos, los requisitos de seguridad, los procesos
empleados y el tamaño y estructura de la organización. De manera
general se puede concretar las siguientes leyes vigentes en materia de
gestión de la seguridad de la información en Colombia.
Ley 962 de (2005)
La Ley 962 de (2005), dicta disposiciones sobre racionalización de
trámites y procedimientos administrativos de los organismos y entidades
del Estado y de los particulares que ejercen funciones públicas o prestan
servicios públicos. Prevé el incentivo del uso de medios tecnológicos
integrados para disminuir los tiempos y costos de realización de los
trámites por parte de los administrados.
ARTÍCULO 6o. MEDIOS TECNOLÓGICOS. Para atender los
trámites y procedimientos de su competencia, los organismos y entidades
de la Administración Pública deberán ponerlos en conocimiento de los
ciudadanos en la forma prevista en las disposiciones vigentes, o emplear,
adicionalmente, cualquier medio tecnológico o documento electrónico de
que dispongan, a fin de hacer efectivos los principios de igualdad,
174
economía, celeridad, imparcialidad, publicidad, moralidad y eficacia en la
función administrativa. Para el efecto, podrán implementar las condiciones
y requisitos de seguridad que para cada caso sean procedentes, sin
perjuicio de las competencias que en esta materia tengan algunas
entidades especializadas.
La sustanciación de las actuaciones así como la expedición de los
actos administrativos, tendrán lugar en la forma prevista en las
disposiciones vigentes. Para el trámite, notificación y publicación de tales
actuaciones y actos, podrán adicionalmente utilizarse soportes, medios y
aplicaciones electrónicas.
Toda persona podrá presentar peticiones, quejas, reclamaciones
o recursos, mediante cualquier medio tecnológico o electrónico del cual
dispongan las entidades y organismos de la Administración Pública.
LEY 1341 DE (2009)
Por la cual se definen principios y conceptos sobre la sociedad de la
información y la organización de las Tecnologías de la Información y las
Comunicaciones –TIC–, se crea la Agencia Nacional de Espectro y se
dictan otras disposiciones
Artículo 4°.
Intervención del Estado en el sector de las Tecnologías de la
Información y las Comunicaciones. En desarrollo de los principios de
intervención contenidos en la Constitución Política, el Estado intervendrá
175
en el sector las Tecnologías de la Información y las Comunicaciones para
lograr los siguientes fines:
4. Promover la oferta de mayores capacidades en la conexión,
transporte y condiciones de seguridad del servicio al usuario final,
incentivando acciones de prevención de fraudes en la red.
10. Imponer a los proveedores de redes y servicios de
telecomunicaciones obligaciones de provisión de los servicios y uso de su
infraestructura, por razones de defensa nacional, atención y prevención
de situaciones de emergencia y seguridad pública.
11. Promover la seguridad informática y de redes para desarrollar las
Tecnologías de la Información y las Comunicaciones.
Circular 052 de (2007) (Superintendencia Financiera de Colombia)
Fija los requerimientos mínimos de seguridad y calidad en el manejo
de información a través de medios y canales de distribución de productos
y servicios para clientes y usuarios.
Definiciones y criterios de seguridad y calidad Para el cumplimiento
de los requerimientos mínimos de seguridad y calidad de la información
que se maneja a través de canales y medios de distribución de productos
y servicios para clientes y usuarios, las entidades deberán tener en
cuenta las siguientes definiciones y criterios:
2.1. Criterios de Seguridad de la información
a) Confidencialidad: Hace referencia a la protección de información
cuya divulgación no está autorizada.
176
b) Integridad: La información debe ser precisa, coherente y completa
desde su creación hasta su destrucción.
c) Disponibilidad: La información debe estar en el momento y en el
formato que se requiera ahora y en el futuro, al igual que los recursos
necesarios para su uso.
2.2. Criterios de Calidad de la información
a) Efectividad: La información relevante debe ser pertinente y su
entrega oportuna, correcta y consistente.
b) Eficiencia: El procesamiento y suministro de información debe
hacerse utilizando de la mejor manera posible los recursos.
c) Confiabilidad: La información debe ser la apropiada para la
administración de la entidad y el cumplimiento de sus obligaciones.
2.4. Medios
Son instrumentos que permiten la realización de operaciones a
través de los canales de distribución descritos en el numeral anterior,
tales como: cheques, tarjetas débito y crédito, dinero.
2.5. Vulnerabilidad informática
Ausencia o deficiencia que permite violar las medidas de seguridad
informáticas para poder acceder a un canal de distribución o a un sistema
específico de forma no autorizada y emplearlo en beneficio propio o como
origen de ataques por parte de terceros.
177
TITULO I – CAPITULO DECIMO SEGUNDO
Requerimientos mínimos de seguridad y calidad en el manejo de
información a través de medios y canales de distribución de productos y
servicios Circular Externa 052 de 2007 Octubre de 20072.14.
Información confidencial
Atendiendo lo dispuesto en el artículo 15 de la Constitución Política
de Colombia y sin perjuicio de lo establecido en el numeral 4 Capítulo
Noveno de la presente Circular y demás normas aplicables sobre la
materia, se considerará confidencial para efectos de la aplicación del
presente Capítulo toda aquella información amparada por la reserva
bancaria V. gr. número de cuenta; número de identificación personal
(PIN); número de tarjeta física; información sobre depósitos o inversiones
de cualquier tipo, créditos, saldos, cupos y movimientos de cuenta,
siempre que vayan acompañados del nombre o número de identificación
del cliente.
Las entidades podrán clasificar como confidencial otro tipo de
información. Esta clasificación deberá estar debidamente documentada y
a disposición de la Superintendencia Financiera de Colombia.
3. Obligaciones Generales
178
En desarrollo de lo dispuesto en el presente Capítulo, las entidades
deberán incluir en sus políticas y procedimientos relativos a la
administración de la información, los criterios de que tratan los numerales
2.1 y 2.2. Adicionalmente, para dar aplicación a dichos criterios las
entidades deberán adoptar, al menos, las medidas que se relacionan a
continuación:
3.1. Seguridad y Calidad: En desarrollo de los criterios de seguridad
y calidad, y considerando los canales de distribución utilizados, las
entidades deberán cumplir, como mínimo, con los siguientes
requerimientos:
3.1.1. Disponer de hardware, software y equipos de
telecomunicaciones, así como de los procedimientos y controles
necesarios, que permitan prestar los servicios y manejar la información en
condiciones de seguridad y calidad.
3.1.2. Gestionar la seguridad de la información, para lo cual podrán
tener como referencia los estándares ISO 17799 y 27001, o el último
estándar disponible.
3.1.3. Disponer que el envío de información a sus clientes, tales
como certificaciones, extractos, notificaciones, sobreflex, entre otros, así
como los medios (tarjetas débito y crédito, chequeras, etc.) se haga en
condiciones de seguridad. Cuando la información que la entidad remite a
sus clientes sea de carácter confidencial y se envíe como parte de, o
adjunta a un correo electrónico, ésta deberá estar cifrada.
