Page 1

1


“El Sistema de Gestión de Seguridad de la Información (SGSI) bajo la norma ISO 27001 hacia las unidades educativas ecuatorianas” “The Information Security Management System (ISMS) under ISO 27001 standard to the ecuadorian educational units” PRAXIS CAPITAL

RESUMEN La presente investigación ha tenido como objetivo analizar al Sistema de Gestión de Seguridad de la Información (SGSI) para evitar los casos de amenazas y mala utilización de procesos informáticos en las unidades educativas ecuatorianas bajo la Norma ISO 27001. Dicho concepto ha logrado inventariar los activos informáticos y determinar las políticas y controles hacia el tratamiento de cada uno de los potenciales riesgos que deben considerar las instituciones nacionales, previa a la incorporación de la certificación. La metodología investigativa ha sido gestionada bajo una investigación de tipo descriptiva – correlativa de la problemática y la vinculación de sus variables; además, mantiene un orden cuantitativo – cualitativo; al obtener datos reales por medio de un FODA sectorial de las unidades educativas nacionales y encuestas aplicadas a los colaboradores en general y a los encargados del departamento de sistemas. De esta forma se comprobó la existencia de potenciales riesgos que pueden ser minimizados por controles internos por medio de la Norma ISO 27001 y de un Sistema de Gestión de Seguridad de la Información que permite dar mayor seguridad a nivel interno del software, hardware, sistemas operativos, seguridad lógica, respaldo y recuperación de datos y mantenimiento periódico. Así, en el corto plazo las unidades educativas ecuatorianas podrán

2


salvaguardar de mejor forma su informaciรณn y dar una alta dinรกmica organizacional hacia la calidad informรกtica de sus bases de datos. PALABRAS CLAVES: Gestiรณn, informaciรณn, ISO, seguridad, sistema, unidades educativas.

ABSTRACT The objective of this research was to analyze the Information Security Management System (ISMS) to avoid the cases of threats and misuse of computer processes in the Ecuadorian educational units under ISO 27001. This concept has managed to inventory the assets and determine the policies and controls towards the treatment of each of the potential risks that national institutions must consider, prior to the incorporation of certification. The research methodology has been managed under a descriptive - correlative investigation of the problematic and the linking of its variables; in addition, it maintains a quantitative - qualitative order; to obtain real data through a sectoral SWOT of educational units and surveys applied to employees in general and those in charge of the systems department. In this way, the existence of potential risks that can be minimized by internal controls by means of ISO 27001 and an Information Security Management System that allows greater internal security of software, hardware, operating systems was verified, logical security, backup and recovery of data and periodic maintenance. Thus, in the short term the ecuadorian educational units will be able to better safeguard their information and give a high organizational dynamic towards the computer quality of their databases. KEY WORDS: educational units, information, ISO, management, security, system.

3


INTRODUCCIÓN Las unidades educativas ecuatorianas vinculadas a los lineamientos de la Constitución Política del Ecuador (2008), el Plan Nacional de Desarrollo “Toda una vida” (2017) y la Ley Orgánica de Educación Intercultural (2011), busca una transformación del proceso enseñanza - aprendizaje dentro del aula escolar. A nivel internacional, la inclusión de un Sistema de Gestión de Seguridad de la Información ha permitido “evitar el mal uso, abuso y hurto de información organizacional en 73%” (Ríos, 2018, pág. 96). Ante esto, países de la Unión Europea y también Estados Unidos consideran “de amplia relevancia a nivel jurídico digital que las organizaciones garanticen sus protocolos informáticos con normativas de regulación y control por medio de las Normas ISO” (Hunter Control Systems, 2019, pág. 82). El Sistema de Gestión de Seguridad de la Información en las unidades educativas permite evitar las actividades malintencionadas cuyo objetivo es causar daño como: robar o destruir información, provocar caídas del sistema, denegar servicios, entre otros. Ante esto, el alcance que tiene hoy la tecnología “impide la vulnerabilidad de cualquier sistema y resulta imprescindible mantener un medio protegido con un nivel de seguridad lo más elevado posible garantizando los procesos institucionales a corto y largo plazo” (Valverde, 2017, pág. 77). En Latinoamérica, de acuerdo a un estudio privado con fines investigativos por Castro y Jácome (2017) existen “cerca de 427 medianas y grandes empresas que mantienen como forma de protección de sus sistemas de información la inclusión de la Norma ISO 27001” (p. 251). Así, se garantizan que los procesos sean estandarizados, regulados y controlados por las instituciones que se acogen a dicha normativa.

4


En Ecuador, la gestión de riesgos y la seguridad informática son áreas fundamentales que “en poco nivel se han estudiado a pesar de ser dos de los principales puntos a tomar en cuenta dentro de cualquier institución, en la cual se maneje un sistema informático que mantenga información clave de sus usuarios” (Encalada, 2017, pág. 81). Actualmente, en el afán de aprovechar dichas falencias, de forma constante, se desarrollan nuevos métodos que afectan la seguridad de la información; por lo cual, se hace necesario realizar un análisis de dichas amenazas y definir un Sistema de Gestión de Seguridad de la Información que minimice los riesgos asociados “al acceso y utilización de determinado sistema de forma no autorizada y en general malintencionada, minimizando así el porcentaje de riesgo y pérdida de datos” (Fonseca, 2017, pág. 81). A nivel de las instituciones educativas nacionales, estas manejan información sumamente importante como son los datos académicos de cada uno de los estudiantes. Por tal motivo, “se hace indispensable que un Sistema de Gestión de Seguridad de la Información genere confidencialidad, integridad y disponibilidad” (Benavides, 2018, pág. 14). Hoy en día, la mayoría de las unidades educativas ecuatorianas no cuentan con ningún estándar implementado, únicamente toma ciertas medidas preventivas las cuales no garantizan la correcta gestión y seguridad de la información, por lo que personas o entidades mal intencionadas podrían tener acceso a datos que se manejan internamente y hacer uso inadecuado de los mismos. Para la protección de dicha información es necesario que la instituciones se acoplen a las Normas ISO 27001, cuyos estándares admiten originar un conjunto pautas concernientes a la gestión de la seguridad, haciendo énfasis en tres aspectos como son: confidencialidad, disponibilidad e integridad de la información y que los mismos den una estabilidad y garantía informática a las unidades educativas ecuatorianas. 5


Ante lo expuesto, la información académica es un recurso clave para el Ministerio de Educación ecuatoriano (2019), por tal razón se debe gestionar de manera eficiente la seguridad de la misma, más aun cuando dentro del entorno nacional han aparecido graves amenazas de modificaciones de expedientes académicos en los sistemas informáticos, con lo cual se corre el riesgo de que la información educativa sea robada o usada inapropiadamente. De esta forma, la implantación de un Sistema de Gestión de Seguridad de la Información basado en la Norma ISO 27001 permitirá de manera substancial al adecuado manejo y gestión de la información en las unidades educativas ecuatorianas, las mismas que no cuenta actualmente en su mayoría, con una metodología de gestión adecuada de la información. La inclusión de la Norma ISO 27001 tiene como objetivo crear una estructura de la seguridad de la información para las instituciones, además de implementar controles, evaluación y tratamiento de riesgos, garantizando el manejo y trato de los datos institucionales de los estudiantes. Los beneficios más relevantes a obtener por medio de la implementación del Sistema de Gestión de Seguridad de la Información serán integridad, confidencialidad y disponibilidad de la información. Además, la correcta gestión de la misma producirá una serie de ventajas para las unidades educativas ecuatorianas debido a que “una administración adecuada y efectiva se traduce en mayor eficiencia de los procesos que se llevan a cabo, estabilizando al largo plazo sus funciones” (Varela, 2017, pág. 197). Por lo expuesto anteriormente, se tiene como objetivo general, elaborar un estudio situacional sobre el Sistema de Gestión de Seguridad de la Información para evitar los casos de amenazas y mala utilización de procesos informáticos en las unidades educativas ecuatorianas, bajo la Norma ISO 27001. 6


Cuyo fin sólo puede darte si se trabaja sobre los siguientes objetivos específicos: 

Analizar la situación actual del manejo de la información por medio de un análisis FODA que emita la realidad en la seguridad informática dentro de las unidades educativas ecuatorianas.

