DISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBRE
Tesi3
1. Ciencias Holguín
E-ISSN: 1027-2127
revista@ciget.holguin.inf.cu
Centro de Información y Gestión Tecnológica
de Santiago de Cuba
Cuba
Díaz-Ricardo, Yanet; Pérez-del Cerro, Yunetsi; Proenza-Pupo, Dayamí
Sistema para la Gestión de la Información de Seguridad Informática en la Universidad de Ciencias
Médicas de Holguín
Ciencias Holguín, vol. XX, núm. 2, abril-junio, 2014, pp. 1-14
Centro de Información y Gestión Tecnológica de Santiago de Cuba
Holguín, Cuba
Disponible en: http://www.redalyc.org/articulo.oa?id=181531232002
Cómo citar el artículo
Número completo
Más información del artículo
Página de la revista en redalyc.org
Sistema de Información Científica
Red de Revistas Científicas de América Latina, el Caribe, España y Portugal
Proyecto académico sin fines de lucro, desarrollado bajo la iniciativa de acceso abierto
2. Ciencias Holguín, Revista trimestral, Año XX, abril-junio 2014
Ciencias Holguín ISSN 1027-2127 1
Sistema para la Gestión de la Información de Seguridad Informática en la
Universidad de Ciencias Médicas de Holguín/ System for the Management
of the Information of Informatics Security at the Medical Sciences
University of Holguín
* Yanet Díaz-Ricardo. ydiazr@facinf.uho.edu.cu
** Yunetsi Pérez-del Cerro. yuni@ucm.hlg.sld.cu
*** Dayamí Proenza-Pupo. dproenzap@facinf.uho.edu.cu
Institución de los autores
*; ***Universidad de Holguín “Oscar Lucero Moya”
** Universidad de Ciencias Médicas de Holguín
PAÍS: Cuba
RESUMEN
Abordó una investigación realizada en la Universidad de Ciencias Médicas de
Holguín, motivada por la necesidad de contar con una herramienta de apoyo
para la gestión de reportes de incidentes, control del estado de protección de
los medios informáticos, así como la mejor preparación de los trabajadores en
aspectos relacionados con la seguridad informática. Tiene como objetivo
fundamental la resolución de un conjunto de dificultades en este aspecto, como
son los relacionados con la fluidez de la información, la centralización y
confiabilidad en sus datos, para mitigar estos perjuicios se desarrolló una
herramienta informática que apoya la gestión de la información sobre seguridad
informática.
PALABRAS CLAVES: GESTIÓN DE INFORMACIÓN; SEGURIDAD
INFORMÁTICA; HERRAMIENTA INFORMÁTICA.
ABSTRACT
This investigation approached the necessity of a supporting tool for the
management of incidence reports; the control of informatics means’ protection
status and also a better training of workers in some aspects related to
3. Díaz, Pérez, Proenza
Año XX, abril-junio 2014 2
informatics security. Its main objective is the overcoming of some difficulties
such as the information fluency, the centralization and reliability of data. In order
to diminish the prejudices, an informatics tool that supports the information
management about informatics security was developed.
KEY WORDS: INFORMATION MANAGEMENT; COMPUTER SECURITY;
INFORMATION-TECHNOLOGY TOOL.
INTRODUCCIÓN
La seguridad informática (en lo adelante, S.I) que contempla en la actualidad
un importante número de disciplinas y especialidades distintas y
complementarias, se ha convertido en una pieza fundamental en el entramado
empresarial, industrial y administrativo de los países.
La falta de una figura encargada de coordinar, planear y promover las
actividades que tengan que ver con la S.I genera una situación que se ve
reflejada en el crecimiento de problemas de seguridad que se presentan dentro
de las instituciones, conocidos como incidentes.7
Los trascendentales cambios operados en el mundo moderno, caracterizado
por su incesante desarrollo; la acelerada globalización de la economía, la
acentuada dependencia que incorpora un alto volumen de información y los
sistemas que la proveen; el aumento de la vulnerabilidad y el amplio espectro
de amenazas, imponen nuevos retos a la práctica de la profesión de auditoría,
en particular a la auditoría de seguridad Informática.
Las características que priman en el entorno de cualquier entidad moderna que
incorpore a su gestión las tecnologías de información, sustentadas sobre una
infraestructura tecnológica con amplio grado de integración de redes,
comunicaciones y sistema de información de punta, demanda transformaciones
en la práctica de la disciplina orientada a ejercer un control superior mediante la
auditoría.1
Cuba realiza grandes esfuerzos e invierte considerables recursos, para llevar la
informatización a todos los niveles de la sociedad, con el objetivo de mejorar la
rapidez del acceso a la información y su organización de una manera
adecuada, además, de garantizar la preparación.