3.1.4. Dotar de seguridad la información confidencial de los clientes
que se maneja en los equipos y redes de la entidad.
3.1.5. Velar por que la información enviada a los clientes esté libre
de software malicioso.
179
3.1.6. Proteger las claves de acceso a los sistemas de información.
En desarrollo de esta obligación, las entidades deberán evitar el uso de
claves compartidas, genéricas o para grupos. La identificación y
autenticación en los dispositivos y sistemas de cómputo de las entidades
deberá ser única y personalizada.
3.1.7. Dotar a sus terminales o equipos de cómputo de los
elementos necesarios que eviten la instalación de programas o
dispositivos que capturen la información de sus clientes y de sus
operaciones.
3.1.8. Velar porque los niveles de seguridad de los elementos
usados en los canales no se vean disminuidos durante toda su vida útil.
3.1.9. Disponer de los mecanismos necesarios para que los clientes
tengan la posibilidad de personalizar las condiciones bajo las cuales se
les prestará servicios por los diferentes canales, dejando constancia de
ello. En desarrollo de lo anterior, la entidad deberá permitir que el cliente,
por lo menos, inscriba las cuentas a las cuales realizará transferencias o
pagos, defina montos, número de operaciones y canales. En cualquier
caso, los montos máximos deberán ser definidos por la entidad. Así
mismo, deberá permitir que el cliente registre las direcciones IP, los
números de los teléfonos fijos y móviles desde los cuales operará. La
entidad podrá determinar los procedimientos que permitan identificar y, de
ser necesario, bloquear las transacciones provenientes de direcciones IP
o números fijos o móviles considerados como inseguros.
3.1.10. Ofrecer, cuando el cliente así lo exija, la posibilidad de
manejar una contraseña diferente para cada uno de los canales.
3.1.11. Establecer los mecanismos necesarios para que el
mantenimiento y la instalación o desinstalación de programas o
dispositivos en las terminales o equipos de cómputo solo lo pueda realizar
personal debidamente autorizado.
3.1.12. Establecer procedimientos para el bloqueo de canales o de
medios, cuando existan situaciones o hechos que lo ameriten o después
180
de un número de intentos de accesos fallidos por parte de un cliente, así
como las medidas operativas y de seguridad para la reactivación de los
mismos.
3.1.13. Elaborar el perfil de las costumbres transaccionales de cada
uno de sus clientes y definir procedimientos para la confirmación de las
operaciones que no correspondan a sus hábitos.
LEY 1712 (2014) REGLAMENTADA PARCIALMENTE POR EL DECRETO NACIONAL 103 DE 2015.
Por medio de la cual se crea la Ley de Transparencia y del
Derecho de Acceso a la Información Pública Nacional y se dictan otras
disposiciones El Congreso de la República Ver Circulares Sec. General
030 y 043 de 2015. DECRETA: TÍTULO I DISPOSICIONES GENERALES
Artículo 1°. Objeto. El objeto de la presente ley es regular el derecho de
acceso a la información pública, los procedimientos para el ejercicio y
garantía del derecho y las excepciones a la publicidad de información.
Que la Ley 1712 de 2014, Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional, tiene por objeto regular el derecho de acceso a la información pública, los procedimientos para el ejercicio y garantía del derecho y las excepciones a la publicidad de información, y constituye el marco general de la protección del ejercicio del derecho de acceso a la información pública en Colombia. Que de conformidad con la citada ley, el diseño, promoción e implementación de la política pública de acceso a la información pública está a cargo de la Secretaría de Transparencia de la Presidencia de la República, del Ministerio de Tecnologías de la Información y las Comunicaciones, del Departamento Administrativo de la Función Pública, del Departamento Nacional de Planeación, del Archivo General de la Nación y del Departamento Administrativo Nacional de Estadística. Que para facilitar la implementación y cumplimiento de la Ley 1712 de 2014 se hace necesaria su
181
reglamentación en los temas relacionados con la gestión de la información pública en cuanto a: su adecuada publicación y divulgación, la recepción y respuesta a solicitudes de acceso a esta, su adecuada clasificación y reserva, la elaboración de los instrumentos de gestión de información, así como el seguimiento de la misma.
LEY ESTATUTARIA 1581 DE (2012)
Entró en vigencia la Ley 1581 del 17 de octubre 2012 de
PROTECCIÓN DE DATOS PERSONALES, sancionada siguiendo los
lineamientos establecidos por el Congreso de la República y la Sentencia
C-748 de 2011 de la Corte Constitucional.
Como resultado de la sanción de la anunciada ley toda entidad
pública o privada, cuenta con un plazo de seis meses para crear sus
propias políticas internas de manejo de datos personales, establecer
procedimientos adecuados para la atención de peticiones, quejas y
reclamos, así como ajustar todos los procesos, contratos y autorizaciones
a las disposiciones de la nueva norma.
ASPECTOS CLAVES DE LA NORMATIVIDAD:
1. Cualquier ciudadano tendrá la posibilidad de acceder a su
información personal y solicitar la supresión o corrección de la misma
frente a toda base de datos en que se encuentre registrado.
2. Establece los principios que deben ser obligatoriamente
observados por quienes hagan uso, de alguna manera realicen el
tratamiento o mantengan una base de datos con información personal,
cualquiera que sea su finalidad.
3. Aclara la diferencia entre clases de datos personales
construyendo las bases para la instauración de los diversos grados de
182
protección que deben presentar si son públicos o privados, así como las
finalidades permitidas para su utilización.
4. Crea una especial protección a los datos de menores de edad.
5. Establece los lineamientos para la cesión de datos entre
entidades y los procesos de importación y exportación de información
personal que se realicen en adelante.
6. Define las obligaciones y responsabilidades que empresas de
servicios tercerizados tales como Call y Contact Center, entidades de
cobranza y, en general, todos aquellos que manejen datos personales por
cuenta de un tercero, deben cumplir en adelante.
7. Asigna la vigilancia y control de las bases de datos personales a
la ya creada Superintendencia Delegada para la Protección de Datos
Personales, de la Superintendencia de Industria y Comercio.
8. Crea el Registro Nacional de Bases de Datos.
9. Establece una serie de sanciones de carácter personal e
institucional dirigidas a entidades y funcionarios responsables del
cumplimiento de sus lineamientos.
DECRETO 1377 DE (2013)
Protección de Datos, decreto por el cual se reglamenta parcialmente
la Ley 1581 de 2012.
LEY 1341 DEL 30 DE JULIO DE (2009)
Por la cual se definen los principios y conceptos sobre la sociedad
de la información y la organización de las Tecnologías de la Información y
las Comunicaciones -TIC-, se crea la Agencia Nacional del Espectro y se
dictan otras disposiciones.