Identificar los riesgos informáticos a los que están expuestos las unidades educativas ecuatorianas, para generar protocolos de protección mediante la Norma ISO 27001.

Identificar los controles de seguridad apropiados para las unidades educativas ecuatorianas, bajo un peritaje informático que determine el nivel de vulnerabilidad y las adecuaciones que se deben implementar con la Norma ISO 27001.

MATERIALES Y MÉTODOS El objetivo del estudio es generar un conjunto de indicadores sobre los casos de amenazas y mala utilización de procesos informáticos que puedan desencadenar perjuicios administrativos en las unidades educativas ecuatorianas y su potencial reducción por medio de una propuesta de Sistema de Gestión de Seguridad de la Información bajo la Norma ISO 27001. De esta forma, se entenderá de mejor forma la realidad actual de los procesos informáticos de las instituciones y cuáles son los factores que limitan o apoyan su vulnerabilidad para una futura optimización de los mismos con un Sistema de Gestión de Seguridad de la Información a nivel de la Norma ISO 27001. TIPO DE INVESTIGACIÓN Es una investigación de tipo descriptiva - correlativa, donde el accionar descriptivo se aplica para detallar las características de la problemática y el entorno correlativo para medir las relaciones entre las variables de las experiencias de vulnerabilidades de los datos 7


informáticos en las unidades educativas ecuatorianas y la capacidad de solución mediante un Sistema de Gestión de Seguridad de la Información bajo la Norma ISO 27001. MÉTODOS DE INVESTIGACIÓN La presente investigación es de orden cuantitativo – cualitativo; el elemento cuantitativo se obtiene de los indicadores que resultan de la descripción y relación de las respuestas resultantes de la aplicación de un análisis FODA hacia las unidades educativas ecuatorianas por medio de los colaboradores institucionales y de las encuestas al grupo de estudio que está conformado por el talento humano del departamento de informática de las instituciones como caso de estudio. Por su parte, el aspecto cualitativo se obtiene de las observaciones que realicen los encuestados en sus opiniones, y su respetiva interpretación con referencia a la problemática estudiada. El diseño mantiene predominantemente el enfoque descriptivo, para entender los factores que consideran los encuestados más relevantes a nivel de la propuesta de un Sistema de Gestión de Seguridad de la Información bajo la Norma ISO 27001. ENFOQUE DE LA INVESTIGACIÓN La investigación se enfoca a mejorar los procesos de protección informática orientados al resguardo de sus bases de datos basándose en las experiencias concretas del talento humano del departamento de informática sobre las necesidades de una propuesta hacia un Sistema de Gestión de Seguridad de la Información bajo la Norma ISO 27001 del caso de estudio.

8


ALCANCE DE LA INVESTIGACIÓN El alcance de la investigación es local en las unidades educativas ecuatorianas, por lo que no permite extraer conclusiones amplias y transferibles a otros estudios similares. POBLACIÓN DE ESTUDIO La población de estudio está conformada por colaboradores unidades educativas ecuatorianas que aceptaron la generación de una propuesta hacia un Sistema de Gestión de Seguridad de la Información bajo la Norma ISO 27001. TÉCNICAS DE RECOLECCIÓN DE DATOS Encuesta El autor Wilmer (2017) cita que “la encuesta es una técnica de investigación que consiste en una interrogación verbal o escrita que se les realiza a las personas con el fin de obtener determinada información necesaria para una investigación” (pág. 107). Para el desarrollo efectivo de la investigación se utilizará esta técnica de recolección de información a través de un cuestionario con preguntas cerradas y de selección múltiple; las mismas están preparadas con el propósito de obtener información acerca de diferentes aspectos en relación al manejo de la información institucional en su base de datos y la propuesta hacia un Sistema de Gestión de Seguridad de la Información bajo la Norma ISO 27001 tanto de docentes como de colaboradores de las unidades educativas ecuatorianas.

9


INSTRUMENTOS DE RECOLECCIÓN DE DATOS Cuestionario Para obtener información del grupo de investigación, se elabora un cuestionario que responde a los objetivos planteados de la investigación, el mismo que permita diagnosticar el estado de manejo de la información de las unidades educativas ecuatorianas. El cuestionario será aplicado a los colaboradores para obtener información necesaria para la investigación y las características que conllevan hacia un Sistema de Gestión de Seguridad de la Información bajo la Norma ISO 27001. INSTRUMENTOS PARA PROCESO DE DATOS El autor Mejía (2016), cita: El procesamiento de la información es un sistema para descubrir verdades parciales. Es el proceso que, usando el método científico, permite conseguir nuevos conocimientos en el campo de la realidad social (investigación pura) o bien estudiar una situación para definir problemas y necesidades para de esta manera aplicar los conocimientos con fines prácticos (investigación aplicada) (Pág. 91).

Con base en la investigación aplicada por Mejía (2016), una vez encuestado a los involucrados en el estudio (colaboradores que conocen sobre el manejo informático de las bases de datos de las unidades educativas ecuatorianas y la propuesta de un Sistema de Gestión de Seguridad de la Información bajo la Norma ISO 27001), se empleará el sistema informático SPSS 21 (Statistical Package for the Social Sciences), donde se pueda obtener los porcentajes que permite a comprobar la investigación previamente planteada; programa que requiere de una licencia para su uso pero este no es muy alto y factible de su inversión para la ejecución de la presente investigación.

10


RESULTADOS Y DISCUSIÓN FODA Mediante el DAFO para Humpherey (2014), se muestra “una sucesión de ventajas y desventajas que permiten crear estrategias hacia las instituciones” (pág. 45). Así, dentro de la presente investigación se busca entender la realidad de manejo informático de las unidades educativas ecuatorianas y como evitar los casos de amenazas y mala utilización de procesos informáticos previniendo perjuicios administrativos bajo un Sistema de Gestión de Seguridad de la Información vinculado a la Norma ISO 27001. A continuación, se procede con la identificación de las fortalezas, oportunidades, debilidades y amenazas de las unidades educativas ecuatorianas; seguido de un análisis por medio de matrices de Holmes para cuantificar un ranking de nivel de importancia y así conocer por medio de matrices de evaluación tanto interna como externa, la realidad de su peso ponderado en el efecto que estas causan a las instituciones. Para posteriormente promover un plan de estrategias hacia la mejora del control informático reflejado en la matriz de nueve caras. Fortalezas Las unidades educativas ecuatorianas, con relación al manejo informático tienen 5 fortalezas. Cuadro 1. Fortalezas Fortalezas Disponen de talento humano calificado Gran porcentaje del personal se mantiene identificado y comprometido por ser parte de una educación nacional de calidad.

11


Los objetivos planteados, desde que inició la transformación de la educación ecuatoriana, se han logrado en gran porcentaje. Cuentan con una estructura institucional apoyada en las directrices educacionales del Estado. Es relevante para el mantenimiento de una educación de calidad. Fuente: PRAXIS CAPITAL (2019)

Oportunidades Las unidades educativas ecuatorianas, con relación al manejo informático tienen 3 oportunidades. Cuadro 2. Oportunidades Oportunidades Lograr posicionamiento y reconocimiento como un excelente sector de servicio y de gestión. Posicionamiento dentro del Plan Nacional de Desarrollo educativo del Gobierno Central. Ampliar sus servicios, facultados por la normativa nacional. Fuente: PRAXIS CAPITAL (2019)

Debilidades Las unidades educativas ecuatorianas, con relación al manejo informático tienen 5 debilidades. Cuadro 3. Debilidades Debilidades Inestabilidad laboral. Desinformación en temas de gestión informática. Carencia de recurso humano y financiero para la ejecución de planes emergentes dentro de la gestión informática nacional. A falta de canales oficiales circula como medio de información el rumor dentro del sector educativo público. Manejo inadecuado de la gestión informativa nacional. Fuente: PRAXIS CAPITAL (2019)

12


Amenazas Las unidades educativas ecuatorianas, con relación al manejo informático tienen 5 amenazas. Cuadro 4. Amenazas

Amenazas Que por incidencia de la economía nacional se tenga que reducir la cantidad de colaboradores en las unidades educativas ecuatorianas. Recesión económica a causa de la baja del precio del petróleo nacional. Pérdida del apoyo de los medios informáticos. Cuestionamientos de parte de las autoridades gubernamentales hacia la educación. Asedio por otros sectores públicos. Fuente: PRAXIS CAPITAL (2019)

Evaluación de importancia por medio de matrices de Holmes Las matrices de Holmes permiten analizar cada uno de los factores en forma individual y dentro de estos generar un ranking de impacto por sublinea. MATRIZ DE HOLMES PARA LAS FORTALEZAS Acorde al análisis de la importancia de las fortalezas se determinó que el factor más influyente es: Gran porcentaje del personal se mantiene identificado y comprometido por ser parte de una educación nacional de calidad.