Producto a los avances alcanzados en los últimos años, con el incremento del
uso de tecnologías de la información en todos los sectores, en particular de las
4. Sistema para la Gestión de la Información de Seguridad Informática en la Universidad de Ciencias Médicas de Holguín
Ciencias Holguín ISSN 1027-2127 3
redes informáticas y sus servicios asociados, surge como una necesidad del
Estado cubano la creación de la Oficina de Seguridad para las Redes
Informáticas (OSRI), creada por el Acuerdo 3736/2000 del Comité Ejecutivo del
Consejo de Ministros (CECM), adscripta al Ministerio de la Informática y las
Comunicaciones (MIC), con el objetivo de prevenir, evaluar, investigar y dar
respuesta a las acciones tanto internas como externas que afecten el normal
funcionamiento de las Tecnología de la Informática y las Comunicaciones (TIC)
en el país.9
Se elabora además la Resolución 127/2007 del MIC, que aprueba y pone en
vigor un Reglamento de Seguridad para las Tecnologías de la Información, que
responde a las necesidades actuales en esta materia, que tienen entre sus
funciones específicas, las de establecer y controlar las normas y regulaciones
relativas a la integridad, privacidad de la información y la seguridad e
invulnerabilidad de las redes de infocomunicaciones.6
Es por ello que, poco a poco, las organizaciones en el país han tomado
conciencia del problema de la seguridad informática y paulatinamente
incorporan la figura Responsable o Especialista de S.I.
En la Universidad de Ciencias Médicas de Holguín (UCM), perteneciente al
Ministerio de Salud Pública (MINSAP), existe una persona que se
responsabiliza de establecer los controles en correspondencia con el grado de
protección requerido por el sistema informático diseñado, el cual tiene entre sus
funciones realizar auditorías de seguridad informática, dirigidas
fundamentalmente a prevenir, detectar y contrarrestar las acciones que pongan
en peligro la confidencialidad, disponibilidad e integridad de la información.
La UCM de Holguín tiene dentro de sus objetivos principales contribuir a la
formación del personal médico de acuerdo con las necesidades del sistema
nacional, realizar trabajos de investigación, desarrollar medios de enseñanza
interactivos, por lo que el uso de las tecnologías de la información se ha
convertido en factor esencial para el proceso de superación profesional. Por
ello, se hace imprescindible la adopción de un conjunto de medidas
organizativas que permitan fomentar e incrementar progresivamente la
eficiencia de los sistemas de seguridad informática.
El propósito de tener una figura denominada Responsable o Especialista de S.I
es contar con alguien a quien se pueda recurrir en caso de producirse algún
5. Díaz, Pérez, Proenza
Año XX, abril-junio 2014 4
problema de seguridad, un encargado de difundir las alertas, así como
proponer y definir esquemas que reduzcan los incidentes de seguridad que se
presenten.
De ocurrir algún tipo de incidente o violación de la seguridad informática, la
entidad tiene la obligación de formular la estrategia a seguir ante el mismo, que
pueda producirse en correspondencia con la importancia de los bienes
informáticos que posea y las posibles alternativas a emplear para garantizar los
servicios. Una vez establecida la estrategia, se dispondrá de las medidas y los
procedimientos que correspondan con el fin de garantizar la continuidad, el
restablecimiento y la recuperación de los procesos informáticos, además, de
garantizar una buena evaluación de lo ocurrido.1
Actualmente, toda la información relacionada con la seguridad informática se
gestiona de forma manual, estas limitaciones traen como resultado que no se
puedan satisfacer las necesidades de información con calidad y rapidez, lo que
provoca retrasos y posibles errores en los datos requeridos. Además, el
intercambio de información con las entidades subordinadas se realiza
personalmente, por teléfono o correo electrónico, trayendo mal
aprovechamiento de tiempo, esfuerzos y recursos. La información sobre las
inspecciones de auditoría realizadas se almacena en papel, que ocupa
espacio, se deteriora con facilidad y afecta al medio ambiente.
Todo lo anterior ha incidido en el incremento acelerado no solo del volumen de
información, sino del producto informático derivado de este. Esto ha significado
que existan dificultades con el procesamiento de las informaciones necesarias
para el trabajo específico de seguridad informática en la UCM de Holguín, a la
hora de reportar una incidencia, de conocer las principales violaciones que se
detectan, contar con un método informativo que garantice la preparación de los
usuarios en temas referentes a la S.I, tener un mayor control de los medios
informáticos y generar reportes gráficos que ilustren los resultados de los
controles realizados por meses o años.