183
LEY 603 DE (2000)
Esta ley se refiere a la protección de los derechos de autor en
Colombia. Recuerde: el software es un activo, además está protegido por
el Derecho de Autor y la Ley 603 de 2000 obliga a las empresas a
declarar si los problemas de software son o no legales. Ver esta ley.
LEY ESTATUTARIA 1266 DEL 31 DE DICIEMBRE DE (2008)
Por la cual se dictan las disposiciones generales del Hábeas Data y
se regula el manejo de la información contenida en bases de datos
personales, en especial la financiera, crediticia, comercial, de servicios y
la proveniente de terceros países y se dictan otras disposiciones. Ver esta
ley.
DIAGNÓSTICO
La presente propuesta, surge a partir del estudio titulado GESTIÓN
DE LA SEGURIDAD DE INFORMACIÓN Y ESTRATEGIA
TECNOLÓGICA EN LAS INSTITUCIONES DE EDUCACIÓN SUPERIOR
(IES) DE LA REGIÓN CARIBE DE COLOMBIA, en donde se abordó a
directivos y docentes de las Universidades Del Magdalena, Atlántico y
Cartagena; cuyos resultados permiten evidenciar el siguiente diagnóstico:
● Los resultados indican que solo en la Universidad Del
Magdalena, Siempre (S) se Identificar las etapas de la gestión de la
seguridad de información; por lo cual la puesta en práctica en el contexto
de la organización es excelente y se desarrollan las principales etapas.
Sin embargo, en la Universidad del Atlántico, el resultado arrojó que
Nunca (N), se Identifican las etapas de la gestión de la seguridad de
184
información; mientras en la Universidad de Cartagena, reportó Casi
Nunca (N), lo cual se traduce como pésimo y deficiente, respectivamente
la puesta en práctica de las etapas de la gestión de la seguridad de
información por que no se considera el contexto de la organización ni se
desarrollan las principales etapas.
● En la Universidad Del Magdalena, siempre se toman en cuenta
los factores determinantes del recurso humano en la gestión de la
seguridad de la información, por lo cual es excelente la puesta en práctica
de las Competencias administrativas y recurso humano en la gestión de
la seguridad de la información. Contrariamente en la Universidad del
Atlántico y en la Universidad de Cartagena, los resultados evidencian
que en estas casas de estudios superiores, son deficientes la puesta en
práctica de los factores determinantes del recurso humano en la gestión
de la seguridad de la información; ya que las competencias
administrativas y el recurso humano en la gestión casi nunca se
desarrollan.
● La Universidad Del Magdalena Siempre (S), se caracteriza por
tener un liderazgo excelente que permite dar respuestas óptimas a las
necesidades y objetivos de la universidad. Mientras en la Universidad del
Atlántico y de Cartagena el liderazgo es pésimo y según este resultado
no se pone en práctica un estilo propio de liderazgo como: el Autocrático,
Democrático, Laissez-Faire, Transaccional o Transformacional. Se
destaca que para los encuestados de ambas universidades Nunca (N),
se pone en práctica un estilo propio de liderazgo como: el Autocrático,
185
Democrático, Laissez-Faire, Transaccional o Transformacional, por lo cual
es pésimo el liderazgo.
● En la Universidad Del Magdalena Siempre (S), se ponen en
práctica de los aspectos generales de la estrategia tecnológica porque
se desarrollan estrategias tecnológicas y la planeación estratégica es
excelente. No obstante, en la Universidad del Atlántico y la Universidad
de Cartagena casi nunca se desarrollan los aspectos generales de la
estrategia tecnológica por lo cual son deficientes las estrategias
tecnológicas y la planeación estratégica puestas en práctica en estas
casas de estudios superiores
● En la Universidad Del Magdalena, Siempre se pone en práctica
los factores internos de estrategia tecnológica porque se toma en
cuenta el pensamiento estratégico y se realiza el análisis de los mismos,
por lo cual son excelentes. Contrariamente, en la Universidad del
Atlántico y en la Universidad de Cartagena Casi Nunca se ponen en
práctica los factores internos de estrategia tecnológica porque NO se
toman en cuenta el pensamiento estratégico ni se realiza el análisis de los
mismos por lo cual son deficientes los referidos factores
● En la Universidad Del Magdalena, Siempre se ponen en
práctica las capacidades tecnológicas y el análisis de los factores
externos. En otras palabras indica que esta casa de estudios se
caracteriza por desarrollar factores externos de estrategia tecnológica
excelentes. Lo que se contradicen con los resultados en las universidades
Del Atlántico y Cartagena; cuyos resultados indican que Nunca se
ponen en práctica los factores externos de estrategia tecnológica porque
186
no existen capacidades tecnológicas y tampoco realizan análisis de
factores externos, por lo cual es pésimo el desarrollo de los factores
externos de estrategia tecnológica en ambas universidades
ELEMENTOS DEL MODELO DE GESTIÓN DE LA INFORMACIÓN Y ESTRATEGIA TECNOLÓGICA.
El modelo de gestión de la seguridad de la información y estrategia
tecnológica contempla un ciclo de operación que consta de seis (6)
elementos, las cuales facilitan que las instituciones puedan gestionar
adecuadamente la seguridad de la información y su estrategia
tecnológica. En el presente Modelo de gestión de la seguridad de la
información y estrategia tecnológica se contemplan 2 niveles de
madurez, que corresponden a la evolución de la implementación del
modelo de operación.
El componente de seguridad de la información y estrategia
tecnológica permite la construcción de una institución más segura,
colaborativa, participativa y competitiva al garantizar el control del
tratamiento de la información y el conocimiento de la estrategia
tecnológica. Los elementos considerados para la construcción del modelo
se obtuvieron una vez aplicados los instrumentos de recolección de datos,
y después del análisis y la discusión de los mismos. En este sentido, los
elementos a tomar en cuenta para la construcción del modelo son los
siguientes;
187
1. Proceso de Modelado.
Según Aracil (1995), el modelado es un proceso mediante el cual se
construye un modelo de un aspecto problemático de la realidad. En este
sentido el primer punto de partida para el abordaje del modelo consiste en
la representación gráfica del mismo, el cual se muestra a continuación.
Elementos del modelo gestión de la seguridad de la información y estrategia tecnológica.
Como se puede apreciar, el modelo está compuesto por seis
elementos fundamentales, estos elementos son a su vez los pilares que
sustentan la investigación, y se mencionan a continuación: etapas de la
gestión de la seguridad de información, factores determinantes del
recurso humano en la gestión de la seguridad de la información, estilo de
liderazgo, aspectos generales de la estrategia tecnológica, factores
internos de estrategia tecnológica, y por último los factores externos de
estrategia tecnológica. Cada uno de estos elementos posee
188
características fundamentales para garantizar una efectiva gestión de la
seguridad de la información y estrategia tecnológica en las instituciones
de educación superior de la región caribe de Colombia, por lo que su
comprensión es de suma importancia, las mismas se describen a
continuación.