13


COMPONENTE FORTALEZAS

Dispone de talento humano calificado

Gran porcentaje del personal se mantiene identificado y comprometido por ser parte de una educación nacional de calidad.

Los objetivos planteados, desde que inició la transformación de la educación ecuatoriana, se han logrado en gran porcentaje.

Cuentan con una estructura institucional apoyada en las directrices educacionales del Estado.

Es relevante para el mantenimiento de una educación de calidad.

TOTAL

ORDEN DE IMPORTANCIA

Cuadro 5. Matriz de Holmes para las fortalezas

Disponen de talento humano calificado

1,0

1,5

1,5

1,5

1,5

7

4

Gran porcentaje del personal se mantiene identificado y comprometido por ser parte de una educación nacional de calidad.

2,0

1,0

2,0

1,5

2,0

8,5

1

Los objetivos planteados, desde que inició la transformación de la educación ecuatoriana, se han logrado en gran porcentaje.

2,0

2,0

1,0

1,5

1,5

8

2

Cuentan con una estructura institucional apoyada en las directrices educacionales del Estado.

1,0

1,0

1,0

1,0

0,5

4,5

5

Es relevante para el mantenimiento de una educación de calidad.

2,0

1,5

1,5

1,5

1,0

7,5

3

Total

35,5

Fuente: PRAXIS CAPITAL (2019)

MATRIZ DE HOLMES PARA LAS OPORTUNIDADES Acorde al análisis de la importancia de las oportunidades se determinó que el factor más influyente es: Posicionamiento dentro del Plan Nacional de Desarrollo educativo del Gobierno Central.

14


COMPONENTE OPORTUNIDADES

Lograr posicionamiento y reconocimiento como un excelente sector de servicio y de gestión.

Posicionamiento dentro del Plan Nacional de Desarrollo educativo del Gobierno Central.

Ampliar sus servicios, facultados por la normativa nacional.

TOTAL

ORDEN DE IMPORTANCIA

Cuadro 6. Matriz de Holmes para las oportunidades

Lograr posicionamiento y reconocimiento como un excelente sector de servicio y de gestión.

1,0

1,5

1,5

4

2

Posicionamiento dentro del Plan Nacional de Desarrollo educativo del Gobierno Central.

2,0

1,0

2,0

5

1

Ampliar sus servicios, facultados por la normativa nacional.

1,5

1,5

1,0

4

3

Total

13

Fuente: PRAXIS CAPITAL (2019)

MATRIZ DE HOLMES PARA LAS DEBILIDADES Acorde al análisis de la importancia de las debilidades se determinó que el factor más influyente es: Manejo inadecuado de la gestión informativa nacional.

15


COMPONENTE DEBILIDADES

Inestabilidad laboral.

Desinformación en temas de gestión informática.

Carencia de recurso humano y financiero para la ejecución de planes emergentes dentro de la gestión informática nacional.

A falta de canales oficiales circula como medio de información el rumor dentro del sector educativo público.

Manejo inadecuado de la gestión informativa nacional.

TOTAL

ORDEN DE IMPORTANCIA

Cuadro 7. Matriz de Holmes para las debilidades

Inestabilidad laboral.

1,0

1,0

1,0

1,0

1,0

5

5

Desinformación en temas de gestión informática.

2

1,0

1,5

1,0

1,0

6,5

4

Carencia de recurso humano y financiero para la ejecución de planes emergentes dentro de la gestión informática nacional.

2,0

2,0

1,0

1,5

1,0

7,5

3

A falta de canales oficiales circula como medio de información el rumor dentro del sector educativo público.

2,0

2,0

2,0

1,0

1,5

8,5

2

Manejo inadecuado de la gestión informativa nacional.

2,0

2,0

2,0

2,0

1,0

9

1

Total

36,5

Fuente: PRAXIS CAPITAL (2019)

MATRIZ DE HOLMES PARA LAS AMENAZAS Acorde al análisis de la importancia de las amenazas se determinó que el factor más influyente es: Que por incidencia de la economía nacional se tenga que reducir la cantidad de colaboradores en las unidades educativas ecuatorianas.

16


COMPONENTE AMENAZAS

Que por incidencia de la economía nacional se tenga que reducir la cantidad de colaboradores en las unidades educativas ecuatorianas.

Recesión económica a causa de la baja del precio del petróleo nacional.

Pérdida del apoyo de los medios informáticos.

Cuestionamientos de parte de las autoridades gubernamentales hacia la educación.

Asedio por otros sectores públicos

TOTAL

ORDEN DE IMPORTANCIA

Cuadro 8. Matriz de Holmes para las amenazas

Que por incidencia de la economía nacional se tenga que reducir la cantidad de colaboradores en las unidades educativas ecuatorianas.

1,0

2,0

2,0

2,0

2,0

9

1

Recesión económica a causa de la baja del precio del petróleo nacional.

2,0

1,0

1,5

1,5

1,5

7,5

3

Pérdida del apoyo de los medios informáticos.

2,0

2,0

1,0

1,5

1,5

8

2

Cuestionamientos de parte de las autoridades gubernamentales hacia la educación.

1,5

1,5

1,5

1,0

1,0

6,5

4

Asedio por otros sectores públicos.

1,5

1,5

1,0

1,0

1,0

6

5

Total

37 Fuente: PRAXIS CAPITAL (2019)

Evaluación del ambiente interno La evaluación del ambiente interno, permite conocer la realidad propia de las unidades educativas ecuatorianas ligado hacia sus colaboradores. Con los análisis de los cuadros 5 y 7 se realiza el cuadro 9.

17


Cuadro 9. Evaluación del ambiente interno EVALUACIÓN AMBIENTE INTERNO

Orden

1

FORTALEZAS

Disponen de talento humano calificado

Gran porcentaje del personal se mantiene identificado y comprometido por ser parte de una educación nacional de calidad.

2

Los objetivos planteados, desde que inició la transformación de la educación ecuatoriana, se han logrado en gran porcentaje.

3

% relativo

Calificación

Resultado Ponderado

0,08

3

0,24

0,14

4

0,56

0,08

3

0,24

4

Cuentan con una estructura institucional apoyada en las directrices educacionales del Estado.

0,08

3

0,24

5

Es relevante para el mantenimiento de una educación de calidad.

0,14

4

0,56

Orden

DEBILIDADES

% relativo

Calificación

Resultado Ponderado

0,12

2

0,24

0,08

1

0,08

0,08

1

0,08

0,08

1

0,08

0,12

2

0,24

1

2

3

4

5

Inestabilidad laboral.

Desinformación en temas de gestión informática. Carencia de recurso humano y financiero para la ejecución de planes emergentes dentro de la gestión informática nacional. A falta de canales oficiales circula como medio de información el rumor dentro del sector educativo público. Manejo inadecuado de la gestión informativa nacional.

TOTAL EVALUACIÓN AMBIENTE INTERNO

1,00

2,56

Fuente: PRAXIS CAPITAL (2019)

El indicador medio de toda evaluación de ambiente interno es de 2,5, si el valor obtenido es mayor a este, representa que existe una mayor incidencia de las fortalezas sobre

18


las debilidades, por su parte si el valor obtenido es menor a 2,5; indica que las debilidades tienen mayor impacto que las fortalezas a nivel de las unidades educativas ecuatorianas El resultado de la evaluación del ambiente interno determina una calificación de 2,56 lo cual expresa que las fortalezas tienen una mayor incidencia sobre las debilidades, lo que a nivel interno menciona una solidez de las unidades educativas ecuatorianas hacia los sistemas informáticos. Evaluación del ambiente externo La evaluación del ambiente externo, permite conocer la realidad propia de las unidades educativas ecuatorianas ligado hacia sus públicos fuera de las instituciones. Con los análisis de los cuadros 6 y 8 se realiza el cuadro 10. Cuadro 10. Evaluación del ambiente externo EVALUACIÓN AMBIENTE EXTERNO

Orden

OPORTUNIDADES

% relativo

Calificación

Resultado Ponderado

1

Lograr posicionamiento y reconocimiento como un excelente sector de servicio y de gestión.

