CDMIST65

PROTOCOLO DE POLTICAS DE SEGURIDAD INFORMTICA PARA LAS
UNIVERSIDADES DE RISARALDA
JORGE LUIS GALEANO VILLA

CRISTIAN CAMILO ALZATE CASTAEDA
UNIVERSIDAD CATLICA DE PEREIRA

FACULTAD DE CIENCIAS BSICAS E INGENIERA
PROGRAMA DE INGENIERA DE SISTEMAS Y TELECOMUNICACIONES
PEREIRA
2013
1
UNIVERSIDADES DE RISARALDA
JORGE LUIS GALEANO VILLA

CRISTIAN CAMILO ALZATE CASTAEDA
ASESOR
ING. JULIO CESAR CANO RAMREZ
UNIVERSIDAD CATLICA DE PEREIRA

FACULTAD DE CIENCIAS BSICAS E INGENIERA
PROGRAMA DE INGENIERA DE SISTEMAS Y TELECOMUNICACIONES
PEREIRA
2013
2
DECLARACIN DE DERECHOS DE AUTOR
Programa de Ingeniera de sistemas y Telecomunicaciones, Universidad

Catlica de Pereira.
Por la presente se deja constancia de ser el autor del trabajo de grado titulado:

UNIVERSIDADES DE RISARALDA. Que present como requisito parcial para
optar por el ttulo de Ingeniero de Sistemas y Telecomunicaciones.
Asesorado por el Ingeniero Julio Cano Ramrez.
Dejando constancia la autorizacin en forma gratuita a la Universidad Catlica

de Pereira para utilizar este material en aplicaciones acadmicas,
publicaciones y como referencia para futuros estudios del tema.
___________________________ ___________________________
Cristian Camilo Alzate Castaeda Jorge Luis Galeano Villa
3
AGRADECIMIENTOS
Primero que todo queremos agradecer a nuestro padre superior Dios, que fue quien nos
guio en todo momento con su sabidura y divinidad en el andar de esta experiencia.
Agradecemos inmensamente a nuestros padres que sin ellos no habra sido posible
empezar y culminar esta etapa tan importante de la vida, como lo es formarnos
profesionalmente y con sentido social apoyados por los valores inculcados en nuestro
hogar puestos a prueba en la universidad.
Igualmente le agradecemos al tutor, el ingeniero Julio Csar Cano Ramrez por compartir
tantos conocimientos y su constante colaboracin en la realizacin de este proyecto, y
tambin nuestro primer tutor el ingeniero lvaro Morales por iniciar este proceso y
orientarnos con sus aportes.
Por ltimo a todas aquellas personas, amigos y familiares que de alguna u otro manera
estuvieron involucradas en el transcurso de la carrera y de este proyecto agradecemos
toda su colaboracin y paciencia.
4
RESUMEN
Las malas prcticas de la seguridad informtica y la poca importancia que se le

da a la misma en su implementacin y divulgacin en las instituciones de
educacin superior impulso a plantear un protocolo de seguridad informtica.
De esta manera el objetivo del trabajo es proponer un protocolo que marque

unas pautas claras al momento de implementar la seguridad en las
instituciones de educacin superior proporcionando una orientacin y unas
recomendaciones en la eleccin de herramientas.
De esta forma, se realiz un estudio basado en sondeos a estudiantes de

diferentes universidades y distintos programas, adems de una serie de
entrevistas a los encargados del rea de sistemas, por lo que elegimos el
tamao de la muestra de acuerdo a la necesidad utilizando estadstica no
probabilstica. Donde se realizaron una serie de encuestas y entrevistas en las
universidades ms importantes de la ciudad, tanto en la parte administrativa
como la parte acadmica, dando como resultado que no hay unas buenas
practicas implementadas de seguridad informtica y poco conocimiento e
importancia por la parte acadmica y administrativa.
Se puede concluir que la seguridad informtica juega un papel muy importante

en las universidades, por lo cual, es importante realizar unas buenas prcticas
de seguridad, para as mantener un alto estndar de proteccin de la
informacin
Palabras claves: Seguridad informtica, instituciones de educacin superior,

Protocolo, vulnerabilidades, Amenazas,
5
ABSTRACT
The bad computer security practices and the lack of importance,

implementation and dissemination given to it in universities, boost us to
propose a security protocol.
For that reason, the aim of this work is to carry out a security protocol that
marks clear guidelines at moment to implement security in higher education
institutions, that provide them guidance and recommendations in tools choice .
In that way , we conducted a study based on students surveys of different

universities and programs, along with a series of interviews carried out at area
managers of systems; so we chose the sample size according to need, using
statistical not random. In addition there were a series of surveys and interviews
in the most important universities in the city, both in administrative and
academic side, as a result of that, there is not a safe computer security
practices implemented, little knowledge and lack of importance on security as
much for academic and administrative side.
As a conclusion, information security plays a very important role in universities,

so it is important to make a good security practices in order to maintain a high
standard of information protection.
Keywords: Computer security, higher education institutions, Protocol,

Vulnerabilities, Threats.
6
NDICE
Tabla de Contenido
DECLARACIN DE DERECHOS DE AUTOR ......................................................................... 3

AGRADECIMIENTOS .......................................................................................................... 4
RESUMEN .......................................................................................................................... 5
ABSTRACT ......................................................................................................................... 6
NDICE ............................................................................................................................... 7
1. INTRODUCCIN...................................................................................................... 10
2. DESCRIPCIN DEL PROBLEMA ............................................................................... 11
2.1 Planteamiento del problema ............................................................................................ 11
2.2 Formulacin del problema ................................................................................................ 13
3. OBJETIVOS .............................................................................................................. 14
3.1 Objetivo general ................................................................................................................ 14
3.2 Objetivos especficos ......................................................................................................... 14
4. JUSTIFICACIN ....................................................................................................... 15
5. PLANTEAMIENTO DE LA HIPTESIS ....................................................................... 17
6. DELIMITACIN ....................................................................................................... 18
6.1 Espacial .............................................................................................................................. 18
6.2 Temporal ........................................................................................................................... 18
7 IDENTIFICACIN DE VARIABLES ............................................................................. 19

7.1 Variable Independiente. ................................................................................................... 19
7.2 Variable Dependiente ....................................................................................................... 19
8. PRESUPUESTO ........................................................................................................ 20
9. CRONOGRAMA DE ACTIVIDADES........................................................................... 22
10. MARCO CONTEXTUAL ........................................................................................ 23
11. MARCO TERICO ................................................................................................ 24
11.1 Antecedentes .................................................................................................................... 24
11.2 Conceptos claves ............................................................................................................... 25
7
11.2.1 Seguridad de la informacin ..................................................................................... 25
11.2.2 Seguridad informtica ............................................................................................... 25
11.2.3 Mecanismos de seguridad......................................................................................... 25
11.2.4 Seguridad pasiva........................................................................................................ 26
11.2.5 Seguridad activa ........................................................................................................ 26
11.2.6 Seguridad fsica ......................................................................................................... 26
11.2.7 Seguridad lgica ........................................................................................................ 26
11.2.8 Arquitectura de seguridad OSI .................................................................................. 27
11.2.9 Servicios de seguridad ............................................................................................... 27
11.3 Normas ISO sobre gestin de seguridad de la informacin. ............................................. 30
11.3.1 ISO 27000 .................................................................................................................. 31
11.3.2 ISO 17000 .................................................................................................................. 32
11.4 Consideraciones al abordar la construccin del Protocolo para elaborar polticas de
seguridad ....................................................................................................................................... 35
11.4.1 Seguridad Informtica ............................................................................................... 35
11.4.2 Anlisis de Riesgos..................................................................................................... 37
11.4.3 Evaluacin de Riesgos ............................................................................................... 37
11.4.4 Importancia de la seguridad ...................................................................................... 40
11.4.5 Funciones de la seguridad informtica ..................................................................... 41
11.4.6 Polticas generales de seguridad ............................................................................... 44
11.4.7 Protocolos ................................................................................................................. 49
12 MODELOS TERICOS.............................................................................................. 53
12.1 Sistema de Gestin de la Seguridad de Informacin (SGSI) .............................................. 53
12.1.1 Modelo PDCA ............................................................................................................ 53
12.1.2 Otra proposicin de una forma de realizar el anlisis para llevar a cabo un sistema
de seguridad informtica .......................................................................................................... 55
13 CONCRECIN DEL MODELO ................................................................................... 57

13.1 Metodologa utilizada ....................................................................................................... 57
13.2 Resultados de las encuestas y entrevistas ........................................................................ 61
13.3 Proposicin del protocolo para elaborar polticas de seguridad informtica ................... 67
14 CONCLUSIONES ...................................................................................................... 77
15 RECOMENDACIONES .............................................................................................. 78
16 REFERENCIAS BIBLIOGRFICAS .............................................................................. 79
17 GLOSARIO ............................................................................................................... 82
18 ANEXOS .................................................................................................................. 88
8
Listado de Ilustraciones
1 PORCENTAJE DE DISTRIBUCIN PRESUPUESTO ........................................................ 21

2 CRONOGRAMA ...................................................................................................... 22
3 GRAFICO ISO 27000 ............................................................................................ 30
4 ENFOQUE ISO 17000 ........................................................................................... 33
5 MODELO PDCA .................................................................................................... 53
6 RESULTADOS PREGUNTA 1 ACADMICOS ................................................................ 61
9 RESULTADOS PREGUNTA 14 ACADMICOS .............................................................. 63
10 RESULTADOS PREGUNTA 1 ADMINISTRATIVOS ....................................................... 63
Listado de Tablas
1 VARIABLE INDEPENDIENTE ..................................................................................... 19

2 VARIABLE DEPENDIENTE ........................................................................................ 19
3 PRESUPUESTO...................................................................................................... 20
4 TOTAL ENTREVISTAS Y ENCUESTAS ........................................................................ 66
5 INVENTARIO EQUIPOS DE CMPUTO ....................................................................... 69
6 INVENTARIO TERMINALES ....................................................................................... 69
7 DISPOSITIVOS DE RED ........................................................................................... 70
8 INVENTARIO DE SERVICIOS..................................................................................... 70
9
1. INTRODUCCIN
En las instituciones de educacin superior se ha encontrado que no se le da la

importancia necesaria a la seguridad informtica, ya que segn estudios
realizados mediante encuestas y entrevistas en las diferentes sedes
universitarias de la ciudad de Pereira, se pudo concluir que son muy pocas las
que tienen algn indicio de seguridad y aquellas que la tienen apenas se
encuentran en proceso de implementacin, igualmente se observ que no se
estn guiando por metodologas, tcnicas o normas de seguridad
estandarizadas y con aplicacin especfica al entorno acadmico, si no con
una mezcla, la cual no asegura un buen proceso final
De igual manera se pudo detectar que los usuarios tanto administrativos

como acadmicos no tienen conocimiento sobre seguridad informtica.
Tambin se observ que en las instituciones donde tienen un mnimo de
seguridad en la parte de sistemas no tienen claro el concepto del mismo, ni hay
una socializacin a los usuarios sobre las polticas de seguridad establecidas.
Por esta razn se ha realizado un protocolo basado en la norma ISO 27000

e ISO 17000, entendiendo que la seguridad tiene una parte muy importante
que es la evaluacin y anlisis de riesgos, y as se concluye con la propuesta
de un protocolo de seguridad que puede ser aplicado en las instituciones de
educacin superior el cual permitir guiar y facilitar su implementacin
garantizando una disponibilidad, integridad y seguridad de la informacin en un
porcentaje muy alto de aplicacin y proteccin.
10
2. DESCRIPCIN DEL PROBLEMA
2.1 Planteamiento del problema
Con el constante crecimiento de las tecnologas de la informacin, se va

acrecentando tambin la aparicin de nuevas aplicaciones, nuevos avances
tcnicos y mejoramiento en la funcionalidad de los mismos. De forma paralela
a estos avances surgen nuevos riesgos y vulnerabilidades que pueden ser
utilizadas para comprometer nuestros sistemas, nuevos virus y software
malicioso circulando en la red, diseados para alterarlos o cometer fraudes.
Otro fenmeno que se est presentado en la actualidad, es el enorme

crecimiento de los ataques cibernticos, segn declara un estudio de la
agencia Akamai, la cual registr un aumento de un 2000% de los ataques de
denegacin de servicio (DDoS). La Verizon Business dio a conocer el listado
del top 15 ataques ms frecuentes contra organizaciones, estos son:
Keyloggers y spyware (19%):

Puerta trasera, comandos de control (18%).
SQL Injection(18%).
Violacin de privilegios/acceso del sistema (17%).
Acceso no autorizado a travs de credenciales por defecto (16%).
Violacin de las polticas de uso (12%).
Acceso no autorizado a travs de listas de control de acceso (ACL) mal
configuradas (10%).
Sniffers(9%).
Acceso no autorizado a travs de credenciales robadas (8%).
Ingeniera social (8%).
Authentication bypass (6%).
11
Robo fsico de activos (6%).
Ataques por fuerza bruta (4%).
RAM scraper (4%).
Phishing (4%).
En el informe se identifica, clasifica y esboza los ataques ms comunes.