En las instituciones de educación superior la gestión de la seguridad
de la información juega un papel fundamental ya que sin un adecuado
procedimiento la institución incurre en riesgos que afectarían la
disponibilidad, confidencialidad e integridad de la información, principios
básicos de la seguridad de la información;
Etapas de la gestión de la seguridad de información.
Es importante considerar las etapas de la gestión de la seguridad de
la información, ya que traza la ruta para identificar un conjunto de
herramientas e insumos que ponen de manifiesto las potencialidades de
cada etapa y a su vez, pueden ser una guía al momento de
conceptualizar lo que se comprende como gestión de la seguridad de la
información; dichos aspectos son:
Establecer: Se establece el estado actual de la institución con
respecto a los requerimientos del modelo de gestión de la seguridad de la
información. En esta fase se abordará las siguientes metas: establecer el
estado actual de la gestión de seguridad de la información, identificar los
seis elementos del ciclo de operación, establecer el nivel de cumplimiento
con la legislación vigente en lo relacionado a la seguridad de la
información, identificar las buenas prácticas en seguridad de la
información y determinar el nivel de madurez presente en la etapa.
189
Es importante en esta etapa definir la herramienta para establecer el
estado actual del sistema de gestión de la seguridad de la información en
la institución como también un formato para establecer el nivel de
cumplimiento de la norma, estándar del nivel de madurez. Una vez
definido los resultados iniciales correspondientes a cada meta, se procede
a la etapa de implementar.
Es importante destacar que en esta etapa se diseña el plan de
gestión de la seguridad de la información alineado al plan estratégico
institucional. Por ello es relevante que exista una transversalidad con el
conocimiento del contexto institucional, compromiso de la dirección,
planeación estratégica para evitar riesgos y sensibilización.
Así mismo, busca desarrollar una política, manuales y
procedimientos para la gestión de la seguridad de la información
apoyados y aprobados por la alta dirección y socializada internamente en
la institución. Se constituye el comité de seguridad al que pertenece la
alta dirección y un representante por departamento. Se diseña el
documento para identificar, clasificar y valorar los activos de información,
este documento debe ser aprobado por el comité de seguridad. Se diseña
un manual de procedimiento para la gestión documental que atienda a las
políticas de protección de datos y tratamiento de la información pública.
Definir indicadores de gestión, Diseñar el documento de análisis y
valoración de riesgo y por último, el documento con las estrategias
metodológicas para generar procesos de comunicación, sensibilización en
materia de seguridad de la información.
190
Implementar: en esta etapa se desarrolla la implementación de
todo lo establecido en la etapa anterior. Además de implementar se ejerce
un control de este. Se realiza informes de cada una de las metas de la
primera etapa. Se evalúa el documento de los indicadores de gestión para
analizar qué tanto ha avanzado la institución en materia de seguridad de
la información.
Mantener: el prolongado uso del sistema de gestión de la seguridad
de la información debe entrar a un proceso de seguimiento y monitoreo
para consolidar un prolongado funcionamiento institucional.
Mejora continua: después de analizar el seguimiento y monitoreo
se generan nuevas estrategias que potencialicen el sistema de gestión de
la seguridad de la información, atendiendo a las necesidades actuales
presentes en los factores internos y externos de la institución. Lo anterior
con el fin de generar acciones correctivas a las debilidades institucionales
en materia de seguridad de la información. En esta etapa se diseña el
documento de mejora continua y acciones correctivas.
Factores determinantes del recurso humano en la gestión de la
seguridad de la información
En la feroz era de la competencia, las organizaciones centran su
mirada en los factores determinantes del recurso humano. Una de las
funciones importantes del gerente de recursos humanos es garantizar el
compromiso laboral en el lugar de trabajo, lo cual solo puede lograrse a
través de procesos de motivación, estilo de liderazgo, generar una cultura
y ambiente en la organización, construir un sistema de trabajo y políticas
191
para recurso el humano. En la gestión de la seguridad de la información
es fundamental el apoyo del recurso humano, consolidar el comité de
seguridad de la información, el respaldo de la alta dirección y la lealtad a
los procesos de implementación de un modelo de seguridad de la
información.
Los procesos de motivación: La motivación en la gestión describe las
formas en que los gerentes promueven la productividad en sus
empleados. Se refiere a las fuerzas que despiertan entusiasmo y
persistencia para seguir un determinado curso de acción con el fin de
lograr los objetivos de la organización. La motivación es un proceso
continuo y vital en el funcionamiento de cada institución. Cuando el
rendimiento de los empleados motivados es alto, se traduce en una mayor
productividad y menor costo de operaciones. La motivación conduce a la
estabilidad de la fuerza de trabajo que es muy importante desde el punto
de vista de la reputación y la buena voluntad de la institución. La
motivación acerca a los empleados a la organización, convirtiéndose en
actores leales.
Estilo de dirección: El estilo de dirección es la manera y el enfoque
de proporcionar dirección, implementar planes, acciones y motivar a las
personas. La dirección debe poseer las habilidades necesarias para poder
actuar e influir en el recurso humano, logrando el entusiasmo de sus
funciones con el fin de alcanzar las metas y objetivos. Los procesos de
gestión de la seguridad de la información necesitan un estilo de dirección
que respalde y motive al recurso humano a alcanzar los objetivos de
seguridad.
192
Cultura y ambiente de la organización: La cultura organizacional es
un sistema de suposiciones, valores y creencias compartidas, que rige
cómo las personas se comportan en las organizaciones. Así mismo,
revela cómo se comportan los líderes de la institución, lo que dicen, hacen
y valoran. Es la forma en que las organizaciones hacen las cosas,
conforman los valores y comportamientos que contribuyen al entorno
social y psicológico único de una organización. Por todo esto, define una
descripción conjunta compartida de una organización desde dentro,
construyendo la suma de valores y principios que sirven como "estímulo"
para integrar a los miembros de la organización.
Sistema de trabajo: Un sistema de trabajo es una estructura en la
que los participantes realizan trabajo (procesos y actividades) usando
información, tecnología y otros recursos para producir productos y
servicios específicos para clientes internos y/o externos. Un sistema de
trabajo está diseñado para producir productos, entregar productos,
encontrar clientes, crear informes financieros, contratar empleados,
coordinar el trabajo entre departamentos y realizan muchas otras
funciones. Es posible pensar en una organización como un conjunto de
sistemas de trabajo. Por ello, la seguridad de la información dentro y fuera
de estos sistemas es indispensable para el objetivo de la institución. Cada
sistema debe poseer su manual de procedimiento que direccione las
acciones a seguir en materia de amenaza o riesgo en cada uno de los
sistemas de información, sistema de servicio, proyecto, cadena de
suministro, sistema de trabajo de autoservicio y sistemas de trabajo
automatizados.
193
Políticas para el recurso humano: Las políticas deben estar
direccionadas por la alta dirección y el comité de seguridad. Determina la
forma y el procedimiento en la que cada usuario debe proceder con cada
recurso tecnológico o de información.