0,15

4

0,6

2

Posicionamiento dentro del Plan Nacional de Desarrollo educativo del Gobierno Central.

0,15

4

0,6

0,10

3

0,3

% relativo

Calificación

Resultado Ponderado

0,15

2

0,3

0,10

1

0,1

3

Orden

1

2

Ampliar sus servicios, facultados por la normativa nacional.

AMENAZAS Que por incidencia de la economía nacional se tenga que reducir la cantidad de colaboradores en las unidades educativas ecuatorianas. Recesión económica a causa de la baja del precio del petróleo nacional.

19


3

4

Pérdida del apoyo de los medios informáticos.

Cuestionamientos de parte de las autoridades gubernamentales hacia la educación.

5

Asedio por otros sectores públicos. TOTAL, EVALUACIÓN AMBIENTE EXTERNO

0,15

2

0,3

0,10

1

0,1

0,10

1

0,1

1,00

2,4

Fuente: PRAXIS CAPITAL (2019)

El indicador medio de toda evaluación de ambiente externo es de 2,5, si el valor obtenido es mayor a este, representa que existe una mayor incidencia de las oportunidades sobre las amenazas, por su parte si el valor obtenido es menor a 2,5; indica que las amenazas tienen mayor impacto que las oportunidades a nivel de las unidades educativas ecuatorianas. El resultado de la evaluación del ambiente externo determina una calificación de 2,44 lo cual expresa que las amenazas tienen una mayor incidencia sobre las oportunidades, lo que a nivel externo menciona una debilidad de las unidades educativas ecuatorianas hacia los sistemas informáticos en el contexto de los públicos externos. Matriz 9 caras La matriz de 9 caras, combina todos los factores por segmento y dentro de un ranking, para que su cruce directo genere un conjunto de estrategias para mejorar los sistemas informáticos de las unidades educativas ecuatorianas. Cuadro 11. Matriz 9 caras

F.O.D.A

OPORTUNIDADES

AMENAZAS

Lograr posicionamiento y reconocimiento como un excelente sector de servicio y de gestión. Posicionamiento dentro del Plan Nacional

Que por incidencia de la economía nacional se tenga que reducir la cantidad de colaboradores en las unidades educativas ecuatorianas.

20


de Desarrollo educativo del Gobierno Central.

Ampliar sus servicios, facultados por la normativa nacional. Lograr posicionamiento y reconocimiento como un excelente sector de servicio y de gestión.

FORTALEZAS

Recesión económica a causa de la baja del precio del petróleo nacional.

Pérdida del apoyo de los medios informáticos. Cuestionamientos de parte de las autoridades gubernamentales hacia la educación.

Posicionamiento dentro del Plan Nacional de Desarrollo educativo del Gobierno Central.

Asedio por otros sectores públicos.

Estrategias OFENSIVAS

Estrategias DEFENSIVAS

Edificar bajo la Norma ISO 27001 un Sistema de Gestión de Seguridad de la Información.

Incrementar el apoyo de sostenibilidad dentro del sistema educativo hacia las instituciones.

Estrategias REORIENTACIÓN

Estrategias SUPERVIVENCIAS

Disponen de talento humano calificado Gran porcentaje del personal se mantiene identificado y comprometido por ser parte de una educación nacional de calidad. Los objetivos planteados, desde que inició la transformación de la educación ecuatoriana, se han logrado en gran porcentaje. Cuentan con una estructura institucional apoyada en las directrices educacionales del Estado. Es relevante para el mantenimiento de una educación de calidad. DEBILIDADES Inestabilidad laboral. Desinformación en temas de gestión informática. Carencia de recurso humano y Fortalecer un Sistema de Gestión de financiero para la ejecución de planes emergentes dentro de la gestión Seguridad de la Información por medio de informática nacional. la reingeniería de sus actividades informáticas. A falta de canales oficiales circula como medio de información el rumor dentro del sector educativo público. Manejo inadecuado de la gestión informativa nacional.

Fuente: PRAXIS CAPITAL (2019)

21

Reorientar a los colaboradores dentro de la importancia que poseen a nivel del sector educativo.


Matriz de oportunidad La matriz de oportunidades analiza y sintetiza las posibles circunstancias positivas que tengan las estrategias. Las oportunidades desde la idea de Barrera (2016) “son factores positivos y con posibilidad de ser explotados por parte de las instituciones o proyecto” (pág. 77). Cuadro 12. Matriz de oportunidad MATRIZ DE OPORTUNIDAD Resultados de la evaluación de las estrategias generadas de la matriz de 9 caras mediante el análisis de las prácticas que se necesita ante un Sistema de Gestión de Seguridad de la Información en las unidades educativas ecuatorianas. Estrategias OFENSIVAS

Edificar bajo la Norma ISO 27001 un Sistema de Gestión de Seguridad de la Información.

Factibilidad (F)

Impacto (I)

Prioridad (F+I)

Alta

Alto

Mediano plazo

Alta

Medio

Largo plazo

Alta

Alto

Mediano plazo

Alta

Alto

Mediano plazo

Estrategias DEFENSIVAS

Incrementar el apoyo de sostenibilidad dentro del sistema educativo hacia las instituciones.

Estrategias de REORIENTACIÓN Fortalecer un Sistema de Gestión de Seguridad de la Información por medio de la reingeniería de sus actividades informáticas. Estrategias de SUPERVIVENCIA Reorientar a los colaboradores dentro de la importancia que poseen a nivel del sector educativo.

Fuente: PRAXIS CAPITAL (2019)

La oportunidad de las estrategias generadas en la matriz de 9 caras en función de su factibilidad es alta, además en un 75% las estrategias propuestas son de alto impacto para la generación de un Sistema de Gestión de Seguridad de la Información. La prioridad de

22


instauración de las estrategias está dada para el mediano plazo en base del respaldo de la política ecuatoriana en educación y al control y cuidado de la información organizacional de las unidades educativas nacionales. Matriz de vulnerabilidad El análisis de vulnerabilidad permite priorizar las acciones estratégicas a tomar y así evitar que las amenazas se aprovechen de las debilidades de las instituciones, permite elegir factores críticos de éxito para “generar índices de medición que ayudan a evaluar a la organización en el tiempo, y tratar de transformar las debilidades en fortalezas” (Villegas, 2018, pág. 51). La vulnerabilidad depende: 

Exposición al riesgo

Consecuencia de ser vulnerables

Probabilidad de fallar en su instauración Cuadro 13. Matriz de vulnerabilidad MATRIZ DE VULNERABILIDAD Estrategias OFENSIVAS Edificar bajo la Norma ISO 27001 un

Sistema de Gestión de Seguridad de la Información.

Exposición

Consecuencia

Probabilidad

Improbable

Leve

Posible

Moderado

Ocasional

Severo

Factible

Crítico

Probable

Leve

Remoto

Frecuente

X

Remoto X

Coincidencial X

Estrategias DEFENSIVAS Improbable Incrementar el apoyo de sostenibilidad dentro del sistema educativo hacia las instituciones.

Posible

X

Moderado

X

Coincidencial

Ocasional

Severo

Factible

Frecuente

Crítico

Probable

Improbable

Leve

Remoto

Posible

Moderado

Estrategias de REORIENTACIÓN Fortalecer un Sistema de Gestión de Seguridad de la Información por medio de

23

X

Coincidencial

X


la reingeniería de sus actividades

Ocasional

Severo

Factible

informáticas.

Frecuente

Crítico

Probable

Improbable

Leve

Remoto

Posible

Moderado

Ocasional

Severo

Factible

Crítico

Probable

X

X

Estrategias de SUPERVIVENCIA Reorientar a los colaboradores dentro de la importancia que poseen a nivel del sector educativo.