Para cada tipo de ataque, el informe proporciona escenarios reales, seales de
alertas, cmo se ha orquestado el ataque, en qu activos se centraron los
atacantes, qu industrias son las ms afectadas y cules son las
contramedidas ms eficaces.
Fuente: Verizon Business
Resulta casi imposible que se detecten todos o que se pueda prevenir su

totalidad, sin embargo, es importante que se tengan indicadores y controles
que ayuden a mitigar estos riesgos. De all que sea importante conocer un
12
poco ms acerca de estos ataques, cmo operan, de qu manera se pueden
combatir, entre otros.
2.2 Formulacin del problema
Debido a los problemas presentados y a las fallas de seguridad registradas, al

poco conocimiento que tienen las organizaciones del concepto de seguridad
informtica, se hace necesario descifrar si se requiere de un documento
adicional o de uno de ms fcil aplicacin por parte de las instituciones de
educacin superior que facilite la compresin de lo que es la seguridad
informtica, lo que esta implica y lo que conlleva a no tenerla implementada.
De acurdo a esto podemos decir:
Cmo debe disearse el protocolo de poltica de seguridad informtica para

las universidades de Risaralda?
Cmo favorece a las universidades de Risaralda contar con una serie de

pasos y/o reglamentos para la implementacin de la seguridad?
Cules son los puntos principales que deben ser incluidos en el protocolo de
poltica de seguridad para las universidades de Risaralda?
13
3. OBJETIVOS
3.1 Objetivo general
Construir y proponer un protocolo para la elaboracin de una poltica seguridad

informtica para instituciones de educacin superior en Risaralda.
3.2 Objetivos especficos
Documentar y consultar sobre seguridad informtica.
Documentar y consultar sobre protocolos.
Clasificar la informacin y aplicaciones de los sistemas informticos

utilizados en las universidades.
Identificar los principales aspectos vulnerables de un sistema de

seguridad informtica.
Consultar sobre las normas ISO 17000 e ISO 27000 como metodologas
para la seguridad informtica.
14
4. JUSTIFICACIN
La seguridad informtica es el proceso por medio del cual se protegen los

activos informticos. Se debe tener en cuenta que en la actualidad, la
informacin juega un papel muy importante y es considerado el activo ms
valioso en todas las organizaciones, lo cual ha generado que se le d mayor
atencin a la disponibilidad, confidencialidad e integridad de los sistemas
informticos para as garantizar una fluidez de informacin segura y sistemas
protegidos.
Por tanto, se hace necesario contar con estrategias y procedimientos a la

hora de implementar la seguridad informtica, para as garantizar el correcto
funcionamiento de los sistemas y al momento de un posible ataque o desastre
natural que conlleve a perdida de informacin o sistemas informticos, saber
cmo actuar para mitigar el problema tomando los correctivos apropiados.
Haciendo relacin a las universidades de Risaralda, estas instituciones

educativas de educacin superior requieren de gran control en este aspecto,
as como unas polticas bien establecidas en todo lo que concierne al manejo
de informacin de datos y usuarios, que sean precavidas a la hora de permitir
el acceso a los sistemas informticos.
La informacin y su confidencialidad es un tema de gran importancia, tanto

a nivel personal como empresarial e institucional, de ah que se realicen
continuas investigaciones acerca de los nuevos riesgos que se presentan,
debido al avance de la tecnologa, la cual genera diversas herramientas para
los usuarios quienes pueden utilizarlas con buena o mala intencin de acuerdo
al objetivo que esta tenga para atacar sistemas que no cumplan o no se
preocupan por proteger su entorno tecnolgico.
15
Recientes estudios han relevado que el 73% de las empresas han sufrido
un ataque informtico, y que estas compaas mueven el 96% de la economa del
pas, es evidente la falta de aseguramiento informtico segn artculos de revistas
especializadas en el tema, como lo es la revista digital Enter donde publican
expertos en seguridad .
De igual manera se detect en la indagacin realizada el poco conocimiento

sobre el tema, especialmente por parte de directivos de empresas e instituciones
de educacin superior, que no valoran la importancia de su informacin, adems
no son conscientes de que esto puede acarrear una afectacin tanto a nivel
econmico como a nivel organizacional, ya que lo que est en juego es la
seguridad de la informacin, la cual, se considera uno de los activos ms
importantes
16
5. PLANTEAMIENTO DE LA HIPTESIS
Construir un protocolo para la generacin de polticas de seguridad informtica

al interior de las universidades y la implementacin de stas mejorar
notablemente la seguridad y evitar en gran medida la perdida de informacin
por ataques, descuidos del usuario y/o fallas de seguridad.
17
6. DELIMITACIN
6.1 Espacial
El proyecto se realizar en el departamento de Risaralda, para las universidades

que decidan acogerlo y hacer seguimiento. Se entregarn las recomendaciones y
las metodologas para su puesta en marcha y control.
6.2 Temporal
El proyecto se desarrollar entre el segundo semestre de 2012 y el primer

semestre del ao 2013
18
7 IDENTIFICACIN DE VARIABLES
7.1 Variable Independiente.
TIPO DE OPERACIN
VARIABLE VARIABLE NALIZACIN CATEGORAS DEFINICIN
El seguimiento de
La presencia o
Protocolo para un protocolo puede
ausencia de una
elaborar Normas garantizar la
Cualitativa gua de
polticas de Modelos elaboracin de
seguridad
Seguridad adecuadas normas
genera polticas
de seguridad
1 Variable independiente
Fuente: Elaboracin propia
7.2 Variable Dependiente
Cuadro 1. Identificacin de variable dependiente.
TIPO DE OPERACIO
VARIABLE VARIABLE NALIZACIN CATEGORAS DEFINICIN
La implementacin
La presencia o
correcta de la
ausencia de la
Integridad poltica de
Poltica de poltica de
Cualitativa Confidencialida seguridad minimizan
Seguridad seguridad causa un
d Disponibilidad los riesgos en la
impacto positivo en
seguridad
las universidades
informtica
2 Variable dependiente
19
8. PRESUPUESTO
3 Presupuesto
Costo
Materia Fungible Unidades Unidad Costo
Resma Papel 1 $15.000 $15.000
Cartuchos de Tinta 2 $45.000 $90.000
Fotocopias 85 $100 $8.500
CD-ROM 2 $1.000 $2.000
Argollado 1 $10.000 $10.000
Total Costo Material Fungible $125.500
Costo
Comunicaciones Unidades Unidad Costo
Celular 4 $60.000 $240.000
Total Costo de comunicaciones $240.000
Costo
Gastos Varios Unidades Unidad Costo
Pasajes 128 $1.700 $217.600
Gasolina 6 $30.000 $180.000
Almuerzos 8 $5.500 $44.000
Total Gastos Varios $441.600
Imprevisto (10% del Proyecto) $80.710
Total $887.810
20
Fuente: Elaboracin Propia
Grfico de distribucin de porcentaje de acuerdo a los gastos
Comunicacion
es
27%
Materia
Fungible Gastos Varios
14% 50%
Imprevisto
9%
1 Porcentaje de distribucin presupuesto

En el anterior presupuesto se refleja los costos que se han tenido a lo largo de la

elaboracin del proyecto, los cuales, se clasifican en: Material fungible,
comunicaciones, gastos varios e imprevistos dando un valor total de $887.810
21
9. CRONOGRAMA DE ACTIVIDADES
Fecha de inicio: 20 Agosto 2012
Fecha de finalizacin: 31 de Mayo 2013
Realizadores: Cristian Camilo Alzate Castaeda, Jorge Luis Galeano Villa
Tutor: Ing. Julio csar Cano Ramrez
Agosto Septiembre Octubre Noviembre Diciembre Enero Febrero Marzo Abril Mayo
Nro Actividad 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
1 Formuacion del proyecto
2 Investigacion
3 Marco Teorico
4 Entrevistas
5 Encuestas
6 Diseo del Protocolo
7 Conclusiones
8 Resumen
9 Organizacin de documento
2 Cronograma
22
10. MARCO CONTEXTUAL
El proyecto se va a desarrollar para las diferentes instituciones de educacin

superior del departamento de Risaralda, por lo cual, se seleccionaron las
universidades ms importantes de la regin, como lo son la Universidad
Andina, Universidad Libre, Universidad Tecnolgica de Pereira y la Universidad
Catlica de Pereira donde se realizaron una serie de entrevistas y encuestas
dando como resultado el poco conocimiento por la parte administrativa y
acadmica de seguridad y la pobre implementacin de polticas de seguridad
en los campus universitarios.
La regin tiene una proyeccin de crecimiento alto en su nivel social,

econmico, cultural y educativo, ya que se detecta un aumento de empresas,
centros comerciales y universidades de otras ciudades, lo que motiva la
migracin de estudiantes provenientes de diferentes destinos del pas, esto ha
causado mayores requerimientos de capacitacin, educacin etc., y ha creado
ms necesidades de manejo de la informacin, lo cual conlleva
necesariamente a que se tenga o generen escenarios adecuados para que se
presenten vulnerabilidades de seguridad en sus sistemas informticos.
El incremento de instituciones de educacin superior y de otro tipo, tales

como educacin no formal, y el tipo de informacin que se maneja al interior
de ellas, as como la necesidad de que interacten con el sistema de
informacin acadmico y el administrativo para los servicios que se prestan a
la comunidad acadmica como el proceso de matrcula, inscripcin, consulta
de notas, solicitudes, procesos acadmicos etc., hace que se presente un
escenario importante de anlisis para la seguridad informtica.
23
11. MARCO TERICO
11.1 Antecedentes
Las normas en seguridad informtica como la ISO 27000 se han gestado a partir
de entidades normalizadores britnicas como lo es la (British Standards Institution)
que publicaron documentos sobre prcticas en Seguridad para empresas desde
1995, a partir de esto se empez a gestar la familia 27000 el ao 200 como
requisito para un Sistema de gestin de la seguridad de Informacin o SGSI, que
puede ser adoptado en el mbito internacional, de all siguen surgiendo
complementos como la norma ISO 17000.
En la actualidad se han desarrollado estudios e investigaciones sobre

seguridad informtica, as como proyectos de grado relacionados con el tema. Tal
caso puede ser un anlisis de la seguridad a una empresas especfica y tambin
universidades, un ejemplo claro est en la Universidad Catlica de Pereira cuya
poltica se ha desarrollado a partir de un trabajo de grado, tambin se encuentran
la elaboracin de polticas de seguridad para organizaciones como Apostar, de
igual manera el CDA de Cartago y en general mucha documentacin sobre el
tema y sobre los diferentes mtodos de deteccin y ataques a sistemas
informticos.
Pero no existe en el momento una gua para que las propias universidades, es
decir los encargados del rea de sistemas puedan revisar todo lo relacionado con
la seguridad y a partir de all generar su propia poltica basados en los pasos
planteados en el presente trabajo, as como concientizarse de la importancia de
tener esto implementado, actualizado y socializado con toda la comunidad
acadmica.
24
11.2 Conceptos claves
11.2.1 Seguridad de la informacin
Es un trmino que hace referencia a la seguridad de activos de forma general,

incluyendo la seguridad informtica, la seguridad TIC y la seguridad de los datos.
11.2.2 Seguridad informtica
Es la disciplina que se ocupa de disear las normas, procedimientos, mtodos y

tcnicas destinados a conseguir un sistema de informacin segura y
confiable.(Aguilera Lpez, Purificacin, 2010).
11.2.3 Mecanismos de seguridad
Todo aquello de naturaleza hardware como software que se utiliza para crear,
reforzar y mantener la seguridad informtica.
Se clasifican en:
Preventivos: Actan antes de que se produzcan ataques. Su misin es

evitarlos.
Detectores: Actan cuando el ataque se ha producido y antes que cause daos

en el sistema.
Correctores: Actan despus de que haya habido un ataque y se hayan

producido daos. Su misin es la de corregir las consecuencias del dao.
25
11.2.4 Seguridad pasiva
Est construida por el conjunto de medidas que se implementan con el fin de

minimizar la repercusin debida a un incidente de seguridad y permitir la
recuperacin del sistema. A estas medidas podemos llamarlas de correccin.
(Aguilera Lpez, Purificacin, 2010).
11.2.5 Seguridad activa
Los mecanismos y procedimientos que permiten prevenir y detectar riesgos para

la seguridad del sistema de informacin constituyen la seguridad activa del
mismo. (Aguilera Lpez, Purificacin, 2010).
11.2.6 Seguridad fsica
Se utiliza para proteger el sistema informtico utilizando barreras y mecanismos

de control. Se emplea para proteger fsicamente el sistema informtico.
Las amenazas fsicas se pueden producir provocadas por el hombre, de forma
accidental o voluntaria, o bien por factores naturales. (Aguilera Lpez,
Purificacin, 2010).
11.2.7 Seguridad lgica
Se encarga de asegurar la parte del software de un sistema informtico, que se

compone de todo lo que no es fsico, es decir, los programas y los datos.
(Aguilera Lpez, Purificacin, 2010).
26
11.2.8 Arquitectura de seguridad OSI
La arquitectura de seguridad OSI (Estndares ISO 7498-2 y ITU-T X.800) hace

distincin entre los conceptos de servicio y mecanismos de seguridad. Un servicio
de seguridad es una caracterstica que debe tener un sistema para satisfacer una
poltica de seguridad. Un mecanismo de seguridad es un procedimiento concreto
utilizado para implementar el servicio de seguridad. En otras palabras, un servicio
de seguridad identifica lo que es requerido; mientras el mecanismo describe cmo
lograrlo.
La arquitectura OSI identifica las clases de servicios de seguridad:

Confidencialidad, autenticidad, integridad, control de acceso, y no repudio.
11.2.9 Servicios de seguridad
Confidencialidad: se refiere a la proteccin de la informacin respecto al

acceso no autorizado, sea en los elementos computarizados del sistema o en
elementos de almacenamiento.
Integridad: Proteccin de la informacin respecto a modificaciones no

autorizadas, tanto a la almacenada en los elementos computarizados de la
organizacin como la usada como soporte. Estas modificaciones pueden
llevarse a cabo de manera accidental, intencional, o por errores de hardware-
software.
Autenticidad: Garanta que el usuario autorizado tiene para usar un recurso y
que no sea suplantado por otro usuario.
Control de Acceso: Posibilidad de controlar los permisos a cualquier usuario

para acceder a servicios o datos de la organizacin.
27
No Repudio: Al ser transferido un conjunto de datos, el receptor no puede
rechazar la transferencia, y el emisor debe poder demostrar que envi los
datos correspondientes.
Disponibilidad de los recursos y de la informacin: Proteccin de los elementos

que poseen la informacin de manera que en cualquier momento, cualquier
usuario autorizado pueda acceder a ella, sin importar el problema que ocurra.
Consistencia: Capacidad del sistema de actuar de manera constante y

consistente, sin variaciones que alteren el acceso a la informacin.
Auditora: Capacidad para determinar todos los movimientos del sistema, como
accesos, transferencias, modificaciones, etc., en el momento en que fueron
llevados a cabo (fecha y hora).
Vulnerabilidad: Consiste en cualquier debilidad que puede explotarse para

causar prdida o dao del sistema. De esta manera, el punto ms dbil de
seguridad de un sistema consiste en el punto de mayor vulnerabilidad de ese
sistema.
Amenaza: Ser cualquier circunstancia con el potencial suficiente para causar

prdida o dao al sistema. De esta manera, el punto ms dbil.
La presencia de uno o ms factores de diversa ndole (personas, mquinas

o sucesos) que de tener la oportunidad atacaran al sistema producindole daos
aprovechndose de su nivel de vulnerabilidad.
11.2.9.1 Clasificacin de las amenazas en funcin del tipo de alteracin, dao o

intervencin que podran producir sobre la informacin:
28
De interrupcin: El objetivo de la amenaza es deshabilitar el acceso a la
informacin; por ejemplo, destruyendo componentes fsicos como el disco duro,
bloqueando el acceso a los datos, o cortando o saturando los canales de
comunicacin.
De interpretacin: Personas, programas o equipos no autorizados podran acceder

a in determinado recurso del sistema y captar informacin confidencial de la
organizacin, como pueden ser datos, programas o identidad de personas.
De modificacin: Personas, programas equipos no autorizados no solamente

accederan a los programas y datos de un sistema de informacin sino que
adems los modificaran.
De fabricacin: Agregaran informacin falsa en el conjunto de informacin del

sistema.
Segn su origen las amenazas se clasifican en:
Accidentales: accidentes meteorolgicos, incendios, inundaciones, fallos en

equipos, en las redes, en los sistemas operativos o en el software, errores
humanos.
Intencionadas: Son debidas siempre a la accin humana, como a introduccin de

software malicioso, malware, intrusin informtica, robos o hurtos.
Ataques: Se define como cualquier accin que explota una vulnerabilidad.
11.2.9.2 Clasificacin de ataques:
29
Ataques Pasivos: Consiste en slo observar comportamientos o leer informacin,
sin alterar sin alterar el estado del sistema ni la informacin. En este sentido, un
ataque pasivo slo afecta la confidencialidad o privacidad del sistema o de la
informacin.
Ataques Activos: Por el contrario, tiene la capacidad de modificar o afectar la

informacin o el estado del sistema o ambos. En consecuencia, un ataque activo
afecta no slo la confidencialidad o privacidad sino tambin la integridad y la
autenticidad de la informacin o del sistema.
Riesgos: Se denomina riesgo a la posibilidad de que se materialice o no una

amenaza aprovechando una vulnerabilidad.
3 Grafico ISO 27000

Fuente: www.ISO27000.es
11.3 Normas ISO sobre gestin de seguridad de la informacin.
Norma: es un documento cuyo uso es voluntario y que es fruto del consenso de

las partes interesadas y que deben aprobarse por un organismo de normalizacin
reconocido.
30
El ISO (International Organization for Standardization, Organizacin Internacional
para la Estandarizacin) es un organismo internacional que se dedica a desarrollar
reglas de normalizacin en diferentes mbitos, entre ellos la informtica.
El IEC (International Ellectrotechnical Commision) es otro organismo que publica
normas de estandarizacin en el campo de la electrnica.
11.3.1 ISO 27000
La serie de normas ISO/IEC 27000 se denomina requisitos para la especificacin

de sistemas de gestin de la seguridad de la informacin (SGSI), proporciona un
marco de estandarizacin para la seguridad de la informacin para que sea
aplicado en una organizacin o empresa y comprende un conjunto de normas
sobre las siguientes materias:
Sistema de gestin de la seguridad de la informacin
Valoracin de riesgos
Controles
Serie de normas:
ISO 27001: Que sustituye a la ISO 17799-1, abarca un conjunto de normas

relacionadas con la seguridad informtica. Se basa en la norma BS 7799-2 de
British Estndar, otro organismo de normalizacin.
Segn esta norma, que es la principal de la serie, la seguridad de la informacin
es la prevencin de su confidencialidad, integridad y disponibilidad, as como de
los sistemas implicados en su tratamiento.
ISO 27002: que se corresponde con la ISO 17799, y que describe un cdigo de
buenas prcticas para la gestin de la seguridad de la informacin y los controles
recomendados relacionados con la seguridad.
31
ISO 27003: que contiene una gua para la implementacin de la norma.
ISO 27004: que contiene los estndares en materia de seguridad para poder
evaluar el sistema de gestin de la seguridad de la informacin.
ISO 27005: que recoge el estndar para la gestin del riesgo de la seguridad.
ISO 27006: requisitos a cumplir por las organizaciones encargadas de emitir

certificaciones ISO 27001.
ISO 27007: Es una gua de auditora de un SGSI. Como un complemento a lo

especificado en la ISO 19011. (Garca, Alfonso. Hurtado Cervign. Alegre
Ramos, Mara del Pilar. 2011).
11.3.2 ISO 17000
No describen un sistema de gestin de calidad (el sistema de gestin de

calidad es solamente uno de los requisitos de estas normas), sino que
establecen los requisitos especficos que cada uno de los organismos de
evaluacin de la conformidad (laboratorios, certificadores e inspectores) deben
cumplir para demostrar su competencia tcnica.
32
Enfoque funcional a la evolucin de la conformidad
4 Enfoque ISO 17000

Fuente:www.iso.org/casco_building-trust-es.pdf
Seleccin:
Especificacin de las normas u otros documentos en los cuales se
evaluar la conformidad.
Seleccin de los ejemplos del objeto que se debe evaluar.
Especificacin de tcnicas de muestreo estadstico si es aplicable.
Determinacin:
33
Ensayos para determinar las caractersticas especficas del objeto de
evaluacin.
Inspeccin de las caractersticas fsicas del objeto de la evaluacin.
Auditora de los sistemas y registros relacionados con el objeto de la
evaluacin.
Examen de las especificaciones y los planos para el objeto de la
evaluacin.
Revisin y atestacin:
Revisin de las evidencias relevantes en la etapa de determinacin para
resolver las no conformidades.
Elaborar y emitir una declaracin de conformidad
Coloca una marca de conformidad de productos conformes
Vigilancia:
Llevar a cabo actividades de determinacin en el punto de produccin o
en la cadena de suministro al mercado
Llevar a cabo actividades de determinacin en el mercado
Llevar a cabo actividades de determinacin en el lugar de uso
Revisar los resultados de las actividades de determinacin
Volver a la etapa de determinacin para resolver no conformidades
Elaborar y expedir confirmacin de continuidad de la conformidad
Iniciar acciones correctivas y preventivas en el caso de no
conformidades. (ISO/IEC 17000(ES),2004)
34
11.4 Consideraciones al abordar la construccin del Protocolo para elaborar
polticas de seguridad
11.4.1 Seguridad Informtica
Se puede definir la seguridad en cualquier sistema, aquella capaz de identificar la

existencia de peligros, daos o riesgos. Un peligro o riesgo se define como aquel
que puede afectar el buen funcionamiento de un determinado sistema o de los
resultados que de l se obtienen. Aunque ningn sistema puede ofrecer un 100%
de seguridad, los existentes s pueden aminorar los posibles riegos presentados a
nivel de informacin.
Segn lvarez Maran y Prez Garca (2004), La seguridad de la

informacin es una disciplina que se ocupa de gestionar el riesgo dentro de los
sistemas informticos. Dicho de otro modo, mediante la aplicacin de sus
principios, se implementarn en los sistemas informticos las medidas de
seguridad capaces de contrarrestar las amenazas a que se encuentran expuestos
los activos de la organizacin: la informacin y los elementos hardware y software
que la soportan. No se trata de implantar sino de medidas de seguridad, tales
como cortafuegos o cifrado de datos porque tal o cual tecnologa estn de moda o
porque se cree que as va a estar ms seguro. Se trata ms bien de evaluar los
riesgos reales a los que la informacin est expuesta y mitigarlos mediante la
aplicacin de las medidas necesarias y en el grado adecuado, con el fin de
satisfacer las expectativas de seguridad generadas. (p. 3)
Es importante tener en cuenta que son muchas las medidas de seguridad

que resultan ineficientes, especialmente cuando stas se aplican de forma aislada,
por lo tanto se hace importante que se combinen con otras que tambin ofrezcan
proteccin ante posibles amenazas, con el fin de lograr contrarrestarlas en su
totalidad; es indispensable entonces que se busquen las medidas apropiadas para
el contexto en el cual se vayan a aplicar.
35
Segn las caractersticas o fuente de las amenazas, la seguridad se podr
dividir en seguridad lgica y seguridad fsica.
Seguridad Lgica: segn Aguilera, (2005). Es toda aquella con relacin a la

proteccin de software y de los sistemas operativos, que en definitiva es la
proteccin directa de los datos y de la informacin. (p. 31)
A travs de este tipo de seguridad se pueden poner a salvo todos aquellos

datos y el software que se est utilizando, ofreciendo seguridad a quien est
autorizado para su acceso.
En cuanto a la seguridad fsica, y segn lo dice el mismo autor, se llama

Seguridad Fsica A la que tiene que ver con la proteccin de los elementos fsicos
de la empresa u organizacin, como el Hardware y el lugar donde se realizan las
actividades, edificio o habitaciones. (p. 31)
Es la forma en cmo se aseguran los entornos fsicos con el fin de ofrecer

tranquilidad a los usuarios y no permitir el acceso a aquellos intrusos que tratan de
acceder a los sistemas.
Cabe sealar que es importante tener en cuenta estos dos aspectos en la

implementacin de las polticas, ya que es por aqu donde se presentan los
ataques a los sistemas informticos y se da la perdida de la informacin, de
acuerdo a los datos estadsticos que se tienen.
El objetivo de los sistemas de seguridad es ofrecer proteccin a los activos, los

cuales estn conformados por tres elementos:
Informacin: La informacin es la que mayor valor presenta para

cualquier organizacin, su objetivo es resguardar la informacin, sin
importar el lugar en la cual se encuentra registrada.
Equipos que la soportan: Entre ellos se encuentra el hardware, el

software y la organizacin en s.
36
Usuarios: Son aquellos individuos que hacen uso de la estructura
tecnolgica y comunicacional y son quienes manejan la informacin.
Estos tres objetivos de los sistemas de seguridad son muy importantes

tenerlos en cuenta al momento de establecer las polticas, ya que son los que
conforman la estructura tecnolgica de las instituciones y en cada uno de ellos se
recomienda mirar su funcionamiento y qu los conforman para as poder
implementar una buena seguridad.
11.4.2 Anlisis de Riesgos
La meta del anlisis de riesgos es ayudar en la seleccin de salvaguardas costo-

efectivas. El anlisis de riesgo incluye un estimado de las prdidas potenciales y
qu salvaguardas pueden reducirlas para identificar cules de entre estas
salvaguardas son las mejores en funcin de su costo. (Summers, 1997, pp. 1-11)
La informacin es el activo ms importante que se pueda tener en cualquier

organizacin, por lo tanto, la existencia de tcnicas que la aseguren debern
realizarse teniendo en cuenta adems aquellos equipos en los cuales se
almacenan. Estas tcnicas se deben implementar siguiendo los lineamientos de la
seguridad lgica, por medio de la cual se aplican barreras y procedimientos que
van a ofrecer el no acceso a los datos por personas no autorizadas.
11.4.3 Evaluacin de Riesgos
Hacer una evaluacin de riesgos es mucho ms que tratar de calcular la

posibilidad de que cualquier sistema de informacin se vea afectado por cualquier
eventualidad negativa. Se deben calcular los posibles efectos econmicos, con el
fin de compararlos con el costo de implantar un buen sistema de seguridad. Es
37
necesario hacer una distincin en cuanto al gasto incurrido en el sistema de
seguridad y el gasto ocasionado por la implantacin o restauracin del dao
ocasionado.
Hay que estar conscientes de la probabilidad de que surjan los problemas, con
el fin de desarrollar medidas o planes de accin adecuados. Tomar en
consideracin los programas existentes, evaluar de cada uno las amenazas que
se puedan presentar y tratar de minimizar estos riesgos, bajo medidas adecuadas
y efectivas.
Metodologas de Evaluacin de Riesgos
La metodologa MAGERIT es una de las ms utilizadas ya que se