Competencias administrativas o de gestión: Según Chiavenato
(2014), las competencias administrativas se refieren a las competencias
que un líder posee cuando tiene que conseguir los fines y objetivos de
una organización. Implican planificación, organización del trabajo,
asignación de tareas a las personas adecuadas, y coordinar las
actividades de trabajo. La gestión se ejerce por el administrador, quien se
identifica con los objetivos globales de la institución u organización.
Gestión del recurso humano en la seguridad de la información: es el
proceso de dotación y selección de empleados, brinda orientación e
inducción, sensibilización, y evaluación de empleados. La gestión debe
proporcionar al empleado, compensación, beneficio y motivación. Así
mismo, garantiza la seguridad de los empleados, bienestar y medidas
saludables de acuerdo a las leyes establecidas. Teniendo en cuenta lo
planteado por Domínguez (2008) la gestión de “los recursos humanos
tiene una importancia significativa, ya que se encarga de manejar el
recurso más importante en una organización “el recurso humano”, y
buscar que este recurso no solo consiga activar el resto de recursos en la
organización sino que los integre y movilice de manera óptima, en torno a
los objetivos de la empresa” (p. 90). Según Jara y Pacheco (2012, p. 35)
el eslabón más débil respecto a la protección de los datos de una
organización es el mismo trabajador
194
Estilos de liderazgo en la gestión de la seguridad de la
información
Los estilos de liderazgo son los patrones de comportamiento que
adopta un líder para influir en el comportamiento de sus seguidores, es
decir, la forma en que da instrucciones a sus subordinados y los motiva a
lograr los objetivos establecidos. Los estilos de liderazgo que aborda este
modelo y que deben ser conocidos por el recurso humano son:
Autocrático: el líder goza de plena autoridad e impone su voluntad a
los demás, centraliza el poder de toma de decisiones en sí mismo y le da
instrucciones a sus subordinados sobre lo que se supone que deben
hacer y cómo se les requiere para realizar la tarea dada. Nadie puede
cuestionar la decisión tomada por el líder autocrático; él estructura la
situación completa, y los subordinados deben hacer lo que el líder les
haya dicho.
Este tipo de estilo es adecuado para la situación, donde el líder
conoce la solución del problema y puede dirigir a sus subordinados para
que la tarea se realice de manera rápida y eficiente. Especialmente en
trabajos militares, de construcción y de manufactura, los subordinados
prefieren un estilo de liderazgo autocrático, donde pueden enfocarse en
los trabajos específicos y dejar la compleja toma de decisiones al líder.
Democrático: el líder alienta a sus subordinados a contribuir con sus
ideas u opiniones en las situaciones grupales y compartir la
responsabilidad en ellas. Este líder presenta las siguientes características;
motiva a los miembros del grupo a tomar decisión colectivamente, y la
195
responsabilidad de tal decisión recae en todo el grupo. Este tipo de estilo
es ventajoso sólo cuando las líneas claras de autoridad y responsabilidad
se definen entre los miembros del grupo.
Toma de decisiones democráticas recopilando todas las ideas y
opiniones de los miembros del grupo y luego toma la decisión final por sí
mismo.
Toma de decisiones participativa autocrática revela que la decisión
final descansa únicamente en el líder, quien toma las decisiones sobre la
base de las soluciones obtenidas a través de las discusiones con los
miembros del grupo. Aquí, el líder recopila todas las ideas y opiniones de
los miembros del grupo y luego llega a una conclusión final. La diferencia
entre la toma de decisiones democrática y autocrática es que en este
último la toma de decisiones es rápida ya que está dirigida a objetivos
mientras que la democracia el estilo está orientado a las personas y, por
lo tanto, la toma de decisiones es lenta. Por lo tanto, los resultados se
obtienen más rápido en el caso de la toma de decisiones participativa
autocrática.
Toma de decisiones por consenso, el líder renuncia a su
responsabilidad de tomar decisiones sobre los miembros del grupo y
llegar a la conclusión final a través de la mayoría del grupo. En general,
los miembros del grupo participan en el establecimiento de objetivos, la
resolución de problemas y la formación de equipos. Pero la autoridad de
la toma de decisiones final recae en el mismo líder.
196
Laissez-faire: el líder otorga plena libertad a sus subordinados para
actuar por su cuenta. Aquí, el líder una vez define los objetivos, las
políticas, los programas y las limitaciones para la acción y luego deja que
el proceso restante lo lleven a cabo los subordinados por su cuenta. En el
estilo de liderazgo de Laissez-Faire, el líder mantiene contacto con
personas externas y aporta información a los miembros del grupo que
necesitan para la realización de la tarea determinada. Aunque los
subordinados tienen el poder y la autoridad para tomar decisiones, el líder
aún asume la responsabilidad de las acciones de los miembros de su
grupo.
Este estilo de liderazgo demuestra ser beneficioso solo cuando los
miembros del grupo son altamente calificados, motivados y capaces de
realizar la tarea que se les asigna. El estilo Laissez-Faire es el más
adecuado en las situaciones, donde los miembros del grupo tienen más
conocimiento que el líder y poseen experiencia en un campo particular
que se puede utilizar para encontrar una solución al problema complejo.
Por lo tanto, los miembros del equipo altamente apasionados prefieren
este estilo de liderazgo.
Transaccional: se fundamenta en un intercambio o transacción, el
líder recompensa a los trabajadores que realizan sus tareas a los niveles
especificados y castiga a los trabajadores que no cumplen con los
estándares establecidos. Esta relación entre el líder y los subordinados se
basa en teorías que suponen que los individuos no están motivados por sí
mismos para realizar sus tareas por ello necesitan de incentivos
monetarios adicionales. El liderazgo transaccional enfatiza los resultados,
197
permanece dentro de la estructura existente de una organización y mide
el éxito de acuerdo con el sistema de recompensas y sanciones de esa
organización
Transformacional: es un proceso que cambia y transforma a las
personas con un enfoque en las emociones, los valores, los objetivos
estándar y los objetivos a largo plazo. Un líder transformacional tiene la
capacidad de persuadir a los seguidores de lograr más de lo que se
espera de ellos. Además, desarrollan el liderazgo entre los miembros del
equipo que aumenta las posibilidades de éxito. Son personas
apasionadas, motivadas y bien habladas con una visión de éxito. El
liderazgo transformacional se basa en la capacidad del líder para motivar
a los seguidores a través de su carisma, estimulación intelectual y
consideración individual, con el fin de avanzar a un nivel más alto de
moral y motivación.
Aspectos generales de la estrategia tecnológica
Según Porter (2015), la estrategia tecnológica debe incluir tres
aspectos generales: determinar las tecnologías a desarrollar, decidir si se
busca el liderazgo en esa tecnología, y establecer la función de las
licencias tecnológicas. Estos tres aspectos deben basarse en cómo la
estrategia tecnológica mejora la ventaja competitiva sustentable.