Frecuente

X

X

Coincidencial

X

Fuente: PRAXIS CAPITAL (2019)

La vulnerabilidad de las estrategias generadas en la matriz de 9 caras maneja una posible exposición de debilidad con carácter moderado y con una posibilidad de vulnerabilidad moderada a no ejecutarse un correcto Sistema de Gestión de Seguridad de la Información en las unidades educativas ecuatorianas. ENCUESTAS Conforme al plan de recolección de información, se realizó una muestra selectiva para las encuestas, donde se obtuvo los resultados que a continuación se muestran, donde es posible visualizar el nivel actual de la gestión de seguridad de la información de las unidades educativas ecuatorianas. Encuestas a los docentes 1. ¿Existen procedimientos e instructivos establecidos en el área? Cuadro 14. Procedimientos e instructivos en el área Indicador

Frecuencia

Porcentaje

Si

8

31%

No

2

8%

No sabe

16

62%

Total

26

100%

Fuente: Encuesta a los docentes de las unidades educativas ecuatorianas (2019)

24


Existen procedimientos e instructivos en el área

Si

No

No sabe

31% 61%

8%

Figura 1: Procedimientos e instructivos en el área Fuente: Encuesta a los docentes de las unidades educativas ecuatorianas (2019)

Análisis El 31% de los colaboradores conocen que existen procedimientos e instructivos establecidos, el 8% no sabe acerca de los mismos, mientras un 61% duda sobre su existencia. De esta forma, existe un porcentaje de más de la mitad de los colaboradores, que no conocen sobre los documentos de procedimientos e instructivos del área donde laboran, lo que se traduce en una falencia en la administración de estos activos al no capacitar dentro de este tema a sus colaboradores. 2. ¿Conoce si en las instituciones existe un responsable o área encargada de la seguridad informática de la información? Cuadro 15. Conoce la existencia sobre un responsable o área encargada Indicador

Frecuencia

Porcentaje

Si

14

54%

No

5

19%

No sabe

7

27%

Total

26

100%

Fuente: Encuesta a los docentes de las unidades educativas ecuatorianas (2019)

25


Conoce la existencia sobre un responsable o área encargada

Si

No

No sabe

27% 54%

19%

Figura 2: Conoce la existencia sobre un responsable o área encargada Fuente: Encuesta a los docentes de las unidades educativas ecuatorianas (2019)

Análisis El 54% de los colaboradores dice conocer que existe un encargado de la seguridad de la información mientras el 19% manifiesta que no existe un encargado y el 27% de los colaboradores dice que no saben de la existencia del responsable a cargo. Por tanto, se puede entender que existe una figura que cumple parcialmente con el rol de responsable de seguridad de la información pero no están formalmente establecidas sus funciones, dando un control relativo dentro de las instituciones sobre su actividad. 3. ¿Qué área considera que debe ser responsable de la seguridad de la informática y de la información? Cuadro 16. Área que debe ser responsable Indicador

Frecuencia

Porcentaje

Sistemas

21

81%

Administrativo

4

15%

Todas las áreas

1

4%

Otras

0

0%

Total

26

100%

Fuente: Encuesta a los docentes de las unidades educativas ecuatorianas (2019)

26


Área que debe ser responsable

Sistemas

Administrativo

Todas las áreas

Otras

4% 0% 15%

81%

Figura 3: Área que debe ser responsable Fuente: Encuesta a los docentes de las unidades educativas ecuatorianas (2019)

Análisis El 81% de los colaboradores respondieron que el área de sistemas debería ser el responsable de la seguridad de la información, mientras un 15% señaló que el área administrativa también debería ser responsable de la seguridad de la información y por su parte un 4% indicó además, que todas las áreas deberían gestionar la seguridad de la información. Por lo expuesto, los colaboradores a ciencia cierta no conocen qué área de las instituciones es responsable de mantener la seguridad de la información, pero conocen que el departamento de sistemas realiza ciertas actividades referentes al tema de la seguridad informática.

27


4. ¿Cuántas capacitaciones han recibido acerca de temas seguridad de la información en el último año? Cuadro 17. Número de capacitaciones Indicador

Frecuencia

Porcentaje

Más de 3

0

0%

Menos de 3

4

15%

Nunca

22

85%

Total

26

100%

Fuente: Encuesta a los docentes de las unidades educativas ecuatorianas (2019)

Número de capacitaciones

Más de 3

Menos de 3

Nunca

0% 15%

85%

Figura 4: Número de capacitaciones Fuente: Encuesta a los docentes de las unidades educativas ecuatorianas (2019)

Análisis El 85% de los colaboradores nunca han recibido capacitaciones y el 15% menciona haber recibido al menos una vez alguna capacitación acerca de la seguridad de la información. Bajo estos indicadores se puede apreciar que los temas de capacitaciones sobre la seguridad de la información mantiene una grave falencia en lo que respecta a la concientización sobre el mal uso de activos de información institucionales.

28


5. ¿Ha ocurrido algún incidente de seguridad en las instituciones en el último año? Cuadro 18. Incidentes de seguridad en las instituciones Indicador

Frecuencia

Porcentaje

Si

17

65%

No

8

31%

No sabe

1

4%

Total

26

100%

Fuente: Encuesta a los docentes de las unidades educativas ecuatorianas (2019)

Incidentes de seguridad en las instituciones

Si

No

No sabe

4%

31% 65%

Figura 5: Incidentes de seguridad en las instituciones Fuente: Encuesta a los docentes de las unidades educativas ecuatorianas (2019)

Análisis El 65% de los colaboradores han experimentado un problema de seguridad, otro 31% en cambio no ha tenido ningún incidente, en tanto el 4% no sabe si ha tenido un incidente de seguridad. De esta forma, por lo menos, la mitad de los colaboradores han estado expuestos a problemas de seguridad de cualquier nivel informático dentro de las instituciones.

29


6. ¿Se le bloquea automáticamente su computadora cuando no la está utilizando? Cuadro 19. Bloqueo automático del computador Indicador

Frecuencia

Porcentaje

Si

3

12%

No

23

88%

No sabe

0

0%

Total

26

100%

Fuente: Encuesta a los docentes de las unidades educativas ecuatorianas (2019)

Bloqueo automático del computador

Si

No

No sabe

0% 12%

88%

Figura 6: Bloqueo automático del computador Fuente: Encuesta a los docentes de las unidades educativas ecuatorianas (2019)

Análisis El 12% de los colaboradores asegura que su equipo cuenta con un mecanismo de seguridad, mientras el 88% menciona no poseer medida alguna. Así, se puede identificar una grave falla de seguridad, dado que cualquier persona diferente del usuario del equipo de cómputo puede acceder a la información, incluso a la confidencial y actuar sobre la misma.

30


7. ¿Guarda en un lugar seguro los documentos confidenciales cuando ya no los está utilizando? Cuadro 20. Seguridad de documentos confidenciales Indicador

Frecuencia

Porcentaje

Siempre

16

62%

A veces

2

8%

Casi nunca

1

4%

Nunca

7

27%

Total

26

100%

Fuente: Encuesta a los docentes de las unidades educativas ecuatorianas (2019)

Seguridad de documentos confidenciales

Siempre

A veces

Casi nunca

Nunca

27% 4%

61%

8%

Figura 7: Seguridad de documentos confidenciales Fuente: Encuesta a los docentes de las unidades educativas ecuatorianas (2019)

Análisis El 61% de los colaboradores siempre almacena y resguarda los activos de información, mientras que el 8% de los funcionarios sólo cierta información considera almacenarla adecuadamente, mientras otro 4% de funcionarios rara vez almacena o etiqueta la información, el 27% nunca ha dado un buen resguardo de los activos de información. Denotando que, existe la posibilidad de fuga o hurto de información dado que los colaboradores no tienden a almacenar los activos de información adecuadamente. 31


8. ¿Cuándo tiene algún incidente de seguridad informática a quién lo notifica? Cuadro 21. A quién notifica los incidentes Indicador

Frecuencia

Porcentaje

Rector

5

19%

Jefe del área de sistemas

19

73%

No se notifica

1

4%

Otros

1

4%

Total

26

100%

Fuente: Encuesta a los docentes de las unidades educativas ecuatorianas (2019)

A quién notifica los incidentes

Rector

Jefe del área de sistemas

No se notifica

Otros

4% 4% 19%

73%

Figura 8: A quién notifica los incidentes Fuente: Encuesta a los docentes de las unidades educativas ecuatorianas (2019)

Análisis Un 19% de los colaboradores notificaría al rector sobre los incidentes de seguridad, mientras un 73% lo reportaría al jefe del área de sistemas, otro 4% utilizaría otro método para dar a conocer el incidente y un 4% simplemente no lo notifica. Determinando, que no existe un responsable determinado, al cual los colaboradores puedan acudir cuanto suceda un incidente de forma que se pueda dar gestión oportuna.