encuentra en espaol. MAGERIT est basado en tres submodelos. Los
submodelos son:
1. Submodelo de elementos: Es este se clasifican 6 elementos bsicos que son:

activos, amenazas, vulnerabilidades, impacto, riesgo, salvaguarda.
2. Submodelo de eventos: Aqu se clasifican los elementos anteriores en tres

formas: dinmico fsico, dinmico organizativo y esttico.
3. Submodelo de procesos: Se definen en 4 etapas: anlisis de riesgo,

planificacin, gestin de riesgo y seleccin de salvaguardas.
La metodologa OCTAVE est compuesta en tres fases:
1. Visin de organizacin: Donde se definen los siguientes elementos: activos,

vulnerabilidades de organizacin, amenazas, exigencias de seguridad y normas
existentes.
2. Visin tecnolgica: se clasifican en dos componentes o elementos:

componentes claves y vulnerabilidades tcnicas.
38
3. Planificacin de las medidas y reduccin de los riesgos: se clasifican en los
siguientes elementos: evaluacin de los riesgos, estrategia de proteccin,
ponderacin de los riesgos y plano de reduccin de los riesgos.
La Metodologa NIST SP 800-30 est compuesta por 9 pasos bsicos para

el anlisis de riesgo:
1. Caracterizacin del sistema.
2. Identificacin de amenazas.
3. Identificacin de vulnerabilidades.
4. Control de anlisis.
5. Determinacin del riesgo.
6. Anlisis de impacto.
7. Determinacin del riesgo.
8. Recomendaciones de control.
9. Resultado de la implementacin o documentacin.
Mehari
Diagnstico de Seguridad
Anlisis de los Intereses Implicados por la Seguridad
Anlisis de Riesgos
39
11.4.4 Importancia de la seguridad
Como ya se ha tratado en varios apartes del documento la seguridad de la

informacin es un elemento importante para las organizaciones, por eso se debe
continuar esta lnea de investigacin con la opinin de algunos autores que han
investigado sobre el tema.
El autor Mediavilla Manuel (1998) menciona que: La seguridad hoy en da
es uno de los principales problemas encontrados en el rea informtica, cuando se
habla de seguridad por lo general se piensa en un trmino privacidad de la
informacin en el cual se pueden incluir aspectos tales como: contraseas,
accesos a la informacin, mensajes cifrados y en definitiva, todo lo relacionado
con la proteccin y confiabilidad de los datos.
El autor Mediavilla menciona que tambin se tienen que considerar otros aspectos
como son: la privacidad, la integridad y disponibilidad (p.15)
De acuerdo a lo anterior mediante el estudio realizado en campo se observ

que a pesar que la seguridad es uno de los principales problemas y que cada da
es ms crtico el tema por el avance tecnolgico, se detect que las instituciones
de educacin superior no le han dado gran importancia a la seguridad y la
manejan de acuerdo a la necesidad sin tomar la medidas correctas para proteger
su informacin, y le dan poca relevancia a stas.
Para Jess Minguet (1994) La informtica debe concebirse en un sentido

amplio y con un carcter propio. Si bien no existe una definicin precisa del
alcance de esta disciplina, es importante sealar que la misma ha surgido como
una convergencia durante varias dcadas entre las telecomunicaciones, las
ciencias de la computacin y la microelectrnica, incorporando a su vez conceptos
y tcnicas de la ingeniera, la administracin, la psicologa y la filosofa, entre otras
disciplinas. Algunas reas de la informtica como es la de la inteligencia artificial
tienen una estrecha relacin con los algoritmos de bsqueda y de optimizacin de
40
la investigacin de operaciones y con los conceptos de psicologa cognitiva. (p.
39)
Se puede, por lo tanto tambin detallar que hay que tomar la seguridad ms
en serio ya que est en juego la informacin y los equipos lo que se refleja en un
tema financiero crtico para las instituciones.
11.4.5 Funciones de la seguridad informtica
Hay que tener en cuenta que la seguridad informtica est en estrecha relacin
con la forma, modo o lugar en que se emplea, de all que sea importante traer a
colacin a tres autores que se han ido identificando con el tema.
Mediavilla Manuel (1998) Dentro de las funciones que se refieren a la

seguridad informtica tenemos:
Planear y establecer estrategias de seguridad informtica de acuerdo a

lineamientos principios y necesidades institucionales.
Contar con un sistema de informacin estadstico para dar seguimiento

a los proyectos y planes de accin con el fin de garantizar dentro de la
institucin su implantacin control y seguimiento.
Definir, elaborar, liberar, difundir y actualizar polticas y normas de

seguridad informtica que permitan a las reas de la organizacin
implantar y fortalecer mecanismos de proteccin de la informacin.
41
Realizar campaas de capacitacin, difusin y concientizacin que
eleven el nivel de recepcin, entendimiento y conocimiento del personal
en general sobre la materia.
Realizar diagnsticos y evaluaciones de seguridad informtica para

identificar y minimizar los riesgos en los diferentes niveles funcionales,
operativos y de sistema.
Mantener la actualizacin sobre los avances tecnolgicos en este

campo, con el fin fortalecer esquemas de proteccin en la organizacin.
(pp. 102, 103)
De acuerdo con las entrevistas y las encuestas aplicadas en las

Instituciones de educacin superior se puede concluir que ninguna planea
estrategias de acuerdo a sus necesidades tecnolgicas, no se establecen polticas
de seguridad de acuerdo a lo mencionado y si las tienen implementadas no siguen
una norma de estandarizacin como la ISO 27000 y la ISO 17000, tampoco se
evidencio que tuviesen un sistema de auditoria implementado, ni se realizan
diagnsticos de riesgos y finalmente las que poseen un mnimo de seguridad, no
realizan campaas de capacitacin entre los integrantes administrativos y
acadmicos de la institucin.
Segn Herrera Reyna (1994) La funcin centralizada: Permite un mejor

control y desempeo de las funciones de seguridad informtica, sin embargo, este
esquema tambin suele generar algunos roces con otras reas de la empresa,
particularmente con el rea de Sistemas.
Entre las existentes, es una de las mejores opciones para reas donde el
control resulta esencial aunque se tenga que sacrificar algo de desempeo en
produccin a costa de una mejor vigilancia. Algunos sectores donde este
42
esquema puede ser benfico son: Financiero, Farmacutico, Salud, Gobierno,
Organismos Militares y Organismos Policiales.
Tambin se puede hacer referencia a la Funcin Distribuida, pues en

algunas organizaciones es relevante distribuir la funcin de la seguridad, pues de
esta manera se da un mejor desempeo operativo a costa de menor control y
desempeo en la seguridad informtica.
A consideracin de Anderson, (2001) "Existen tres caractersticas

fundamentales asociadas con el mercado de tecnologas de informacin.
El valor de un producto para un usuario depende de cuntos exitosamente
lo han adoptado.
La tecnologa tiene altos costos fijos y bajos costos marginales.
Existen frecuentemente altos costos para los usuarios con el cambio de
tecnologas.
Dichas caractersticas establecen una competencia de los proveedores por

conquistar segmentos de mercado importantes, sabiendo que el ganador se lleva
todo. Pero la pregunta es: Quin es el beneficiado de esta dinmica? La
empresa? El mercado de productos?
La seguridad informtica, no es ajena a estas caractersticas propias del

mercado de TI, pues, como se coment previamente, el hardware, el software y
los servicios especializados, son parte de la dinmica de la funcin de seguridad
informtica en las organizaciones.
Po ese es importante resaltar que la seguridad de la informacin no se

consigue con una inversin costosa, es necesario una serie de componentes y un
proceso que de acuerdo como se plantee puede tener una relacin costo beneficio
favorable o desfavorable para las organizaciones.
43
La inversin en seguridad informtica es un reto para los encargados de
este tema en las organizaciones. Surgen preguntas alrededor del tema de
presupuesto, impacto y retorno de la inversin que en la actualidad causan revuelo
y establecen muchos interrogantes para aquellos que se halla en la tarea de
justificar presupuestos de seguridad informtica. (p.86)
De acuerdo a lo anterior, se puede establecer que las funciones de la

seguridad informtica se dividirn de acuerdo al orden en el que se empleen, sin
embargo, cualquier organizacin o empresa debe hacer un anlisis bsico de cul
es problema y cules los conflictos potenciales para poner en marcha un plan de
contingencia.
11.4.6 Polticas generales de seguridad
Las polticas de seguridad deben, principalmente, enfocarse a los usuarios: una

poltica de seguridad informtica es una forma de comunicarse con los usuarios y
los gerentes. Indican a las personas cmo actuar frente a los recursos
informticos de la empresa, y sobre todo, no son un conjunto de sanciones, sino
ms bien una descripcin de aquello valioso que deseamos proteger y por qu.
11.4.6.1 Elementos de una poltica de seguridad informtica
Si las decisiones tomadas en relacin a la seguridad, dependen de las PSI

(Polticas de Seguridad Informticas), cada persona debe estar en disposicin de
aportar lo necesario para poder llegar a una conclusin correcta de las cosas que
son importantes en una empresa y en cualquier institucin de educacin superior,
que deben ser protegidas. Es por esto que una PSI debe tener los siguientes
elementos:
44
Rango de accin de las polticas. Esto se refiere a las personas sobre
las cuales se posa la ley, as como los sistemas a los que afecta.
Reconocimiento de la informacin como uno de los principales activos

de la empresa.
Objetivo principal de la poltica y objetivos secundarios de la misma. Si

se hace referencia a un elemento particular, hacer una descripcin de
dicho elemento.
Responsabilidades generales de los miembros y sistemas de la

empresa.
Cmo la poltica cubre ciertos dispositivos y sistemas, estos deben tener
un mnimo nivel de seguridad. Se debe definir este umbral mnimo.
Explicacin de lo que se considera una violacin y sus repercusiones

ante el no cumplimiento de las normas.
Responsabilidad que tienen los usuarios frente a la informacin a la que

tienen acceso.
Se puede aadir que es muy importante tener en cuenta estos elementos a

la hora de establecer las polticas de seguridad, siendo estas unas pautas
fundamentales para unas buenas prcticas de la proteccin de la informacin
en los entornos tecnolgicos. De igual manera es importante conocer las
caractersticas y las recomendaciones para lograr el objetivo.
45
11.4.6.2 Caractersticas de las PSI
Siempre se debe tener en cuenta cules son las expectativas de la

organizacin frente a las PSI, qu es lo que espera de ellas en cuanto a
seguridad y eficacia.
Siempre que se redacten, las PSI deben permanecer libres de tecnicismos

que dificulten su comprensin por parte de cualquier persona de la
organizacin.
Cada poltica redactada, debe explicar por qu se toma dicha decisin y por
qu se protegen esos servicios o conocimientos particulares
Toda PSI debe ser vigilada por un ente, una autoridad, que la haga cumplir
y apique los correctivos necesarios. Sin embargo, no debe confundirse una PSI
con una ley, y no debe verse como tal.
As como las caractersticas y elementos de una empresa cambian, tambin

deben hacerlo las PSI, por lo que debe tenerse en cuenta, al redactarlas, que
deben establecer un esquema de actualizacin constante, que dependa de las
caractersticas de la organizacin.
No hay nada obvio. Se debe ser explcito y concreto en cuanto a los

alcances y propuestas de seguridad. Esto evita gran cantidad de malos
entendidos, y abre el camino para el establecimiento de la poltica de seguridad
especfica.
11.4.6.3 Recomendaciones para las PSI
46
Antes que nada, se debe hacer una evaluacin de riesgos informticos, para
valorar los elementos sobre los cuales sern aplicadas las PSI.
Luego, deben involucrarse, en cada elemento valorado, la entidad que

maneja o posee el recurso, ya que ellos son los que tienen el conocimiento y la
experiencia manejando ese elemento particular.
Despus de valorar los elementos e involucrar al personal, debe explicarles

cuales son las ventajas de establecer PSI sobre los elementos valorados, as
como los riesgos a los cuales estn expuestos y las responsabilidades que les
sern otorgadas.
El siguiente paso es determinar quines son las personas que dan las
rdenes sobre los elementos valorados en la empresa. Ellos deben conocer el
proceso de las PSI, ya que sobre ellos recae la responsabilidad de los activos
crticos.
Finalmente, deben crearse mecanismos para monitorear a los elementos

valorados, las personas involucradas y los altos mandos directores de los
elementos. Esto con el objetivo de actualizar fcilmente las PSI cuando sea
necesario.
11.4.6.4 Puesta en marcha de una poltica de seguridad
Una buena poltica de seguridad debe asegurar que el acceso a la informacin

slo pueda realizarse por aquellos que tengan permiso de acceso a los datos,
contar con unas buenas herramientas de control para los mismos y poseer la
identificacin correspondiente.
47
Al momento de realizar una poltica de seguridad se debe tener en cuenta
algunos aspectos tales como:
Elaboracin de procedimientos y reglas, para cada servicio que se presente

y de acuerdo al servicio prestado por la organizacin.
Definir las acciones necesarias y el personal encargado para evitar una
posible intrusin.
Ofrecer sensibilizacin a quienes operen estos sistemas para que tengan
capacidad de detectar posibles problemas de seguridad.
La declaracin de la poltica de seguridad es una declaracin de propsito

general a nivel superior para la administracin superior, es similar a una
declaracin de la misin orientada a la seguridad. Su intento es demostrar el
compromiso de la administracin superior con las metas de seguridad de la
informacin, y, por lo tanto, autoriza la estructura de organizacin de la seguridad.
(Daltabuit, Hernndez, Malln& Vsquez, 2007, p. 313)
Para que un sistema est seguro, se debe contar con algunos servicios de
seguridad, que nos ayuden a minimizar los riesgos de fuga de informacin, sin
embargo, implementar cada uno de estos servicios en un hardware diferente,
implicas gastos y muchas horas de trabajo. Afortunadamente en la actualidad se
cuenta con appliances o utm's las cuales se caracterizan por ofrecer todos los
servicios de seguridad en un solo equipo.
En cuanto a lo anterior es fundamental seguir estos procedimientos que

hacen parte de una buena implementacin de las polticas de seguridad, de esta
manera orientando a los encargados en establecer unas buenas prcticas de
seguridad en las instituciones de educacin superior.
48
Lo postulado con antelacin ayudar a mitigar los problemas causados por
el abordaje en cuanto a esta temtica, cabe resaltar que esto no reducir en 100%
los factores externos como son los ataques y amenazas.
11.4.7 Protocolos
Segn la RAE el significado del trmino protocolo, es un conjunto de normas,

reglas, o procedimientos para la elaboracin de una poltica o estndar. Es un
acuerdo entre dos o ms partes para realizar algo especfico.
Un protocolo tiene las siguientes caractersticas:
El protocolo resuelve un cierto problema o produce un cierto resultado.