Una estrategia tecnológica debe abarcar todas las áreas de la
gestión de la tecnología, incluida la gestión de costes, la gestión del
capital humano, la gestión de hardware y software, la gestión de
proveedores y la gestión de riesgos. Ejecutar una estrategia tecnológica
requiere un fuerte liderazgo de TI; el director de información (CIO) y el
198
director de tecnología (CTO) deben trabajar estrechamente con el
departamento de negocios y presupuesto, así como con otras líneas de
negocios y grupos de usuarios para lograr su éxito.
Factores internos de estrategia tecnológica
Según Fred (2013), Los factores internos constituyen la base de las
estrategias formuladas e implementadas por las empresas. Algunos
factores internos son: la moral de los empleados, la eficiencia en la
producción, la efectividad de la publicidad y la lealtad de los clientes.
Estas incluyen acciones específicas, concretas y fácilmente observables,
también implican procesos mentales que se producen a lo interno de la
persona.
Moral de los empleados: es la forma en que sus empleados se
sienten acerca de venir a trabajar todos los días, cómo se se sienten en
sus tareas asignadas y su actitud sobre la dirección que toma la empresa.
Es la satisfacción laboral, las perspectivas de vida y la actitud. Es una
parte vital de la cultura de la institución; una actitud colectiva positiva
creará un ambiente positivo, y un ambiente positivo ciertamente puede
mejorar la actitud. Los empleados que sufren de una moral deficiente
pueden sentirse desmotivados, sin ánimo y sin compromiso. Mejorar la
moral en su empresa puede mejorar su productividad y cultura
organizacional.
Eficiencia en la producción: Es un estado operacional por el cual una
empresa, organización o institución no puede aumentar la producción de
un bien o servicio específico sin costos adicionales. Se presenta, cuando
199
una empresa, organización o institución alcanza un nivel en el que no
puede producir más productos sin afectar la producción de otro bien.
Efectividad de la publicidad: Las instituciones realizan publicidad
para atraer la atención de las personas hacia los productos y servicios
que ofrece. Por lo tanto, el objetivo básico de la publicidad es influenciar
la compra en las mentes de las personas. El objetivo final es mejorar las
ventas de la organización. Por lo tanto, la publicidad complementa los
esfuerzos de venta de la compañía.
Lealtad de los clientes: La lealtad del cliente es a la vez una
tendencia actitudinal y de comportamiento para favorecer a una marca
sobre todas las demás, ya sea debido a la satisfacción con el producto o
servicio, su conveniencia o rendimiento, o simplemente familiaridad y
comodidad con la marca. La lealtad del cliente alienta a los consumidores
a comprar de manera más constante, gastar una mayor parte de la
billetera y sentirse positivos con respecto a una experiencia de compra, lo
que ayuda a atraer a los consumidores a marcas familiares frente a un
entorno competitivo.
Pensamiento estratégico
Según expone Chandler, citado por Serna (2015) el pensamiento
estratégico es “la determinación de metas básicas de largo plazo y
objetivos de una empresa, la adopción de cursos de acción y la
asignación de recursos necesarios para alcanzar estas metas” (pág. 20).
Román (2010, p. 27) define el pensamiento estratégico como “una
actitud de vida basada en la reflexión que desemboca en un actuar que
200
cimienta el futuro de la empresa al permitir que el pensador estratégico
articule sus acciones diarias con los objetivos a largo plazo del negocio,
teniendo claro que estos son procesos que necesitan una secuencia
lógica que se logra optimizando los procesos de evaluación y estudiando,
preparando y analizando las situaciones que se encuentran relacionadas
con la creación de una estrategia o la implementación de un plan dentro
de la empresa.”
Factores externos de estrategia tecnológica
Según Fred (2013), los factores externos son aquellos que permite
que los estrategas resuman y evalúen información económica, social,
cultural, demográfica, ambiental, política, gubernamental, legal,
tecnológica y competitiva. Un buen análisis de los factores externos e
internos puede lograr que las empresas alcancen sus objetivos anuales y
a largo plazo.
Los factores externos incluyen: la fuerza laboral, aspectos legales, la
sociedad, los sindicatos, los accionistas, la competencia, los clientes, la
tecnología y la economía.
Fuerza laboral: es una reserva de personas que están fuera de la
empresa y de la cual la organización obtiene a sus trabajadores. Las
capacidades de los empleados de una empresa determina en gran
medida la eficacia con la que la organización llevará a cabo su debido a
que se contratan nuevos empleados que provienen del exterior, la fuerza
es considerada un factor del ambiente externo. La fuerza laboral cambia
sin cesar y desplazamientos causan inevitablemente transformaciones en
la fuerza laboral de una organización. A su vez, los cambios de las
201
personas dentro de una organización afectan la forma en que la
administración debe lidiar con su fuerza laboral.
Aspectos legales: La legislación local tienen un impacto en la
estrategia tecnológica de una empresa. Las leyes, las decisiones
judiciales y los mandatos del ejecutivo son los aspectos legales que
ejercen presión en la empresa.
Sociedad: Es el contexto en el cual se desenvuelve la empresa.
Cuando una empresa responde a intereses sociales, se dice que es
socialmente responsable
Capacidades Tecnológicas
Como proponen Bell, Katz, Lall, Bell y Pavitt entre otros citados por
Medellín (2013) “Las capacidades tecnológicas como recursos necesarios
para generar y gestionar el cambio tecnológico, y también como la
habilidad de las empresas para usar conocimientos tecnológicos y
efectuar inversiones en aprendizaje, como base para el desarrollo y la
acumulación de capacidades tecnológicas.” (pág. 66).
ETAPAS PARA LA IMPLANTACIÓN DEL MODELO
Establecer: Se establece el estado actual de la institución con
respecto a los requerimientos del modelo de gestión de la seguridad de la
información y estrategia tecnológica.
- ANÁLISIS DEL CONTEXTO
- IMPLEMENTAR DIAGNÓSTICO
- PLANIFICACIÓN ESTRATÉGICA
- SENSIBILIZACIÓN
202
Analizar el contexto: es establece el tipo de organización, se
analizan las leyes, políticas, decretos y normas establecidas en torno a la
gestión de la seguridad de la información en las instituciones de
educación superior. Se estudia la IT de la institución y sus posibles
estrategias tecnológicas. Conocer el contexto implica analizar tendencias,
comportamientos, capacidades y recursos, para entender las condiciones
y fuerzas del entorno, identificar los riesgos, las amenazas, las
vulnerabilidades y las oportunidades para la institución. Establece las
siguientes metas:
● Definir el tipo de organización
● Levantamiento de la legislación en seguridad de la información
apropiada para el tipo de institución.
● Definir una lista de chequeo de riesgos y amenazas acorde al tipo
de organización.
● Establecer un informe descriptivo de las tendencias,
comportamientos, capacidades y recursos, para entender las condiciones
y fuerzas del entorno de tipo de organización.