32


9. ¿Cree que es necesario aplicar controles de seguridad para evitar robo o daño de información importante para las instituciones? Cuadro 22. Necesidad de controles de seguridad Indicador

Frecuencia

Porcentaje

Si

24

92%

No

0

0%

No sabe

2

8%

Total

26

100%

Fuente: Encuesta a los docentes de las unidades educativas ecuatorianas (2019)

Necesidad de controles de seguridad

Si

No

No sabe

0% 8%

92%

Figura 9: Necesidad de controles de seguridad Fuente: Encuesta a los docentes de las unidades educativas ecuatorianas (2019)

Análisis El 92% de los colaboradores conocer la importancia de los activos de información para las instituciones y la protección de los mismos, mientras tan solo el 8% considera que es medianamente importante. Por tanto, el criterio de los colaboradores acerca de la protección de los activos de información de las instituciones es correcto y reconoce la importancia de salvaguardarlos.

33


10. ¿De los documentos que maneja, cuales considera usted que son catalogados como confidencial o restringidos? Cuadro 23. Tipos de confidencialidad de documentos Indicador

Frecuencia

Porcentaje

Todos

7

27%

Algunos

16

62%

Ninguno

3

12%

Total

26

100%

Fuente: Encuesta a los docentes de las unidades educativas ecuatorianas (2019)

Tipos de confidencialidad de documentos

Todos

Algunos

Ninguno

11% 27% 62%

Figura 10: Tipos de confidencialidad de documentos Fuente: Encuesta a los docentes de las unidades educativas ecuatorianas (2019)

Análisis El 27% de los colaboradores considera que todos los activos de información con los cuales labora son confidenciales, mientras el 62% cree que solo algunos son confidenciales, y tan solo el 11% cree que ningún activo de información tiene mayor importancia. Bajo esta perspectiva, se puede identificar que los colaboradores han determinado la importancia de ciertos o todos los activos de información, de forma que los han considerado confidenciales debido a la relevancia de los datos, pero no se tienen identificado de forma uniforme los criterios por los cuales deben clasificar los documentos a nivel institucional.

34


11. ¿Conoce si existe en las instituciones áreas restringidas a las cuales solo puede acceder personal autorizado? Cuadro 24. Áreas restringidas para el personal Indicador

Frecuencia

Porcentaje

Si

19

73%

No

7

27%

No sabe

0

0%

Total

26

100%

Fuente: Encuesta a los docentes de las unidades educativas ecuatorianas (2019)

Áreas restringidas para el personal

Si

No

No sabe

0%

27%

73%

Figura 11: Áreas restringidas para el personal Fuente: Encuesta a los docentes de las unidades educativas ecuatorianas (2019)

Análisis El 73% de los colaboradores dice que si existen medidas para el acceso físico a las distintas áreas de las instituciones, mientras el 27% menciona que tales medidas no existen. De esta forma, se puede inferir que puede que existan controles de seguridad pero estos son mínimos y nos son considerados por todos los colaboradores como medidas adecuadas de control de acceso. 35


Encuestas a los colaboradores del departamento de sistemas 1. ¿Existe un área o persona responsable de seguridad informática para la información en las instituciones? Cuadro 25. Área o persona responsable de la seguridad informática Indicador

Frecuencia

Porcentaje

Si

3

100%

No

0

0%

No sabe

0

0%

Total

3

100%

Fuente: Encuesta a los colaboradores del departamento de sistemas de las unidades educativas ecuatorianas (2019)

Área o personal responsable de la seguridad informática

Si

No

No sabe

0%

100%

Figura 12: Área o persona responsable de la seguridad informática Fuente: Encuesta a los colaboradores del departamento de sistemas de las unidades educativas ecuatorianas (2019)

Análisis El 100% de los colaboradores del departamento de sistemas conocen que existe un responsable encargado de la seguridad de la información. De esta forma se sabe quién es el partícipe de cumplir las actividades de seguridad informática para la información de las instituciones.

36


2. ¿Qué tipo de herramientas de seguridad tiene implementado en las instituciones? Cuadro 26. Tipo de herramientas de seguridad Indicador

Frecuencia

Porcentaje

Software

3

100%

Hardware

0

0%

Otras

0

0%

Total

3

100%

Fuente: Encuesta a los colaboradores del departamento de sistemas de las unidades educativas ecuatorianas (2019)

Tipos de herramientas de seguridad

Software

Hardware

Otras

0%

100%

Figura 13: Tipo de herramientas de seguridad Fuente: Encuesta a los colaboradores del departamento de sistemas de las unidades educativas ecuatorianas (2019)

Análisis El 100% de los colaboradores del departamento de sistemas dice conocer que todas las herramientas de seguridad, están basadas en software. El mismo que es un buen método de protección, dado que pueden ser actualizadas y configuradas según la necesidad.

37


3. ¿Tiene instalado antivirus en los equipos de computación? Cuadro 27. Instalación de antivirus Indicador

Frecuencia

Porcentaje

Si

3

100%

No

0

0%

No sabe

0

0%

Total

3

100%

Fuente: Encuesta a los colaboradores del departamento de sistemas de las unidades educativas ecuatorianas (2019)

Instalación de antivirus

Si

No

No sabe

0%

100%

Figura 14: Instalación de antivirus

Fuente: Encuesta a los colaboradores del departamento de sistemas de las unidades educativas ecuatorianas (2019)

Análisis El 100% de los colaboradores del departamento de sistemas conoce de las herramientas instaladas en los equipos de cómputo que se entrega a los funcionarios de las unidades educativas ecuatorianas. Por lo tanto, es una buena práctica de seguridad dotar de estos mecanismos de a los equipos de cómputo destinados al usuario común ya que previenen de introducir amenazas de software a los medios de procesamiento de información de las instituciones. 38


4. ¿Qué software utiliza las instituciones para controlar el software malicioso? Cuadro 28. Software que utiliza las instituciones para control Indicador

Frecuencia

Porcentaje

Antivirus

3

25%

Antispam

3

25%

Antispyware

3

25%

Cortafuegos

3

25%

Otros

0

0%

Total

12

100%

Fuente: Encuesta a los colaboradores del departamento de sistemas de las unidades educativas ecuatorianas (2019)

Software que utiliza las instituciones para control

25%

25%

25%

25%

0% Antivirus

Antispam Antispyware Cortafuegos

Otros

Figura 15: Software que utiliza las instituciones para control Fuente: Encuesta a los colaboradores del departamento de sistemas de las unidades educativas ecuatorianas (2019)

Análisis El 100% de los colaboradores del departamento de sistemas dice que existen antivirus, antispam, antispyware y firewall instalados como medidas de protección a los equipos de procesamiento de la información. Bajo estos indicadores. Las instituciones cuentan al menos con los mecanismos básicos para detectar y detener cualquier acción de software malicioso.

39


5. ¿Cuáles de los siguientes mecanismos de autenticación utiliza las instituciones? Cuadro 29. Mecanismos de autenticación Indicador

Frecuencia

Porcentaje

Clave de acceso

3

100%

Firma electrónica

0

0%

Otros

0

0%

No tiene

0

0%

Total

3

100%

Fuente: Encuesta a los colaboradores del departamento de sistemas de las unidades educativas ecuatorianas (2019)

Mecanismos de autenticación

100%

Clave de acceso

0%

0%

0%

Firma electrónica

Otros

No tiene

Figura 16: Mecanismos de autenticación Fuente: Encuesta a los colaboradores del departamento de sistemas de las unidades educativas ecuatorianas (2019)

Análisis El 100% de los colaboradores del departamento de sistemas, indica que la clave de acceso es el único medio de autenticación. Así, mantener varios mecanismos de autenticación para acceso a los servicios, se transforma en mayor seguridad siempre y cuando sean correctamente implementados, en el caso de las instituciones puede que el mecanismo vigente cumpla con las necesidades actuales pero debe buscar mejoras al mediano plazo.