El protocolo consiste de una serie de pasos bien definidos, en este
contexto, significa que el protocolo cubre todas las posibles situaciones
que pueden surgir durante su ejecucin. En todo momento debe ser
claro lo que hay que hacer a continuacin.
Los pasos tienen que ser conocidos con anticipacin; adems, el
protocolo debe, finalmente, terminar. Cuando todos los pasos se hayan
seguido exactamente, el problema dado tiene que haber sido resuelto.
El protocolo involucra a dos o ms partes.
Todas las partes involucradas conocen el protocolo y estn de acuerdo
en seguirlo.
El protocolo define claramente lo que cada parte gana o expone con su
ejecucin.
El Protocolo se puede definir como el conjunto de normas y
disposiciones legales vigentes que, junto a los usos, costumbres y
tradiciones de los pueblos, rige la celebracin de los actos oficiales y, en
otros muchos casos, la celebracin de actos de carcter privado que
49
toman como referencia todas estas disposiciones, usos, tradiciones y
costumbres.
Pero el protocolo tiene que complementarse para cubrir todas las

necesidades que requieren el conjunto de actividades que tienen lugar cuando en
los actos oficiales se realizan otra serie de actividades que se deben regular y
organizar. (Vsquez; Rodrguez, 2010, p. 1)
Tipos de protocolos
Los protocolos, en general, consisten en desligar el proceso a seguir para realizar

una determinada tarea del mecanismo y herramientas concretas utilizadas; en
resumen, todo protocolo slo especifica las reglas de comportamiento a seguir.
Existen diferentes tipos de protocolos en los que intervienen terceras partes
confiables: (Regueiro, 2009)
Arbitrados.
Un protocolo arbitrado se basa en una tercera parte confiable para realizarse. El

rbitro no tiene ningn tipo y forma de preferencia por ninguna de las partes
involucradas. En la vida real es el papel que debe jugar un juez.
Adjudicados.
Los protocolos adjudicados son una variante de los arbitrados. Tambin se basan
en una tercera parte confiable, pero esta parte, sin embargo, no siempre es
requerida.
50
Auto implementado
Estos son los mejores protocolos. Se disean de tal manera que hacen
virtualmente imposible el engao. No requieren ni arbitro ni juez. Garantizan lo
siguiente: si cualquier participante en el protocolo engaa, el engao es
descubierto inmediatamente por el otro u otros participantes.
A travs de este recorrido se puede determinar que la proteccin a diversos

ataques es fundamental, de all que implementar un protocolo de seguridad sea un
arma efectiva, ya que se podr tener un punto de referencia a la hora de
implementar un plan de seguridad informtica en las universidades de Risaralda,
que permita mitigar este dificultad y masificar su implementacin.
Los problemas que en la actualidad se han venido presentando y cada vez

con mayor frecuencia, especialmente por la pobre implementacin de seguridad
en los activos informticos y las inadecuadas prcticas de polticas de seguridad,
lo que las deja expuestas a una posible infiltracin de sus sistemas, ya que no
cuentan con un punto de referencia que los gue a la hora de realizar un adecuado
sistema de seguridad.
Las universidades de Risaralda deben percatarse de la importancia de

implementar dentro de su infraestructura unas buenas polticas de seguridad, es
necesario que sean ms rigurosos a la hora de tomar decisiones acerca de la
necesidad de adquirir unas buenas prcticas de seguridad, adems es un deber
analizar las posibles consecuencias que pueden generarse en torno a la integridad
y la confidencialidad de sus datos.
Todos estos problemas son motivados especialmente por el poco

conocimiento que sobre el tema de seguridad informtica que se tiene, esto de
acuerdo a lo que se pudo indagar en las universidades de la regin mediante
51
encuestas y entrevistas. Son muy pocas las entidades que se dedican a la
prestacin de este servicio, y quienes la prestan no han evolucionado al ritmo en
cmo estn evolucionando estos peligros de seguridad informtica.
52
12 MODELOS TERICOS
12.1 Sistema de Gestin de la Seguridad de Informacin (SGSI)
Sistema de gestin de la seguridad de la informacin, una herramienta de gran

utilidad y de importante ayuda para la gestin de las organizaciones. Estos
sistemas nombrados en la Norma ISO/IEC 27001 incorporan el modelo PDCA 1
como mtodo de enfoque de mejora continua.
12.1.1 Modelo PDCA
5 Modelo PDCA
1
PDCA por sus siglas en ingls Plan Do Check - Act
53
Fuente:
http://www.inteco.es/Formacion/SGSI/Conceptos_Basicos/Modelos_PDCA_SG
SI/
Planificar:
Definir el alcance del SGSI
Definir la poltica de seguridad
Elegir la metodologa de evaluacin de riesgos
Realizacin del inventario de activos
Identificar amenazas y vulnerabilidades
Identificar impactos
Anlisis y evaluacin del riesgo
Seleccin de controles
Ejecutar:
Definir plan de tratamiento de los riesgos
Implantar plan de tratamiento de riesgos
Implementar los controles
Formacin y concienciacin
Operar el SGSI
Verificar:
Revisar el SGSI
Medir eficacia de los controles
Revisar riesgos residuales
Realizar auditoras internas del SGSI
Registrar acciones y eventos
Actuar
Implantar mejoras
54
Acciones correctivas
Acciones preventivas
Acciones de mejora
Comprobar eficacia de las mejoras
12.1.2 Otra proposicin de una forma de realizar el anlisis para llevar a cabo un
sistema de seguridad informtica
Fuente (Curso Sena Redes y Seguridad, 2012)
Antes que nada, se crea una base de anlisis para el sistema de seguridad, que
est basada en varios elementos:
Factor humano de la empresa

Mecanismos y procedimientos con que cuenta la empresa
Ambiente en que se desenvuelve la organizacin
55
Consecuencias posibles si falla la seguridad de la empresa
Amenazas posibles de la empresa.
Luego de evaluar este conjunto de elementos, que conforman la base del anlisis
del sistema de seguridad se procede a realizar el programa de seguridad, el cual
contiene todos los pasos a tomar para definir la seguridad deseada. Luego de
terminar este programa, se pasa al plan de accin, que posee todas las acciones a
llevar a cabo para implantar el programa de seguridad.
A continuacin se procede a crear un manual de procedimientos y normativas, que

sern en suma la forma como cada elemento del programa debe ser aplicado en
el elemento correspondiente, y las acciones a ejecutar luego de infringida una
norma. Mientras los programas de seguridad, plan de accin y procedimientos son
llevados a cabo, se debe ejercer un control y vigilancia de cada uno de ellos, para
asegurar su realizacin. Este control debe ser auditado, con el propsito de
generar los logfiles o archivos de evidencias, que pueden ser revisados en
cualquier momento para analizar la auditoria en la que fue llevado a cabo el
control y poder generar cualquier cambio. La auditada realizada tambin sirve para
generar simulaciones que permitan probar el sistema. Estas simulaciones pasan
por una revisin que da fe del desempeo de las polticas de seguridad, y ayudan
a modificar las bases del anlisis, as como el programa, el plan y las normativas
de seguridad.
Se va utilizar el Modelo PDCA pero teniendo en cuenta la primera parte del

modelo del Sena que es un insumo muy importante ya que aplica a las
instituciones de educacin superior. Adems tiene en cuenta todos los factores
iniciales importantes para una universidad.
56
13 CONCRECIN DEL MODELO
13.1 Metodologa utilizada
Para el desarrollo del objetivo general del proyecto es necesario abordar unos
puntos especficos con acciones que se definirn a continuacin.
1. Documentar y consultar sobre seguridad informtica.
Para la documentacin e indagacin o consulta de todos los conceptos

relacionados sobre seguridad informtica, amenazas, vulnerabilidades,
ataques, polticas de Seguridad se van a realizar consultas en fuentes
confiables como libros y artculos de revistas reconocidas, adems se
busc apoyo en trabajos de grado relacionados con el tema realizado en
diferentes universidades.
Para cumplir el objetivo se utiliz un recurso gratuito, un curso virtual de 40

horas denominado Redes y Seguridad impartido por el Servicio Nacional
de aprendizaje (Sena), el cual entreg una vez concretado a la respectiva
certificacin y que dio acceso a todo el material de estudio que ser de gran
ayuda en el desarrollo del protocolo.
2. Identificar los principales aspectos vulnerables de un sistema de seguridad

informtica.
Con base en las consultas hechas es necesario identificar las diferentes

partes crticas en las cuales se puede vulnerar la seguridad de un sistema:
como los puntos de red, las redes inalmbricas, la pgina web, las salas de
57
sistemas, el acceso al data center, la cantidad de estudiantes y
trabajadores para as poder establecer los principales pasos de un
protocolo de poltica de seguridad informtica.
Las amenazas que se pueden surgir y las vulnerabilidades que se den por
el descuido de lo anterior, abren paso a que los atacantes las exploten ya
que es sabido que no hay un sistema 100% efectivo, por lo cual es
indispensable tener estos puntos crticos controlados por la inmensa
cantidad de incidencias del exterior y del interior de las empresas o
universidades.
3. Distinguir la informacin y aplicaciones de los sistemas informticos utilizados

en las universidades de Risaralda.
El alcance de ste proyecto est delimitado para las instituciones de

educacin superior de Risaralda. Se ha tomado una muestra de 4
Universidades las cuales son las ms reconocidas a nivel regional por su
trayectoria adems por la facilidad de acceso a su informacin, tambin, en
cuanto a cantidad de estudiantes, facultades y dependencias por lo que
sus aplicaciones e implementaciones en cuanto a seguridad informtica
tienen mucha validez a la hora de ser tomadas como base para la
formulacin del protocolo. Las siguientes son las universidades escogidas:
Universidad Catlica de Pereira

Universidad Tecnolgica de Pereira
Fundacin Universitaria del rea Andina
Universidad Libre de Pereira
58
Es importante conocer en el sector productivo cules son las tcnicas
utilizadas en cuanto a la seguridad informtica, estas deben ser muy
rigurosas por la criticidad de su activo principal que es la informacin y
cuentan con polticas de seguridad informticas que pueden servir de base
para la formulacin del protocolo porque son aplicables a cualquier
empresa o institucin de educacin superior. stas son las empresas a las
cuales se pudo obtener acceso al rea de sistemas y conocer sus polticas.
o Media Commerce Telecomunicaciones

o Fiscala general de La Nacin
Es entonces aqu donde se definen las acciones que se van a tomar en cuanto a
las universidades y empresas escogidas para conocer y analizar su informacin y
los sistemas de seguridad informticos implementados por ellas:
Encuesta a la comunidad acadmica de diferentes programas

