Diseño del sistema de gestión de seguridad de la información para la Unidad de Informática, Ingeniería de Sistemas y Telemática de la Universidad de Nariño soportada en los estándares Magerit e ISO/IEC 27001 y 27002-2013.

Abstract

Cada día las instituciones de educación superior reconocen la importancia de la información como uno de los activos más importantes que debe ser manejado eficientemente, para garantizar ventajas dentro del campo administrativo y académico competidos en la actualidad, por lo que las instituciones incrementan su inversión en el uso de diferentes tecnologías tales como páginas web informativas, tecnologías de identificación por lector de huellas dactilares, llaves de hardware que permiten verificar identidades y otras herramientas como sistemas de alertas, cifrado de datos, etc.

Una de estas tecnologías para el manejo de la información son los sistemas de información web, tales como portales web y sitios web que facilitan la interacción entre los usuarios y los servicios que pueden prestarse a través de ellos.

Es claro que, en este contexto, el objetivo es el de proteger la información contra ataques internos y externos ya sean sabotajes informáticos para causar daños al hardware o al software del sistema. Este tipo de amenazas y vulnerabilidades pueden causar daños en la infraestructura física o en la información de varias formas, que van desde las más simples como desconectar el computador de la electricidad mientras se está trabajando, hasta las más complejas como el uso de programas lógicos destructivos, o el uso de los virus informáticos.

Hoy en día ninguna organización está exenta de esta clase de vulnerabilidades, amenazas o ataques, que deben ser detectados a tiempo para así diseñar una serie de controles que las contrarresten, para lograrlo se han creado diferentes normas, entre las cuales existe la norma ISO/IEC 27000 que proporcionan un marco de gestión de la seguridad de la información que puede adaptarse por cualquier organización pública o privada, grande o pequeña, en el proyecto se hará uso de las normas ISO 27001 de activos de información e ISO 27002 de controles de seguridad.

Impulsados en lo anterior se presenta un proyecto enfocado en una auditoría a la seguridad de la información soportada en los estándares MAGERIT e ISO/IEC 27000 para la Unidad de Informática, Ingeniería de Sistemas y Telemática de la Universidad de Nariño, ya que la información es un factor clave de éxito y por lo tanto su eficiente administración garantiza altos estándares de calidad y productividad.

El desarrollo de este proyecto implica la definición de los activos que necesitan protegerse para la Unidad de Informática, Ingeniería de Sistemas y Telemática de la Universidad de Nariño distribuidos en 4 áreas que son Administración Centro de datos, Administración Red de Datos, Administración Portal Web y Administración Servicios de Soporte y Mantenimiento, junto con los riesgos, vulnerabilidades, amenazas y controles existentes para cada uno de ellos. Una vez hecho esto, se continuará a definir nuevos controles necesarios para cada uno de los activos, y como resultado un informe de auditoría a la seguridad de la información, que mejor se ajuste a las necesidades actuales y que permita gestionar de manera eficiente la información para el aula, asegurando la integridad, confidencialidad y disponibilidad de la misma y con esto la mejora continua de la institución.