40


6. ¿Se realiza un mantenimiento periódico en los sistemas de procesamiento de información y equipos informáticos de las instituciones? Cuadro 30. Mantenimiento informático Indicador

Frecuencia

Porcentaje

Si

3

100%

No

0

0%

No sabe

0

0%

Total

3

100%

Fuente: Encuesta a los colaboradores del departamento de sistemas de las unidades educativas ecuatorianas (2019)

Mantenimiento informático

Si

No

No sabe

0%

100%

Figura 17: Mantenimiento informático Fuente: Encuesta a los colaboradores del departamento de sistemas de las unidades educativas ecuatorianas (2019)

Análisis El 100% de los colaboradores del departamento de sistemas indican que si existe un procedimiento periódico para el mantenimiento de los equipos. Por tanto, existen planes de mantenimiento, los cuales ayudan al control y buen funcionamiento de los equipos de cómputo asegurando la disponibilidad de los mismos y los servicios que estos proveen a las instituciones.

41


7. ¿Cada cuánto tiempo realizan mantenimientos en los sistemas de procesamiento de información? Cuadro 31. Tiempo de mantenimiento a los sistemas Indicador

Frecuencia

Porcentaje

Mensual

0

0%

Trimestral

0

0%

Semestral

1

33%

Anual

2

67%

Total

3

100%

Fuente: Encuesta a los colaboradores del departamento de sistemas de las unidades educativas ecuatorianas (2019)

Tiempo de mantenimiento a los sistemas

Mensual

Trimestral

Semestral

Anual

0% 0%

33% 67%

Figura 18: Tiempo de mantenimiento a los sistemas Fuente: Encuesta a los colaboradores del departamento de sistemas de las unidades educativas ecuatorianas (2019)

Análisis El 33% de los colaboradores del departamento de sistemas conoce que se realiza un plan de mantenimiento semestral y otro 67% indican que se realizan de forma anual. Los datos expuestos mantienen una incongruencia en la definición de los planes de mantenimiento o no se tiene documentado el procedimiento o los tiempos de ejecución a nivel departamental están mal instituidos.

42


8. ¿De cuántos computadores dispone las instituciones? Cuadro 32. Número de computadores Indicador

Frecuencia

Porcentaje

De 20 a 30

0

0%

De 30 - 50

0

0%

Más de 50

3

100%

Total

3

100%

Fuente: Encuesta a los colaboradores del departamento de sistemas de las unidades educativas ecuatorianas (2019)

Número de computadores

100%

0%

0%

De 20 a 30

De 30 - 50

Más de 50

Figura 19: Número de computadores Fuente: Encuesta a los colaboradores del departamento de sistemas de las unidades educativas ecuatorianas (2019)

Análisis El 100% de los colaboradores del departamento de sistemas mencionan que mantienen más de 50 computadores en las instituciones. De esta forma está claro que se realizan inventario de los activos de sistemas o poseen algún medio que les permita realizar tal actividad a nivel institucional y departamental.

43


9. ¿Disponen de un espacio específico restringido para los servidores centrales de datos en las instituciones? Cuadro 33. Espacio de los servidores centrales de datos Indicador

Frecuencia

Porcentaje

Si

3

100%

No

0

0%

No sabe

0

0%

Total

3

100%

Fuente: Encuesta a los colaboradores del departamento de sistemas de las unidades educativas ecuatorianas (2019)

Espacio de los servidores centrales de datos

Si

No

No sabe

0%

100%

Figura 20: Espacio de los servidores centrales de datos Fuente: Encuesta a los colaboradores del departamento de sistemas de las unidades educativas ecuatorianas (2019)

Análisis El 100% de los colaboradores del departamento de sistemas mencionan que si existe un área donde se mantienen estos activos en una zona restringida. Por tanto, hay áreas especiales con acceso restringido donde solo personal autorizado por el departamento de sistemas puede ingresar, y además estas instalaciones cuentan con la protección requeridas para evitar daños en los equipos centrales de procesamiento como servidores, ups, etc.

44


10. Si las instituciones tiene conexión WIFI, ¿existen restricciones de seguridad para el acceso de dichas conexiones? Cuadro 34. Restricciones de seguridad del WIFI Indicador

Frecuencia

Porcentaje

Si

3

100%

No

0

0%

No sabe

0

0%

Total

3

100%

Fuente: Encuesta a los colaboradores del departamento de sistemas de las unidades educativas ecuatorianas (2019)

Restricciones de seguridad del WIFI

Si

No

No sabe

0%

100%

Figura 21: Restricciones de seguridad del WIFI Fuente: Encuesta a los colaboradores del departamento de sistemas de las unidades educativas ecuatorianas (2019)

Análisis El 100% de los colaboradores del departamento de sistemas exponen que si existe un control sobre redes inalámbricas. De esta forma, la gestión sobre redes que realiza las instituciones es relevante, pues les ayuda a controlar las amenazas que puedan afectar a través de este medio de comunicación.

45


11. ¿Se realizan respaldo de la información de las instituciones? Cuadro 35. Respaldo de la información institucional Indicador

Frecuencia

Porcentaje

Si

3

100%

No

0

0%

No sabe

0

0%

Total

3

100%

Fuente: Encuesta a los colaboradores del departamento de sistemas de las unidades educativas ecuatorianas (2019)

Respaldo de la información institucional

Si

No

No sabe

0%

100%

Figura 22: Respaldo de la información institucional Fuente: Encuesta a los colaboradores del departamento de sistemas de las unidades educativas ecuatorianas (2019)

Análisis El 100% de los colaboradores del departamento de sistemas conoce acerca de los planes de respaldo. De esta forma, se realiza un control sobre los respaldos de la información que esta soportada por los medios de almacenamiento de información de las instituciones.

46


12. ¿En caso de que se realice respaldo de información, con qué frecuencia lo realizan? Cuadro 36. Frecuencia de respaldo de información Indicador

Frecuencia

Porcentaje

Diario

3

50%

Semanal

3

50%

Mensual

0

0%

Trimestral

0

0%

Total

6

100%

Fuente: Encuesta a los colaboradores del departamento de sistemas de las unidades educativas ecuatorianas (2019)

Frecuencia de respaldo de información

50%

Diario

50%

Semanal

0%

0%

Mensual

Trimestral

Figura 23: Frecuencia de respaldo de información Fuente: Encuesta a los colaboradores del departamento de sistemas de las unidades educativas ecuatorianas (2019)

Análisis El 50% de los colaboradores del departamento de sistemas mantiene que los periodos de respaldos establecidos son diarios, mientras el otro 50% refiere que son semanales. Con referencia a estos datos, se puede decir que el área de sistemas lleva un control adecuado del respaldo de la información que reposa en los servidores.

47


13. ¿Se utilizan mecanismos de bloqueo automático de las estaciones de trabajo para cuando se encuentran desatendidos? Cuadro 37. Mecanismos de bloqueo automático en estaciones de trabajo Indicador

Frecuencia

Porcentaje

Si

0

0%

No

3

100%

No sabe

0

0%

Total

3

100%

Fuente: Encuesta a los colaboradores del departamento de sistemas de las unidades educativas ecuatorianas (2019)

Mecanismos de bloqueo automático en estaciones de trabajo

Si

No

No sabe

0%

100%

Figura 24: Mecanismos de bloqueo automático en estaciones de trabajo Fuente: Encuesta a los colaboradores del departamento de sistemas de las unidades educativas ecuatorianas (2019)

Análisis El 100% de los colaboradores del departamento de sistemas refieren no mantener un mecanismo automático de bloqueo. Esta problemática da apertura a que puedan ocurrir fugas de información, ya que cualquier otro usuario podrá interactuar con el equipo en el periodo de tiempo en que el colaborador responsable se ausente.

48


14. ¿Existen equipos que provean de energía ininterrumpida a los servidores y computadores de los colaboradores? Cuadro 38. Existen equipos de energía interrumpida Indicador

Frecuencia

Porcentaje

Si

0

0%

No

3

100%

No sabe

0

0%

Total

3

100%

Fuente: Encuesta a los colaboradores del departamento de sistemas de las unidades educativas ecuatorianas (2019)

Existen equipos de energía interrumpida

Si

No

No sabe

0%

100%

Figura 25: Existen equipos de energía interrumpida Fuente: Encuesta a los colaboradores del departamento de sistemas de las unidades educativas ecuatorianas (2019)

Análisis El 100% de los colaboradores del departamento de sistemas, no conocen que existen equipos que permitan el funcionamiento continuo de los sistemas de procesamiento de la información. Se puede concebir, que no existen planes de contingencia ante una eventualidad de corte energético.