Implementar el diagnóstico: es un proceso sistémico que permite
establecer el estado actual de un sistema. Se procede a identificar la IT
de la institución, su estrategia de formación, ventaja competitiva, ciencia y
tecnología. Al implementar el diagnóstico se aborda las siguientes metas:
establecer el estado actual de la gestión de seguridad de la información y
estrategia tecnológica en la institución.
● Identificar las estrategias tecnológicas alineadas a la formación,
ventaja competitiva, ciencia y tecnología, innovación y emprendimiento.
203
● Identificar los seis elementos del ciclo de operación.
● Establecer el nivel de cumplimiento con la legislación vigente en
lo relacionado a la seguridad de la información para cada estrategia
tecnológica y sistema de gestión de información y conocimiento.
● Identificar las buenas prácticas en seguridad de la información.
● Diagnosticar los riesgos y amenazas presentados en la institución
en materia de seguridad de la información.
● Diagnosticar el sistema de auditorías
Documentos a entregar:
1. documento de estrategias tecnológicas alineadas a la formación,
ventaja competitiva, ciencia y tecnología, innovación y emprendimiento
identificados en el diagnóstico.
2. Documento de cómo se relaciona la institución con los seis
elementos del ciclo de operación
3. documento del análisis de políticas vigentes en materia de
seguridad de la información y estrategia tecnológica.
4. Plan de gestión de la seguridad de la información y estrategia
tecnológica
5. Documento de roles y responsabilidades de la gestión de la
seguridad de la información y estrategia tecnológica.
6. Documento con el análisis y evaluación de riesgos.
7. documento del resultado de buenas prácticas en seguridad de la
información y estrategia tecnológica
8. Documento del análisis de roles y responsabilidades en materia
de gestión de la seguridad de la información y estrategia tecnológica.
204
9. Documento del análisis del sistema de auditorías
Planificación estratégica: La planificación estratégica es un esfuerzo
por producir decisiones y acciones destinadas a formar la naturaleza y la
dirección de las actividades de una organización. Es importante en esta
etapa definir la herramienta para planificar el estado actual del sistema de
gestión de la seguridad de la información y estrategia tecnológica en la
institución. Se parte de cada elemento del modelo.
● Contexto institucional: diseña líneas estratégicas para prever los
riesgos y amenazas que afectan la seguridad de la información en la
institucional. Diseña líneas estratégicas para entender y competir frente a
las nuevas tendencias y comportamiento del mercado académico nacional
e internacional. Establecer líneas estratégicas en innovación y
emprendimiento para establecer nueva oportunidades en el escenario
académico. planificar los roles y responsabilidades de la gestión de
seguridad de la información y estrategia tecnológica en la institución.
● Recurso humano: Establecer líneas estratégicas para los
procesos de motivación del recurso humano, estilo de dirección acorde al
contexto organizacional, construir una cultura para el ambiente
organizacional, sistema de trabajo y políticas.
● Liderazgo: diseñar líneas estratégicas para comprender cada uno
de los estilos de liderazgo, autocrático, democrático, laissez-faire,
transnacional, transformacional.
● Aspectos generales de estrategia tecnológica: fortalecer la
estrategia tecnológica para minimizar los riesgos y amenazas. Establecer
205
líneas estratégicas para adquirir y legalizar nuevas iniciativas en la
incorporación de estrategias tecnológicas.
● Factores internos estrategia tecnológica: diseñar líneas
estratégicas que aporten al desarrollo de la moral de los empleados,
eficiencia en la producción, efectividad de la publicidad y Lealtad de los
clientes.
● Factores externos estrategia tecnológica: diseñar líneas
estratégicas que aporten un valor agregado a la fuerza laboral, aspectos
legales, la sociedad, la competencia, los clientes, la tecnología y la
economía.
Es importante destacar que en esta etapa se diseña el plan de
gestión de la seguridad de la información y estrategia tecnológica
alineado al plan estratégico institucional. Por ello es relevante que exista
una transversalidad con el conocimiento del contexto institucional, el
diagnóstico, planeación estratégica y sensibilización, todo ello, con el
compromiso de la alta dirección.
Se define como producto:
1. Documento de líneas estratégicas para fortalecer los factores
determinantes del recurso humano en la gestión de la seguridad de la
información y estrategia tecnológica.
2. Documento que defina el estilo de liderazgo en la gestión de la
seguridad de la información y estrategia tecnológica.
3. Documento de líneas estratégicas para fortalecer los aspectos
generales de la estrategia tecnológica.
206
4. Documento de líneas estratégicas que aporten al desarrollo de la
moral de los empleados, eficiencia en la producción, efectividad de la
publicidad y Lealtad de los clientes.
5. Documento de líneas estratégicas que aporten un valor agregado
a la fuerza laboral, aspectos legales, la sociedad, la competencia, los
clientes, la tecnología y la economía.
6. Documento del plan de gestión de la seguridad de la información
y estrategia tecnológica
7. Documento final de roles y responsabilidades de la gestión de
seguridad de la información y estrategia tecnológica.
8. Manual con las políticas de seguridad de la información y
estrategia tecnológica.
9. Documento con el manual de procedimientos, debidamente
documentados, socializados y aprobados por el comité que integre los
sistemas de gestión institucional.
10. documento con el inventario de activos de información.
11. Documento con el plan de tratamiento de riesgos y
amenazas.
12. documento Plan de Ejecución de Auditorías
Cada uno de estos productos debe ser aprobado por el comité de
gestión de la seguridad de la información y estrategia tecnológica.
Sensibilización: es un proceso social que busca darle el valor y la
importancia al tema de la seguridad de la información y estrategia
tecnológica a través de la socialización y formación del recurso humano
con el fin de compartir y transferir los nuevos conocimientos en materia de
207
gestión de la seguridad de la información y estrategia tecnológica. Toda
una estrategia pedagógica en pro de alcanzar el objetivo y llegar a todo el
recurso humano de la institución.
Producto a entregar:
1. Documento con el plan de comunicación, sensibilización y
capacitación para la entidad.
Implementar: Esta etapa permitirá a la institución implementar la
planificación realizada en la fase anterior. Así mismo se definen
indicadores de gestión que le permitan medir la efectividad, la eficiencia,
eficacia y acciones implementadas en la gestión de la seguridad de la
información y estrategia tecnológica. Los indicadores buscan medir:
efectividad en los elementos del ciclo de control. Proveer estados de
seguridad y estrategia tecnológica que sirvan de guía en las revisiones y
la mejora continua. Comunicar valores de seguridad y estrategia
tecnológica al interior de la institución. Servir como insumo al plan de
control operacional.
Resultado esperado:
Se implementará:
1. Líneas estratégicas relacionadas a cada elemento del modelo.
2. Plan de gestión de la seguridad de la información y estrategia
tecnológica
3. Roles y responsabilidades de la gestión de seguridad de la
información y estrategia tecnológica.
4. Políticas de seguridad de la información y estrategia tecnológica.
208
5. Manual de procedimientos de seguridad de la información y
estrategia tecnológica
6. Plan de tratamiento de riesgos y amenazas.
7. Plan de comunicación, sensibilización y capacitación para la
entidad.