Según lo analizado anteriormente se resume como situación problémica la
dificultad de gestionar ágilmente la información relacionada con la seguridad
informática, por el tratamiento de grandes volúmenes de datos, lo que provoca
1 Reglamento de seguridad para las tecnologías de la información. 2007
6. Sistema para la Gestión de la Información de Seguridad Informática en la Universidad de Ciencias Médicas de Holguín
Ciencias Holguín ISSN 1027-2127 5
pérdidas y errores por el empleo de métodos tradicionales con el
correspondiente consumo en materiales de oficina y excesivo esfuerzo por
parte de las personas involucradas en este proceso.
De donde surge el problema: ¿cómo favorecer, en la Universidad de Ciencias
Médicas de Holguín, el proceso de gestión de la información de seguridad
informática para mejorar su tratamiento y fluidez?
Por lo que se define como objetivo: desarrollar un sistema informático para la
gestión de la información de seguridad informática que favorezca su
tratamiento y fluidez en la Universidad de Ciencias Médicas de Holguín.
MATERIALES Y MÉTODOS
Para el desarrollo de esta investigación se utilizaron diferentes métodos de
investigación empíricos, teóricos.
Métodos empíricos:
• Entrevista: se utilizó para determinar los requerimientos del sistema.
• Consulta de documentos: se empleó para determinar la información que
será persistente en el sistema.
• Observación: permitió la comprensión de los procesos que se deseaban
informatizar.
• Encuesta: proporcionó la evaluación del estado actual del proceso.
• Criterio de expertos: se utilizó para evaluar el grado de satisfacción de
los usuarios con la propuesta de solución.
Métodos teóricos:
• Análisis y síntesis: permitió estructurar y organizar las características
básicas de la aplicación del sistema informático.
• Histórico lógico: posibilitó evaluar el problema para identificar las
principales necesidades.
• Modelación sistémica: sirvió para la elaboración del análisis y diseño de
las funcionalidades del sistema informático.
RESULTADOS DEL TRABAJO
Los sistemas de información y los datos almacenados están entre los recursos
más valiosos con los que puede contar cualquier organización. La necesidad
7. Díaz, Pérez, Proenza
Año XX, abril-junio 2014 6
imperante del flujo de información y el traslado de recursos de un sitio a otro
hace que aparezcan vulnerabilidades que ponen en riesgo la seguridad de la
infraestructura de comunicación y toda la información que contienen sus nodos.
Proteger la información y los recursos tecnológicos informáticos es una tarea
continúa y de vital importancia que debe darse en la medida en que avanza la
tecnología, ya que las técnicas empleadas por aquellos que usan dichos
avances para fines delictivos aumentan y como resultado los atacantes son
cada vez más numerosos, mejor organizados y con mejores capacidades.
En la presente investigación se informatizaron las acciones que contribuyen a
realizar una gestión más eficiente de la información de seguridad informática. A
continuación se presenta el diagrama de paquetes en que están organizadas
las funcionalidades del sistema:
Seguridad Capacitación
Estado Protección
Medios Informáticos
Utiliza
General
Utiliza
Administración
Utiliza
Incidentes.
Utiliza
Utiliza
Figura 1 Diagrama de Paquetes
El paquete Seguridad garantiza la integridad y confiabilidad de los datos
almacenados, garantizando que los usuarios accedan y actualicen la
información a la que tienen permiso en dependencia de los privilegios que
posea. Todos los restantes paquetes están relacionados con este.
El paquete General agrupa algunas funcionalidades que van a ser utilizadas
por los restantes paquetes, cambiar la contraseña y visualizar la ayuda del
sistema.
8. Sistema para la Gestión de la Información de Seguridad Informática en la Universidad de Ciencias Médicas de Holguín
Ciencias Holguín ISSN 1027-2127 7
El paquete Administración contiene opciones que permiten la gestión de
usuarios y áreas, además de tener acceso a las trazas de accesos al sistema y
poder restaurar el mismo en caso de ser necesario.
El paquete Incidentes le permite a los usuarios reportar incidentes de diversos
tipos, detallando en observaciones lo ocurrido y permitiéndole modificarlo hasta
tanto el incidente no sea recepcionado por el Especialista de S.I., quien tendrá
el control de ahí en lo adelante hasta que quede resuelto o finalizado.
El paquete de Capacitación se encarga de proporcionarles preparación a los
trabajadores sobre temas relacionados con la seguridad informática.