49


15. ¿Qué servicios y sistemas considera más críticos en términos de disponibilidad? Cuadro 39. Servicios y sistemas críticos Indicador

Frecuencia

Porcentaje

Almacenamiento de datos

3

50%

Comunicación

0

0%

Procesamiento de datos

3

50%

Otros

0

0%

Total

6

100%

Fuente: Encuesta a los colaboradores del departamento de sistemas de las unidades educativas ecuatorianas (2019)

Servicios y sistemas críticos

50%

50%

0% Almacenamiento de datos

Comunicación

0% Procesamiento de datos

Otros

Figura 26: Servicios y sistemas críticos Fuente: Encuesta a los colaboradores del departamento de sistemas de las unidades educativas ecuatorianas (2019)

Análisis El 50% de los colaboradores del departamento de sistemas, mantiene que el sistema informático tiene un mayor uso hacia el almacenamiento de datos y en una proporción igual del 50% para el procesamiento de datos. Es decir, que mayormente la gestión informática es hacia documentación de las instituciones.

50


16. ¿Dónde se encuentran almacenados los medios de respaldos? Cuadro 40. Lugar de almacenamiento de datos Indicador

Frecuencia

Porcentaje

Dentro del área de sistemas

3

100%

Fuera del área de sistemas

0

0%

Fuera de las instituciones

0

0%

No existe almacenamiento

0

0%

Total

3

100%

Fuente: Encuesta a los colaboradores del departamento de sistemas de las unidades educativas ecuatorianas (2019)

Lugar de almacenamiento de datos

100%

0% Dentro del área Fuera del área de de sistemas sistemas

0%

0%

Fuera de la institución

No existe almacenamiento

Figura 27: Lugar de almacenamiento de datos Fuente: Encuesta a los colaboradores del departamento de sistemas de las unidades educativas ecuatorianas (2019)

Análisis El 100% de los colaboradores del departamento de sistemas, mantiene que la información institucional es almacenada a nivel interno en el parea de sistemas. Es decir, que una vulneración a las instalaciones de las instituciones podría terminar en el acceso y daño de sus datos.

51


17. ¿Durante el último año se tuvo algún incidente de seguridad grave de la información? Cuadro 41. Incidencias de seguridad grave Indicador

Frecuencia

Porcentaje

Si

0

0%

No

3

100%

No sabe

0

0%

Total

3

100%

Fuente: Encuesta a los colaboradores del departamento de sistemas de las unidades educativas ecuatorianas (2019)

Incidencias de seguridad grave

Si

No

No sabe

0%

100%

Figura 28: Incidencias de seguridad grave Fuente: Encuesta a los colaboradores del departamento de sistemas de las unidades educativas ecuatorianas (2019)

Análisis El 100% de los colaboradores del departamento de sistemas, refiere que no han existido daños graves a la seguridad informática de las instituciones. Por tanto, se puede exponer que los niveles de vulnerabilidad presentes son bajos pero que dentro del mediano plazo deben ser reforzados ante cualquier externalidad.

52


18. ¿Se mantiene un registro de fallas cuando ocurre algún evento en los sistemas de procesamiento de información? Cuadro 42. Registro de fallas de los sistemas Indicador

Frecuencia

Porcentaje

Si

2

67%

No

1

33%

No sabe

0

0%

Total

3

100%

Fuente: Encuesta a los colaboradores del departamento de sistemas de las unidades educativas ecuatorianas (2019)

Registro de fallas de los sistemas

Si

No

No sabe

0%

33%

67%

Figura 29: Registro de fallas de los sistemas Fuente: Encuesta a los colaboradores del departamento de sistemas de las unidades educativas ecuatorianas (2019)

Análisis El 67% de los colaboradores del departamento de sistemas mencionan que si se realiza un registro de fallas en los sistemas de procesamiento de la información, por otro lado, el 33% menciona no realizar ningún registro de control de fallos. Por tanto, no existe un procedimiento de control señalado, pero que de alguna forma si se está registrando las eventualidades en los sistemas de procesamiento de la información a nivel institucional.

53


CONCLUSIONES 

En conclusión, el análisis ejecutado en las unidades educativas ecuatorianas demuestra que los activos de información de las áreas consideradas críticas y la situación actual de las instituciones con respecto a la seguridad de la información, refleja potenciales índices de riesgos, los cuales exponen a la información a daños, robo o modificaciones que pueden causar un impacto negativo dentro de las actividades de las instituciones, colaboradores y estudiantes, para esto es menester la inclusión obligatoria de un Sistema de Gestión de Seguridad de la Información bajo la Norma ISO 27001.

Las unidades educativas ecuatorianas deben tomar acciones que le permitan prevenir y reconocer a tiempo todas las vulnerabilidades a las que están expuestos los sistemas de procesamiento de información, así como la información que es manejada y generada por los colaboradores. La implementación de controles de seguridad por medio de la Norma ISO 27001, permite en gran medida mejorar tres características importantes como son: la confidencialidad, integridad y disponibilidad de la información.

Gestionar un manual de políticas de seguridad de la información donde se puntualicen controles de seguridad según la realidad y necesidades actuales de las unidades educativas ecuatorianas, la constante concienciación a los colaboradores, así como el monitoreo continuo del departamento de sistemas, encauza a las instituciones a la correcta gestión de la seguridad de la información.

Se debe tener claro que a nivel institucional la seguridad total no existe, pero gestionar controles de seguridad por medio del Sistema de Gestión de Seguridad de la Información bajo la Norma ISO 27001 es esencial y permite asegurar información valiosa hacia una mayor dinámica de las unidades educativas ecuatorianas.

54


BIBLIOGRAFÍA Barrera, F. (2016). Manejo estratégico del FODA. México D.F.: Atenea ediciones. Benavides, S. (2018). La seguridad informática. Dallas - Estados Unidos: Poker ediciones. Castro, A., & Jácome, V. (2017). Seguridad informática y de control empresarial. Atlanta Estados Unidos: Micro ediciones. Constitución de la República del Ecuador. (2008). Constitución de la República del Ecuador. Montecristi: Registro oficial. Encalada, D. (2017). La gestión de riesgos informáticos en las instituciones privadas. Bogotá - Colombia: Power Siux ediciones. Fonseca, D. (2017). Riesgos informáticos. México D.F. - México: Atenea ediciones informáticas. Humpherey, A. (2014). Análisis FODA. Dallas - Estados Unidos: Montreal ediciones. Hunter Control Systems. (2019). Protocolos de seguridad. Houston - Estados Unidos: HCS ediciones. Ley Orgánica de Educación Intercultural. (2011). Ley Orgánica de Educación Intercultural. Quito - Ecuador: Registro Oficial No 527. Mejía, V. (2016). Manejo estadístico para proyectos. México D.F.: Atlas ediciones. Ministerio de Educación ecuatoriano. (2019). Información y manejo institucional. Quito Ecuador: Ministerio de Educación ecuatoriano publicaciones.

55


Plan Nacional de Desarrollo “Toda una vida”. (2017). Plan Nacional de Desarrollo “Toda una vida”. Quito - Ecuador: Registro Oficial 001. Ríos, A. (2018). Implementación de sistemas de seguridad informática. Dallas - Estados Unidos: Hill ediciones investigativas. Valverde, F. (2017). Sistemas de seguridad informáticos. México D.F. - México: Bermetti ediciones. Varela, C. (2017). El manejo de la seguridad informática en las empresas. Bogotá Colombia: Galeón ediciones educativas. Villegas, P. (2018). Matriz de vulnerabilidad. México D.F. - México: Platense ediciones. Wilmer, A. (2017). Metodología investigativa para proyectos. México D.F.: Amperio ediciones académicas.

56

Profile for Praxis Capital

El SGSI bajo la norma ISO 27001 hacia las unidades educativas ecuatorianas  

La presente investigación ha tenido como objetivo analizar al Sistema de Gestión de Seguridad de la Información (SGSI) para evitar los casos...

El SGSI bajo la norma ISO 27001 hacia las unidades educativas ecuatorianas  

La presente investigación ha tenido como objetivo analizar al Sistema de Gestión de Seguridad de la Información (SGSI) para evitar los casos...

Advertisement