8. Plan de Ejecución de Auditorías
Evaluar: el prolongado uso del sistema de gestión de la seguridad
de la información debe entrar a un proceso de seguimiento y monitoreo
para consolidar un prolongado funcionamiento institucional. En esta etapa
se realiza análisis, monitoreo, medición, evaluación de la etapa de
implementación. Auditoría interna y externa a los seis elementos del
modelo como a cada producto. Cada proceso implementado en esta
etapa será vigilada por la alta dirección y el comité de seguridad y
estrategia tecnológica.
Plan de revisión y seguimiento, a la implementación de los
siguientes procesos;
1. Líneas estratégicas relacionadas a cada elemento del modelo.
2. Plan de gestión de la seguridad de la información y estrategia
tecnológica
3. Roles y responsabilidades de la gestión de seguridad de la
información y estrategia tecnológica.
4. Políticas de seguridad de la información y estrategia tecnológica.
5. Manual de procedimientos de seguridad de la información y
estrategia tecnológica
6. Plan de tratamiento de riesgos y amenazas.
209
7. Plan de comunicación, sensibilización y capacitación para la
entidad.
8. Plan de Ejecución de Auditorías
PRODUCTO A ENTREGAR:
Informe final dirigido al comité de seguridad de la información y
estrategia tecnológica, mostrando las acciones, metas y objetivos
alcanzados en esta etapa de evaluación. Discriminando cada producto
generado en la etapa de establecer e implementar.
Mejora continua: después de analizar el seguimiento y monitoreo
se generan nuevas estrategias que potencialicen el sistema de gestión de
la seguridad de la información, atendiendo a las necesidades actuales
presentes en los factores internos y externos de la institución. Lo anterior
con el fin de generar acciones correctivas a las debilidades institucionales
en materia de seguridad de la información. En esta etapa se diseña el
documento de mejora continua y acciones correctivas.
Estado de madurez: permite definir unos criterios de valoración que
ayuda a establecer el estado actual de la seguridad de la información y
estrategia tecnológica en las instituciones de educación superior.
ESTADO DESCRIPCIÓN
NULO No se reconoce los elementos que integran el modelo de gestión de la seguridad de la información y estrategia tecnológica. No se reconoce la información como un activo importante para su misión y objetivos estratégicos. No se tiene conciencia de la importancia de la
210
seguridad de la información en la institución.
ANÁLISIS Y DIAGNÓSTICO
La institución posee un recurso humano capacitado para integrar el sistema de gestión de la seguridad de la información y estrategia tecnológica. Se posee un comité que aborda los temas de gestión de la seguridad de la información y estrategia tecnológica Posee un plan de tratamiento de riesgos y amenazas. Posee un documento que describa la relación de la institución con los seis elementos del ciclo de operación Posee un documento de líneas estratégicas para fortalecer los factores determinantes del recurso humano en la gestión de la seguridad de la información y estrategia tecnológica. Cuenta con un documento que define el estilo de liderazgo en la gestión de la seguridad de la información y estrategia tecnológica. Posee un documento de líneas estratégicas para fortalecer los aspectos generales de la estrategia tecnológica. Cuenta con un documento de líneas estratégicas que aporta al desarrollo de la moral de los empleados, eficiencia en la producción, efectividad de la publicidad y Lealtad de los clientes. Posee un documento de líneas estratégicas que aporta un valor agregado a la fuerza laboral, aspectos legales, la sociedad, la competencia, los clientes, la tecnología y la economía. Posee un plan de gestión de la seguridad de la información y estrategia tecnológica Cuenta con un documento de roles y responsabilidades de la gestión de la seguridad de la información y estrategia tecnológica. Cuenta con un documento para el análisis y evaluación de riesgos. Posee un documento de buenas prácticas en seguridad de la información y estrategia tecnológica cuenta con un documento que define los roles y responsabilidades en materia de gestión de la seguridad de la información y estrategia tecnológica. Posee un plan de Ejecución de Auditorías.
211
CUMPLIMIENTO LEGISLACIÓN
La institución cumple con la legislación en seguridad de la información y estrategia tecnológica apropiada para el tipo de institución.
IMPLEMENTACIÓN DEL MODELO
El recurso humano aplica el sistema de gestión de la seguridad de la información y estrategia tecnológica. El comité resuelve las tareas de gestión de la seguridad de la información y estrategia tecnológica. La institución aplica el plan de riesgos y amenazas. Integra los seis elementos del ciclo de operación para gestionar la seguridad de la información y estrategia tecnológica. Implementa documento de líneas estratégicas para fortalecer los factores determinantes del recurso humano en la gestión de la seguridad de la información y estrategia tecnológica. Comprende el estilo de liderazgo en la gestión de la seguridad de la información y estrategia tecnológica. Se alcanzaron las metas de las líneas estratégicas que fortalecen los aspectos generales de la estrategia tecnológica. La institución implementa el documento de líneas estratégicas que aporta al desarrollo de la moral de los empleados, eficiencia en la producción, efectividad de la publicidad y Lealtad de los clientes. Se alcanzaron las metas propuestas en el documento de líneas estratégicas que aporta un valor agregado a la fuerza laboral, aspectos legales, la sociedad, la competencia, los clientes, la tecnología y la economía. Se alcanzaron las metas del plan de gestión de la seguridad de la información y estrategia tecnológica El recurso humano comprende los roles y responsabilidades de la gestión de la seguridad de la información y estrategia tecnológica. Se implementa el análisis y la evaluación de riesgos. Se comprenden las buenas prácticas en seguridad de la información y estrategia tecnológica El recurso humano comprende los roles y responsabilidades en materia de gestión de la seguridad de la información y estrategia tecnológica.
212
EVALUACIÓN DEL MODELO
Plan de Ejecución de Auditorías integrado a los procesos y elementos de gestión de la seguridad de la información y estrategia tecnológica..
MEJORA CONTINUA
La seguridad es un valor agregado para la Institución. Se reconoce los elementos que integran el modelo de gestión de la seguridad de la información y estrategia tecnológica. Se establece procesos de sensibilización y formación para mejorar y transferir conocimiento.
PRESUPUESTO PARA IMPLANTACIÓN DEL MODELO.
TABLA 14 Presupuesto para Recursos Tecnológicos
Recurso Tecnológico Valor Pesos Colombianos
Valor en Moneda Venezolana
3 Portátiles 6.000.000 1 video beam 1.200.000 Total General 7.200.000
Elaboración Propia (2018)
TABLA 15
Presupuesto para Recursos Humanos Recurso Humano Valor Pesos
Colombianos Valor en Moneda Venezolana
1 ingeniero Máster en Seguridad de las Tecnologías de la Información y de las Comunicaciones
1 Docente ingeniero Jefe 3.500.000 1 Ingeniero industrial 2.500.000 1 Ingeniero de sistemas(master en seguridad informática)
2.500.000
Total General 8.500.000 Elaboración Propia (2018)