Encuesta a personal administrativo
Entrevista a las persona encargada del rea de sistemas de las
universidades
4. Proponer un paso a paso para elaborar las polticas de seguridad informtica.
Lo que se debe determinar primero es la informacin manejada por las

instituciones de educacin superior y darles una clasificacin. Por ejemplo:
el sistema Financiero, sistema de registro y control, Sistema documental de
las bibliotecas, los repositorios institucionales con sus usuarios con base en
las indagaciones hechas en las instituciones. Se deben conocer las
59
plataformas tecnolgicas utilizadas (Software, Hardware, redes y
comunicaciones).
Con sta informacin ya clara, hay que analizar y establecer las amenazas
y vulnerabilidades a la que estos sistemas estn expuestos, al momento de
un ataque informtico.
Una vez obtenida la documentacin acerca de las instituciones de

educacin superior y las amenazas posibles a sus sistemas de informacin
de acuerdo a toda la indagacin anteriormente realizada se debe plantear
las mejores prcticas para elaborar polticas de seguridad informtica.
Todo esto se convertir en una gua o protocolo que pueden seguir las
universidades para asegurar su informacin, desde como determinar los activos, la
informacin, sus sistemas y plataforma tecnolgica, como identificar las
amenazas, vulnerabilidades y ataques que pueden tener hasta observar los
mtodos para elaborar una buena poltica de seguridad completa que mitigue al
mnimo el riesgo de tener ofensivas a sus sistemas de informacin.
60
13.2 Resultados de las encuestas y entrevistas
Los sondeos indicaron claramente en un gran porcentaje que tanto la comunidad

acadmica como la parte administrativa no consideran de alta importancia la
seguridad informtica, o no saben sobre el tema, al igual que la informacin que
se maneja dentro de las redes no es exclusivamente acadmica, si no de carcter
personal. As como las actividades desarrolladas suelen ser diferentes de los
temas de estudio, por ejemplo Redes Sociales, Descargas de informacin
(Msica, juegos entre otros) lo que claramente incrementan los riesgos y posibles
amenazas ya estudiadas con anterioridad.
Esto nos indica algo que se confirma durante el estudio, la comunidad en

general no conoce siquiera si hay polticas de seguridad informtica
implementadas, si hay reglas claras que se deben cumplir cuando se est en la
red o se utilizan los recursos de las instituciones por lo que cualitativamente los
encuestados respondieron en general que No nos sentimos seguros, es decir no
conocen las pautas claras que deben haber y se sienten en riesgo al navegar
sobre los sistemas de la universidad, los resultados fueron prcticamente los
mismos en todas las instituciones de educacin superior objeto de estudio.
Se va a mencionar los resultados de las preguntas ms relevantes para el

proyecto de la comunidad acadmica:
A la pregunta si conoce o ha escuchado sobre Seguridad Informtica?
53%
52%
51%
50%
49% 52,500%
48%
47% 6 Resultados Pregunta 1
46% 47,500% Acadmicos
45%
61
Si No
Se puede apreciar que ms de la mitad de los estudiantes de todas las
universidades no sabe sobre el tema.
A la pregunta Qu tan importante les parece la seguridad informtica?
7 Resultados Pregunta 2 Acadmicos
No todas las personas consideran de gran importancia la seguridad que debe

ser primordial.
A la pregunta en qu actividades se desempea con los recursos

informticos de la universidad?
120%
98%
100%
78%
80% 70%
60%
38%
40%
25%
20%
0%
Estudio Redes sociales Descargar Musica Juegos en linea
informacin
8 Resultados Pregunta 8 Acadmicos
62
Se puede observar que no solo dentro de la red de la universidad se utilizan los
recursos para estudio, tambin para otras actividades que pueden acrecentar los
peligros de ataques informticos.
A la pregunta sobre si conocen las polticas de seguridad implementadas

por la universidad?
9 Resultados pregunta 14 Acadmicos
Ninguno de los estudiantes encuestados sabe si hay polticas por parte de la

institucin, lo que demuestra que si las hay, no se estn difundiendo
adecuadamente a la comunidad acadmica.
Resultados de las preguntas ms relevantes para el proyecto de la parte

administrativa:
A la pregunta si conoce o ha escuchado sobre Seguridad Informtica?
63
10 Resultados pregunta 1 Administrativos
En este punto los empleados de las instituciones han escuchado un poco ms
sobre el tema.
A la pregunta Qu tan importante les parece la seguridad informtica?
Nuevamente no se le da la importancia necesaria a tener proteccin sobre los

sistemas informticos por parte de la mayora del personal administrativo.
A la pregunta sobre si conocen las polticas de seguridad implementadas

por las universidades?
64
En sta pregunta se denota que un 93% de los encuestados de las reas
administrativas de las instituciones no conocen las polticas de seguridad
informtica, lo que acarrea que no las implementen y aumenten los riesgos.
En las entrevistas a los encargados del rea de sistemas tambin se pudo

detectar que no se ha hecho un modelo establecido, lo que est implementado
se ha desarrollado a partir de consultas autnomas realizados por las personas
encargadas, adems de trabajos de grado relacionados, pero no se est siguiendo
al pie de la letra una norma como las ya estudiadas ISO 27000, ISO 17000.
Aunque s se le da la importancia requerida y se estn investigando cada da
tendencias y tecnologas actuales las cuales se puedan implementar.
Se puede mencionar que algunas instituciones ya estn en proceso de

implementar la norma ISO 27000, se han adelantado estudios sobre ITIL.
Cabe aclarar que la informacin recolectada es de manera confidencial

concertada con las personas entrevistadas por lo que no se dar a conocer los
resultados explcitos, pero si se pueden sacar algunas conclusiones:
Las polticas son desarrolladas por el rea de sistemas, no se han

contratado personas o empresas expertas en el tema.
Continuamente se estn investigando las tendencias, nuevas amenazas,

ataques y nuevas formas de proteccin.
En las instituciones s consideran importante la seguridad informtica.
En las universidades ya han ocurrido incidentes como prdida de

informacin por los altos riesgos a los que se exponen.
65
Se debe mencionar que las muestras no han sido muy representativas, pero se
escogi aleatoriamente buscando en todos los programas y dependencias, ya que
la intencin es conocer la opinin sobre la seguridad en las universidades. Lo
realmente importante del estudio fueron las entrevistas a las personas encargadas
del departamento de sistemas con un tipo semiabierto, es decir, preguntas
cerradas y otras abiertas con acompaamiento de los investigadores.
El pblico objetivo de las entrevistas fueron los jefes de cada rea de sistemas
y eventualmente colaboradores en el departamento de las 4 universidades
escogidas, Universidad Catlica de Pereira, Universidad Tecnolgica de Pereira,
Universidad Libre de Pereira, Fundacin Universitaria del rea Andina. De igual
manera las encuestas se disearon para otros dos pblicos as:
Comunidad Acadmica: Estudiantes y Profesores, escogidos al azar pero

velando que fueran de diferentes carreras.
Personal Administrativo: Empleados de las universidades de diferentes

departamentos, como tesorera, contabilidad, secretaras de facultades. Entre
otros.
Un resumen del total del trabajo de campo.
Encuesta
Universidad Entrevistas Acadmica Encuesta Administrativa
Universidad Catlica de Pereira 2 20 10
Universidad Libre de Pereira 1 20 10
Universidad Tecnolgica de Pereira 1 20 10
Fundacin Universitaria de rea Andina 1 20 10
4 Total Entrevistas y Encuestas
66
13.3 Proposicin del protocolo para elaborar polticas de seguridad informtica
DEFINICIN DEL PROTOCOLO DE SEGURIDAD INFORMTICA PARA LAS

INSTITUCIONES DE EDUCACIN SUPERIOR
El incremento de ataques cibernticos en todos los sectores, el crecimiento de

manejo de informacin y transacciones en lnea y las malas prcticas de
seguridad informtica hacen que cada vez la informacin sea ms vulnerable a
amenazas y riesgos de perdida de informacin.
De lo anterior se concluye que las instituciones de educacin superior no estn

exentas a esto y en su estructura manejan dos actores muy importantes como lo
son la parte administrativa que es donde est la informacin crtica de las
instituciones , en la cual se deben establecer una serie de restricciones
considerables y la parte acadmica donde se debe prestar un buen servicio,
teniendo en cuenta que una de las reglas de la seguridad informtica es que la
seguridad no puede ir en contra de la disponibilidad. Por tendencias actuales, los
recursos y la estructura de las redes deben estar unidas fsicamente, siguiendo
este parmetro tan significativo se va a desarrollar un protocolo, con el cual
cualquier institucin de educacin superior pueda implementar por lo menos un
mnimo de seguridad en toda su infraestructura tecnolgica, lo que hace que este
protocolo este diseado especficamente para esta situacin sin ser esto un bice
para que se aplique a otro tipo de institucin.
Para empezar se realizaron una serie de encuestas y entrevistas en las

instituciones de educacin superior de Pereira para evaluar el estado actual de la
seguridad y el concomimiento de la misma, dando como resultado que en la
mayora de las universidades no existe un comprensin real de seguridad
informtica y lo que se ha hecho de implementacin de seguridad es mnimo.
67
Que no hay unas buenas prcticas de seguridad implementadas en todas las
instituciones ni un conocimiento por parte del personal acadmico y administrativo.
Pasos definidos en el protocolo:
1. Normatividad:
Se debe seleccionar el tipo de normatividad a seguir para garantizar la
seguridad informtica, se recomienda utilizar la Norma ISO 17000 y la
27000 ya que una es complemento de la otra. La Norma 17000 establece
los requisitos especficos que cada organismo debe cumplir para demostrar
su competencia tcnica. Un requisito de esta norma es el sistema de
gestin de calidad, la norma ISO 27000 consiste en una serie de
documentos referentes a gestin de seguridad de la informacin.
Las instituciones deben revisar los servicios que se prestan tanto a nivel
acadmico como a nivel administrativo. Algunos servicios que se prestan
en las instituciones por la parte acadmica son: Pagina Web, matrcula en
lnea, consulta de notas en lnea, correo institucional, inscripcin de
materias en lnea y por la parte administrativa: servicio de conexin a mi
planilla, servicio de terminal virtual, entre otros. Se debe realizar un modelo
donde describa la aplicacin, su uso, el nivel de importancia, los usuarios
que acceden a ella, su disponibilidad, los riesgos, puntos de control y
responsable entre otras caractersticas.
2. Inventario de recursos (Hardware, software y comunicaciones):

Las instituciones deben realizar un inventario de sus recursos tecnolgicos
a nivel de hardware, software y de comunicacin. Algunas recursos en las
instituciones: Hardware: servidores, computadores, impresoras, puntos de
red, switches, routers, access point. Software: Aplicaciones utilizadas para
el manejo de informacin, conexiones e implementacin de plataforma
68
tecnolgica. Comunicaciones: UTM2, firewall, antivirus, tipo de conexin a
internet.
Para este punto es adecuado realizar una serie de tablas de aclaraciones

sobre los recursos prestados por la institucin, se anexa un ejemplo a
seguir:
Piso Disco Memoria

Bloque Nro. Nro. Oficina Dependencia Nro. Serial Duro RAM Procesador Unidad Responsable
personal de
Nombre de la sistemas y
Nombre del Nro. de la dependencia a Nro. serial administrativo
bloque o del oficina o del la que de los DVD- CD- (nombres y
campus 2 saln pertenece equipos 80 GB 2 MB Intel, Amd Micro SD apellidos)
personal de
sistemas y
Nro. serial administrativo
de los DVD- CD- (nombres y
Kabai 3 315 Sistemas equipos 1 TB 16 MB Intel Xeon Micro SD apellidos)
5 Inventario Equipos de Cmputo
Piso
Bloque Nro. Nro. Oficina Dependencia Nro. Serial Equipo Marca Responsable
personal de
Nombre de la sistemas y
Nombre del Nro. de la dependencia a Nro. serial Impresoras, Nombre administrativo
bloque o del oficina o del la que de los Scanner, del (nombres y
campus 1 saln pertenece equipos Telfonos IP fabricante apellidos)
personal de
sistemas y
administrativo
(nombres y
Nro. serial
apellidos)
de los
Biblioteca 1 105 Biblioteca equipos Scanner HP
6 Inventario Terminales
2
Siglas de Uniefed Threat Management o en espaol Gestin Unificada de Amenazas. Es un dispositivo
Hardware utilizado en las redes de datos para proveer varios servicios de seguridad.
69
Piso Nombre de
Bloque Nro. Nro. Oficina red Nro. Serial Equipo Marca Responsable
personal de
Router, sistemas y
Nombre del Nro. de la Nro. serial Switches, Nombre administrativo
bloque o oficina o del Nombre de la de los Access Point, del (nombres y
del campus 1 saln red equipos UTM fabricante apellidos)
personal de
sistemas y
Nro. serial administrativo
Nombre de la de los (nombres y
Biblioteca 1 105 red equipos Switch 5500G 3Com apellidos)
7 Dispositivos de Red
3. Inventario de Servicios:
Para este punto es adecuado realizar una tabla de aclaraciones sobre los
servicios prestados por la institucin, se anexa un ejemplo a seguir.
Aplicacin y/o Nivel de Tipo de Riesgos ms Puntos de Responsables

Descripcin Disponibilidad
servicio importancia usuarios importantes control del servicio
ataques por
permite registrar personal de
parte de revisiones
las notas a los docentes, sistemas y
usuarios mal peridicas y
consulta de notas docentes y ser por periodos media estudiantes y administrativo
intencionados, pruebas de
consultadas por administrativos (nombres y
perdida de pen testing
los estudiantes apellidos)
informacin
permite registras
ataques por
las materias por personal de
parte de revisiones
internet a los sistemas y
matricula en estudiantes y usuarios mal peridicas y
estudiantes y ser por periodos media administrativo
lnea administrativos intencionados, pruebas de
organizado por (nombres y
perdida de pen testing
los apellidos)
informacin
administrativos
8 Inventario de Servicios
Este primer paso es muy importante porque permite tener claridad sobre
qu?, cmo? y de quin se debe proteger la informacin, as como el nivel
de importancia del riesgo y el impacto para la institucin que esta aplicacin
o servicios dejen de funcionar.
70
4. Clasificacin de usuarios:
Se deben clasificar los tipos de usuarios que van acceder a la red. Se
recomienda clasificar la parte Administrativa y la parte acadmica en dos
actores importantes.
5. Identificar riesgos y amenazas:

Se debe ejecutar una metodologa adecuada para identificar los riesgos y
amenazas de la institucin. Algunas pruebas que se recomiendan son: Pen
testing, hacking tico
6. Proteccin de los servicios:

Se debe realizar de acuerdo al resultado del paso anterior. Pero, es
importante proteger la red, los servidores y equipos de cmputo de
amenazas evidentes por lo que se debe tener en cuenta lo siguiente:
Virus y software malicioso: Se deben tener instalados antivirus en

todos los computadores de escritorio y porttiles de la institucin.
Se adjunta una tabla comparativa sobre aspectos a tener en cuenta
a la hora de elegir antivirus, publicado en la revista ACIMED,
revisado por la sociedad cubana de ciencias de la informacin
adscrito al Centro Nacional de Ciencias Mdicas
Antivirus Ventajas Desventajas

Norton 1. Es el segundo ms vendido 1. Algo dbil en la
en el mundo. deteccin de troyanos y
2. Mejor porcentaje de backdoors.
deteccin. 2. Problemas con la
3. Interfaz sencilla. instalacin en sistemas
4. Buena integracin con el infectados.
correo y los navegadores de
Internet.
5. Licencia del producto de por
vida. 71
6. Al instalarse queda con todas
las opciones habilitadas.
7. Respuesta rpida ante
nuevos virus.
McAfee 1. Falta de sencillez en la 1. Es el primero en ventas en el
interfaz, que puede mundo.
Fuente: Analsis Comparativo de Antivirus, Revista ACIMED
72
Actualizacin del Software: Se deben ejecutar las ltimas
actualizaciones en los sistemas operativos disponibles en todas las
mquinas de las instituciones.
Configurar un firewall: Es importante tener configurado los firewall

tanto en los computadores y porttiles de administrativos y
acadmicos como en servidores y equipos de acceso a la red.
Evitar correos no deseados (Spam): Es importante tener los filtros de

correo electrnico actualizado y capacitar a los usuarios sobre el
tema.
Utilizar Software legal: Se debe instalar software legal y prohibir a los

usuarios la instalacin de software que no tenga que ver con sus
actividades laborales.
Navegacin Segura: Se debe implementar un filtrado de contenido

de acuerdo a la clasificacin de usuario, se recomienda implementar
servidores proxy y capacitar al personal para que realicen
navegaciones seguras.
Directorio Activo: Es importante tenerlo en cuenta para proteger las

aplicaciones y recursos facilitando la tarea de seguridad y
funcionalidad.
7. Configuraciones de red:
Para proteger la red es recomendable alguna de estas tcnicas:
Inalmbrica:
73
Ocultar el SSID (Identificador de redes inalmbricas)
Cifrado WEB, WPA o WAP2
Se debe configurar restricciones de acceso a la red ya sea por
autenticacin de Mac, servidores radius, o por usuario y contraseas.
Segmentacin de la red por VLANS.
Firewall a nivel de red.
8. Control de acceso:
Se deben asignar roles de acceso a la informacin, controlar acceso y
salida de la informacin, generando contraseas de acceso a los
computadores, aplicaciones administrativas las cuales se recomienda que
cumplan con las siguientes caractersticas:
Tener ocho caracteres como mnimo.

No contener el nombre de usuario, el nombre real o el nombre de
la empresa.
No contener una palabra completa.
Debe ser diferente de contraseas anteriores.
Estar compuesta por caracteres de cada una de las siguientes cuatro

categoras: Letras maysculas, letras minsculas, nmeros y smbolos del
teclado.
Se debe cambiar cada 90 das como mnimo y debe ser diferente a
las anteriores.
9. Restricciones de acceso:
Se debe restringir el acceso a sitios crticos como: el data center, oficinas
administrativas, salas de sistemas; para personal autorizado, se
74
recomienda utilizar, equipos de biometra, equipos lectores de tarjetas,
lectores de cdigo de barras, equipos con claves, etc.
10. Salvaguardado de la informacin:

Se deben tener en cuenta estos pasos para mantener la informacin
segura:
Copias de seguridad: Se recomienda realizar copias de seguridad
diaria y gurdala en un sitio diferente a la institucin por lo menos
cada semana. Se recomienda utilizar discos duros externos y cintas
magnticas.
Establecer permisos: Se deben establecer permisos de acceso a la

informacin segn la funcin y responsabilidad en la institucin. Es
decir tener usuarios con distintos privilegios.
Cifrar datos confidenciales: Es importante cifrar la informacin

confidencial que se transmite por la red, con sistemas de cifrado de
datos.
Sistema de alimentacin interrumpida (SAI): Para evitar los cortes

del suministro elctrico y para filtrar los micro cortes y picos de
intensidad, que son factores impredecibles se recomienda utilizar
sistemas SAI tambin conocido como UPS.
11. Aseguracin de equipos:
75
Se debe pagar una pliza de seguro por lo menos a los equipos ms
costosos de la plataforma tecnolgica como los servidores, y equipos Core,
es decir los ms importantes dentro del sistema de informacin.
12. Socializacin de la poltica de seguridad:

Se debe realizar una socializacin para crear compromiso y conocimiento
de las polticas de seguridad implementadas en la institucin, ya sea a
travs de una reunin, comunicados o capacitaciones
13. Seguimiento de la poltica de seguridad:

Se debe hacer seguimiento en un periodo determinado, es recomendable
cada 6 meses, de evaluar cada periodo y que hay de nuevo por
implementar.
76
14 CONCLUSIONES
En las instituciones de educacin superior no se estn rigiendo por ninguna

norma de estandarizacin o modelo como lo son la norma ISO 27000 y la
norma ISO 17000 que brindan una gua para el establecimiento e
implementacin adecuada de la seguridad informtica.
Una de las principales debilidades reflejadas en la indagacin realizada en

campo mediante encuestas y entrevistas se encuentra en la falta de
procedimientos normativos y prcticos que permitan la evaluacin de
desempeo de los sistemas tecnolgicos e informticos, como lo son las
auditorias y estudios de la red para establecer los riesgos, amenazas y
vulnerabilidades presentes en estos.
Paralelamente se pudo observar que en las universidades donde hay

polticas de seguridad establecidas no se ha realizado socializaciones o
difusin de una forma adecuada ni, en la parte acadmica ni en la
administrativa lo que acarrea desconocimiento y malas prcticas en la
utilizacin de los sistemas informticos.
Por otra parte se detect que los usuarios tanto administrativos como
acadmicos no tienen claro el concepto de seguridad informtica, por
consiguiente no lo aplican. Lo anterior conlleva a que no dimensionen la
importancia del tema y los problemas que pueden ocasionar su mal uso de
los entornos tecnolgicos.
77
15 RECOMENDACIONES
Se recomienda que los departamentos de sistemas de las instituciones de

educacin superior, adopten las normas ISO 17000 y 27000 para
implementar su sistema de seguridad
La comunidad en general no est enterada si su informacin est segura o

no, o de cmo protegerla. Es por esto que las polticas implementadas y las
nuevas a realizar deben ser socializadas ampliamente a todas las partes
involucradas, de ser necesario con capacitaciones peridicamente.
Cabe sealar que es importante al momento de establecer una poltica de

seguridad realizar un estudio de los activos y los servicios de la institucin
para as tener un panorama claro de que es lo que se va proteger y de la
misma manera poder proceder con unas buenas prcticas de seguridad.
78
16 REFERENCIAS BIBLIOGRFICAS
Aguilera Lpez, Purificacin. (2010) Seguridad Informtica. Madrid - Espaa:

Editex SA.
Garca, Alfonso. Hurtado Cervign. Alegre Ramos, Mara del Pilar. (2011)
Seguridad informtica. Madrid Espaa: Paraninfo SA.
Auditar Mi PC.com, "GUID - GloballyUniqueIdentifier"- Consultado el 12 de

mayo de 2012. Disponibles desde: http://www.auditmypc.com/
acronym/GUID.asp
Boone; Kurtz..(2003) Contemporary Business. New York: Times.
Borghello, Cristian. (2001) Seguridad Informtica sus implicancias e

implementacin. Bogot: Universidad Tecnolgica Nacional.
Coakes, Elayne; (2006)Clarke, Steve editors; Encyclopedia of Commnunities

of Practice in Information and Knowledge Management; 2006; Idea Group Inc.
Hershey.
Huerta, Antonio. (2000). Seguridad en Unix y redes. Espaa: Edicin.
Regueiro, Arturo. (2009). Autoridades de Certificacin y Confianza Digital.

Consultado el 4 de mayor de 2012. Disponible desde:
http://www.fundaciondike.org.ar/seguridad/firmadigital-autoridades.html
Smilor. (1993). Al-Ali, Nermien; Comprehensive Intellectual Capital

Management. Step by Step, 2003; John Wiley & Sons, Inc.New Jersey:
Hoboken.
79
Sophos, "los anlisis de virus de Sophos." Consultado el 23 de mayo de 2012.
Disponible desde: http://www.sophos.com/virusinfo/analyses/]
Summers, Rita C. (1996). Seguridad informtica: Amenazas y Salvaguardias.

Mxico: McGraw-Hill Companies.
Vsquez, Fernando; Rodrguez, Penlope. Solucin Negociada de Conflictos.

Cali; Pontificia Universidad Javeriana.
Fletscher Bocanegra, Luis Alejandro. (2007). Implementacin de

clustersbeowulf como firewall.
Gmez Guerra, John Alexis. (2007) Modelo de solucin de enrutamiento de

datos a bajo costo basado en software libre.
Garca, Alfonso. Hurtado, Cervign. Algre Ramos, Mara del Pilar. (2011).
Seguridad informtica. Espaa. Paraninfo.
Daltabuit Gods, Enrique. Hernndez Audelo, Leobardo. Malln Fullerton,

Guillermo. Vzquez Gmez, Jos de Jess. (2007) La seguridad de la
informacin. Mexico. Limusa.
Martin, Mercedes. (2008) Gua de seguridad.
Consultado el 28 de mayo de 2012. Disponible desde:

Http://www.sonicwall.com
Normas ISO 27000, 2012 Disponible en: http://www.iso27000.es/
80
Modelo PDCA ISO 27000, Instituo Uruguayo de normas tcnicas, 2012
Disponible en: http://www.unit.org.uy/iso27000/iso27000.php?&imprimir=1
Modelo PDCA, Instituto Nacional de Tecnologas de la Comunicacin, Espaa.

Disponible en:
http://www.inteco.es/Formacion/SGSI/Conceptos_Basicos/Modelos_PDCA_SG
SI/#modelo
Norma Internacional ISO/IEC 17000, 2004 Disponible en:

http://es.scribd.com/doc/75237631/Norma-Iso-iec-17000-2004-Es
81
17 GLOSARIO
Agujeros: Fallo en la seguridad de una aplicacin, sistema informtico o sitio

web, que permiten ser explotado para el hacking. Los agujeros son
considerados bugs de programacin. Los agujeros suelen corregirse en
versiones superiores de un software o sistema, pero en el caso de ser muy
riesgosos, se corrigen con la aplicacin de parches.
Backup: Se refiere a la copia de datos de tal forma que estas puedan restaurar
un sistema despus de una perdida de informacin.
Claves criptogrficas: es una pieza de informacin que controla la operacin de

un algoritmo de criptografa. Habitualmente, esta informacin es una secuencia
de nmeros o letras mediante la cual, en criptografa, se especifica la
transformacin del texto plano en texto cifrado, o viceversa.
Crackers: Persona que disea o programa los esquemas de proteccin anti

copia de los programas comerciales, que sirven para modificar el
comportamiento o ampliar la funcionalidad del software o hardware original al
que se aplican, para as poder utilizar o vender copias ilegales.
Cifrado: Encriptacin de una seal por el proveedor del programa para evitar
su uso no autorizado. La seal puede ser recuperada para ser utilizada con
autorizacin.
Cdigo malicioso: Trmino que hace referencia a cualquier conjunto de

cdigos, especialmente sentencias de programacin, que tiene un fin
malicioso. Esta definicin incluye tanto programas malignos compilados, como
82
macros y cdigos que se ejecutan directamente, como los que suelen
emplearse en las pginas web (scripts).
Continuidad del negocio: Es el resultado de la aplicacin de una metodologa

interdisciplinaria, la continuidad de las actividades crticas del negocio, en el
caso de que se presentara un evento inesperado que pudiera comprometer los
procesos y actividades importantes de la operacin de la compaa.
Contraseas: Una contrasea o password es una serie secreta de caracteres

que permite a un usuario tener acceso a un archivo, a un ordenador, o a un
programa. En sistemas multiusos, cada usuario debe incorporar su contrasea
antes de que el ordenador responda a los comandos.
Descifrado: La aplicacin inversa de un algoritmo de cifrado, que restaura los

datos a su estado original, sin cifrar.
Exploits: Programa informtico malicioso, que intenta utilizar y sacar provecho

de un bug o vulnerabilidad en otro programa o sistema. Suelen utilizar
vulnerabilidades como: desbordamiento de buffer, condicin de carrera.
Firewalls: E un elemento de software y hardware utilizado en una red para

prevenir algunos tipos de comunicaciones prohibidos segn las polticas de red
que se hayan definido en funcin de las necesidades de la organizacin
responsable de la red. La idea principal de un firewall es crear un punto de
control de la entrada y salida de trfico de una red.
Fuerza bruta: La fuerza bruta es una tcnica empleada para descubrir claves
en sistemas donde el mtodo sea posible. La fuerza bruta se implementa con
83
un programa que se encarga de probar mltiples claves hasta descubrir la
correcta. Por lo general, las claves que se prueban son distintas
combinaciones de caracteres, pero tambin se pueden probar palabras de un
diccionario predefinido.
Hackers: Usuario especializado en penetrar sistemas informticos con el fin de

obtener informacin secreta. En la actualidad, el trmino se identifica con el de
delincuente informtico, e incluye a los cibernautas que realizan operaciones
delictivas a travs de las redes de ordenadores existentes.
ISO 27001: El estndar para la seguridad de la informacin, Especifica los

requisitos necesarios para establecer, implantar, mantener y mejorar un
Sistema de Gestin de la Seguridad de la Informacin.
Keyloggers: Es un tipo de software o un dispositivo hardware especfico que se

encarga de registrar las pulsaciones que se realizan en el teclado, para
posteriormente memorizarlas en un fichero o enviarlas a travs de internet
Malware: La palabra malware es la abreviatura de la palabra malicious

software. Este programa es sumamente peligroso para la pc, esta creado para
insertar gusanos, spyware, virus, troyanos o incluso los bots, intentando
conseguir algn objetivo como por ejemplo recoger informacin sobre el
usuario de internet o sacar informacin de la propia pc de un usuario.
84
OSI: Siglas que significan Open Systems Interconnection o Interconexin de
Sistemas Abiertos. Es un modelo o referente creado por la ISO para la
interconexin en un contexto de sistemas abiertos. Se trata de un modelo de
comunicaciones estndar entre los diferentes terminales y host. Las
comunicaciones siguen unas pautas de siete niveles preestablecidos que son
Fsico, Enlace, Red, Transporte, Sesin, Presentacin y Aplicacin.
Password: Forma de autentificacin que utiliza informacin secreta para

controlar el acceso hacia algn recurso. La contrasea normalmente debe
mantenerse en secreto ante aquellos a quienes no se les permite el acceso.
Phishing: Es un tipo de engao creado por hackers malintencionados, con el

objetivo de obtener informacin importante como nmeros de tarjetas de
crdito, claves, datos de cuentas bancarias, etc. El objetivo ms comn, suele
ser la obtencin de dinero del usuario que cae en la trampa. Por lo general, el
engao se basa en la ignorancia del usuario al ingresar a un sitio que presume
legal o autntico.
PSI: Polticas de seguridad informtica, forma de comunicarse con los

usuarios, ya que las mismas establecen un canal formal de actuacin del
personal, en relacin con los recursos y servicios informticos de la
organizacin.
Protocolo: Uno o un conjunto de procedimientos destinados a estandarizar un

comportamiento humano o sistmico artificial frente a una situacin especfica.
Redes Wi-Fi: Son a aquellas redes de telecomunicaciones en donde la

interconexin entre nodos es implementada sin utilizar cables. Las redes
inalmbricas de telecomunicaciones son generalmente implementadas con
85
algn tipo de sistema de transmisin de informacin que usa ondas
electromagnticas, como las ondas de radio.
Seguridad Informtica: Consiste en asegurar que los recursos de una

organizacin sean utilizados de la manera que se decidi y que el acceso a la
informacin all contenida, as como su modificacin, slo sea posible a las
personas que se encuentren acreditadas y dentro de los lmites de su
autorizacin.
Servidores: Es un tipo de software que realiza ciertas tareas en nombre de los

usuarios. El trmino servidor ahora tambin se utiliza para referirse al
ordenador fsico en el cual funciona ese software, una mquina cuyo propsito
es proveer datos de modo que otras mquinas puedan utilizar esos datos.
SGSI: Sistema de Gestin de la seguridad de la Informacin, como el nombre

lo sugiere, un conjunto de polticas de administracin de la informacin. El
trmino es utilizado principalmente por la ISO/IEC 27001.
Spam: Son mensajes no solicitados y enviados comnmente en cantidades

masivas. Aunque se puede hacer por distintas vas, la ms utilizada entre el
pblico en general es por correo electrnico. Otras tecnologas de Internet que
han sido objeto de spam incluyen grupos de noticias, motores de bsqueda y
blogs. El spam tambin puede tener como objetivo los celulares a travs de
mensajes de texto y los sistemas de mensajera instantnea.
Spyware: es un software que recopila informacin de un ordenador y despus

transmite esta informacin a una entidad externa sin el conocimiento o el
consentimiento del propietario del ordenador.
86
Tecnologas de la Informacin: Son un conjunto de tcnicas, desarrollos y
dispositivos avanzados que integran funcionalidades de almacenamiento,
procesamiento y transmisin de datos.
TIC: Las Tecnologas de la Informacin y la Comunicacin, tambin conocidas

como TIC, son el conjunto de tecnologas desarrolladas para gestionar
informacin y enviarla de un lugar a otro. Abarcan un abanico de soluciones
muy amplio. Incluyen las tecnologas para almacenar informacin y recuperarla
despus, enviar y recibir informacin de un sitio a otro, o procesar informacin
para poder calcular resultados y elaborar informes.
Troyano: Se denomina troyano o caballo de troya a un programa malware

capaz de alojarse en computadoras y permitir el acceso a usuarios externos, a
travs de una red local o de Internet, con el fin de recopilar informacin o
controlar remotamente a la mquina de algn usuario, pero sin afectar el
funcionamiento de sta.
Virus informtico: Los virus, habitualmente, reemplazan archivos ejecutables

por otros infectados con el cdigo de este. Los virus pueden destruir, de
manera intencionada, los datos almacenados en un ordenador, aunque
tambin existen otros ms "benignos", que solo se caracterizan por ser
molestos.
87
18 ANEXOS
Formato Encuesta para Comunidad Acadmica
ENCUESTA: SEGURIDAD INFORMTICA
sta informacin en confidencial y nicamente se usar para efectos de

investigacin dentro el proyecto de grado Protocolo de Seguridad Informtica
para Universidades.
Fecha de ingreso D_____M_____A_____
Programa al que pertenece
Semestre actual
Ha escuchado o sabe sobre la seguridad informtica?
Si
No
Le parece importante este Tema?
Alto
Medio
88
C Bajo
D No importante
Qu tipo de Recursos informticos utiliza en la universidad?
Propios
Equipos de las salas de sistemas
No utiliza
Si son Propios Posee algn tipo de proteccin?
Antivirus
Firewall
C - Contraseas
No utiliza
Usualmente en qu actividades se desempea dentro de la red de la

universidad (seale con una X):
ACTIVIDAD Si No
Estudio
89
Redes
sociales
Descargar
informacin
Msica
Juegos en
lnea
6. Qu tipo de informacin maneja en los equipos dentro de la universidad?
Personal
Acadmica
Pblica
Conoce sobre polticas de seguridad informticas implementadas en la

universidad?
A Si
B No
90
Cuales?________________________________________________________
____________________
_______________________________________________________________
_______________________________________________________________
______________________________________________________________
Cul es su percepcin sobre la seguridad informtica en la Universidad?
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
______________________________
GRACIAS POR LA PARTICIPACIN!
91
Formato encuesta para personal administrativo

para Universidades.
Fecha de ingreso D_____M_____A_____
rea a la que pertenece
Ha escuchado o sabe sobre la seguridad informtica?
Si
No
Le parece importante este Tema?
Alto
Medio
C Bajo
D No importante
92
Qu tipo de Recursos informticos utiliza en la universidad?
Porttil
Equipos de escritorio
Los equipos poseen algn tipo de proteccin?
Antivirus
Firewall
Contraseas
No utiliza
No sabe
Ha tenido algn inconveniente de prdida de informacin?
Si
No
Cual?__________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
___________________________
93
Usualmente en qu actividades se desempea dentro de la red de la
universidad (seale con una X):
ACTIVIDAD Si No
Estudio
Trabajo
Redes
sociales
Descargar
informacin
Msica
Qu tipo de informacin maneja en los equipos dentro de la universidad
Personal
Acadmica y/o Laboral
11.. Conoce sobre polticas de seguridad informticas implementadas en la

universidad?
94
A Si
B No
Cules?
_______________________________________________________________
____________________
_______________________________________________________________
_______________________________________________________________
______________________________________________________________
12. Cul es su percepcin sobre la seguridad informtica en la Universidad?
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
______________________________
95
Formato entrevista para encargados del rea de sistemas

para Universidades.
Cargo:
_______________________________________________________________
_____________________
Qu tan importante es la seguridad Informtica?
A- Alto
B- Medio
C Bajo
D No importante
Polticas de seguridad implementadas en la institucin
__________________________________________________________
______________________________
2.
96
__________________________________________________________
______________________________
__________________________________________________________
______________________________
__________________________________________________________
______________________________
__________________________________________________________
______________________________
__________________________________________________________
______________________________
__________________________________________________________
______________________________
__________________________________________________________
______________________________
__________________________________________________________
______________________________
__________________________________________________________
______________________________
Actualmente estn en Funcionamiento?
Si
No
97
Otra:
_______________________________________________________________
_______________
Desde qu fecha o en qu fecha se implementar:

_________________________________________
Cmo y quin desarroll las polticas:

______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_________________________________________________________
_______________________________________________________________
___________________________
Modelos que se est siguiendo (en qu se basaron):
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
98
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_________________________
_______________________________________________________________
_______________________________________________________________
______________________________________________________________
Normatividad con la cual se estn rigiendo para la seguridad

informtica:______________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
________________________________________________________
Cul considera que son los puntos ms crticos para proteger?
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
____________________________
99
Ha habido algn suceso sobre perdida de informacin o delito informtico?
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
____________________________
INFORMACIN DE LA UNIVERSIDAD
Dependencias de la Universidad:
___________________________________
___________________________________
___________________________________
___________________________________
Cantidad de usuarios en la red de la universidad: ________
100

CDMIST65

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

CDMIST65

Uploaded by

Copyright:

Available Formats

PROTOCOLO DE POLTICAS DE SEGURIDAD INFORMTICA PARA LAS

JORGE LUIS GALEANO VILLA

UNIVERSIDAD CATLICA DE PEREIRA

JORGE LUIS GALEANO VILLA

UNIVERSIDAD CATLICA DE PEREIRA

Programa de Ingeniera de sistemas y Telecomunicaciones, Universidad

PROTOCOLO DE POLTICAS DE SEGURIDAD INFORMTICA PARA LAS

Dejando constancia la autorizacin en forma gratuita a la Universidad Catlica

Cristian Camilo Alzate Castaeda Jorge Luis Galeano Villa

Las malas prcticas de la seguridad informtica y la poca importancia que se le

De esta manera el objetivo del trabajo es proponer un protocolo que marque

De esta forma, se realiz un estudio basado en sondeos a estudiantes de

Se puede concluir que la seguridad informtica juega un papel muy importante

Palabras claves: Seguridad informtica, instituciones de educacin superior,

The bad computer security practices and the lack of importance,

In that way , we conducted a study based on students surveys of different

As a conclusion, information security plays a very important role in universities,

Keywords: Computer security, higher education institutions, Protocol,

DECLARACIN DE DERECHOS DE AUTOR ......................................................................... 3

7 IDENTIFICACIN DE VARIABLES ............................................................................. 19

13 CONCRECIN DEL MODELO ................................................................................... 57

1 PORCENTAJE DE DISTRIBUCIN PRESUPUESTO ........................................................ 21

1 VARIABLE INDEPENDIENTE ..................................................................................... 19

En las instituciones de educacin superior se ha encontrado que no se le da la

De igual manera se pudo detectar que los usuarios tanto administrativos

Por esta razn se ha realizado un protocolo basado en la norma ISO 27000

2.1 Planteamiento del problema

Con el constante crecimiento de las tecnologas de la informacin, se va

Otro fenmeno que se est presentado en la actualidad, es el enorme

Keyloggers y spyware (19%):

En el informe se identifica, clasifica y esboza los ataques ms comunes.

Fuente: Verizon Business

Resulta casi imposible que se detecten todos o que se pueda prevenir su

2.2 Formulacin del problema

Debido a los problemas presentados y a las fallas de seguridad registradas, al

Cmo debe disearse el protocolo de poltica de seguridad informtica para

Cmo favorece a las universidades de Risaralda contar con una serie de

3.1 Objetivo general

Construir y proponer un protocolo para la elaboracin de una poltica seguridad

3.2 Objetivos especficos

Documentar y consultar sobre seguridad informtica.

Documentar y consultar sobre protocolos.

Clasificar la informacin y aplicaciones de los sistemas informticos

Identificar los principales aspectos vulnerables de un sistema de

La seguridad informtica es el proceso por medio del cual se protegen los

Por tanto, se hace necesario contar con estrategias y procedimientos a la

Haciendo relacin a las universidades de Risaralda, estas instituciones

La informacin y su confidencialidad es un tema de gran importancia, tanto

De igual manera se detect en la indagacin realizada el poco conocimiento

Construir un protocolo para la generacin de polticas de seguridad informtica

El proyecto se realizar en el departamento de Risaralda, para las universidades

El proyecto se desarrollar entre el segundo semestre de 2012 y el primer

7.1 Variable Independiente.

Fuente: Elaboracin propia

7.2 Variable Dependiente

Cuadro 1. Identificacin de variable dependiente.

Fuente: Elaboracin propia

Resma Papel 1 $15.000 $15.000

Cartuchos de Tinta 2 $45.000 $90.000

Fotocopias 85 $100 $8.500

CD-ROM 2 $1.000 $2.000

Argollado 1 $10.000 $10.000

Total Costo Material Fungible $125.500

Celular 4 $60.000 $240.000