El paquete de Control del Estado de Protección de Medios Informáticos le
permite al Especialista de Seguridad Informática tener identificadas las
vulnerabilidades por cada área.
A continuación se presenta un diagrama que constituye una representación
gráfica de las funcionalidades, agrupadas en casos de uso (fragmentos de
funcionalidad), que brinda el paquete Incidentes y su interacción con los
usuarios potenciales:
Figura 2 Diagrama de CUS para el paquete Incidentes
Los usuarios que interactuarán con el sistema son los que a continuación se
relacionan:
• Especialista de SI: Se encarga de llevar el control de los incidentes, la
capacitación y el estado de protección de los medios informáticos.
9. Díaz, Pérez, Proenza
Año XX, abril-junio 2014 8
• Administrador: Representa al responsable de las acciones
administrativas del sistema.
• Usuario: Generalización de los actores del sistema. Tiene acceso a
información pública como: políticas de seguridad informática, enlaces y
otros documentos, además de poder, reportar incidencias y cambiar su
contraseña.
Para el almacenamiento de la información que genera el proceso se creó la
siguiente distribución representada en el modelo de datos:
Figura 3 Modelo Lógico de Datos
A continuación se muestran imágenes del sistema:
El Sistema para la Gestión de la Información de Seguridad Informática (GISI),
es un paquete Cliente – Servidor, diseñado sobre plataforma web con el
objetivo de soportar en línea la mayor parte de la información que controla la
gestión de la seguridad informática en la Universidad de Ciencias Médicas de
Holguín.
10. Sistema para la Gestión de la Información de Seguridad Informática en la Universidad de Ciencias Médicas de Holguín
Ciencias Holguín ISSN 1027-2127 9
Pantalla de Autenticación
Figura 4 Pantalla de Autenticación
El sistema cuenta con el área de autenticación, donde se debe especificar
usuario y contraseña.
Al registrarse en el Sistema, se accederá a la página de inicio del sitio, que se
muestra.
Figura 5 Pantalla de Bienvenida
En dependencia de la persona que se autentica, la aplicación muestra
diferentes opciones en el menú. Dentro de las actividades del Administrador,
está la actualización de los usuarios que interactuarán con la aplicación. Esto
se realiza a través de la opción “Listado de Usuarios del Sistema” del menú
“Usuarios”. Al escoger esta opción, GISI se redirecciona hacia la interfaz que
se muestra.
11. Díaz, Pérez, Proenza
Año XX, abril-junio 2014 10
Figura 6 Gestión de Usuarios
El especialista de seguridad Informática gestiona lo referente a los Incidentes y
su tratamiento en la aplicación. La actualización de los tipos de incidencias el
especialista la realiza a través de la interfaz que se muestra, a la cual se
accede a través de la opción “Tipos de Incidencias” del menú “Incidencias”. En
ella puede agregar, modificar o borrar los tipos de incidencias. Las demás
interfaces que realizan estas acciones se diseñaron siguiendo el mismo patrón.
Figura 7 Gestión de Incidencias
12. Sistema para la Gestión de la Información de Seguridad Informática en la Universidad de Ciencias Médicas de Holguín
Ciencias Holguín ISSN 1027-2127 11
Valoración de la aplicación
Una vez desarrollado un sistema es necesario realizar una valoración para
obtener el grado en que satisface los requisitos que lo dieron origen. Para este
estudio se utilizó el método Delphi considerado como uno de los métodos
subjetivos de pronósticos más confiables.
A partir de la aplicación de este criterio se obtuvieron resultados satisfactorios,
pues de las 34 funcionalidades de la propuesta de solución puesta a
consideración de los expertos, 31 fueron consideradas como muy relevantes
(91,2%) y 3 de bastante relevante (8,8%). Ninguna funcionalidad fue
considerada relevante, poco o nada relevante. De lo que se concluye que la
aplicación elaborada es factible y aplicable para favorecer la gestión de
información de seguridad informática.
CONCLUSIONES
Con el desarrollo del sistema propuesto se ha dado cumplimiento al objetivo de
esta investigación, pues como resultado se obtuvo un producto informático de
alta calidad que proporciona mayor integridad y confiabilidad a los datos.
A continuación se relacionan las principales conclusiones a las que se arribó:
1. A través del estudio realizado se detectaron las deficiencias en el
proceso de gestión de información de seguridad informática, por lo que
se propuso como solución la implantación del sistema que se ha
desarrollado.
2. La metodología utilizada para el diseño y desarrollo de la aplicación
resultó eficiente y queda disponible para su utilización en sistemas
similares.
3. El sistema Web elaborado está valorado por el método Delphi, mediante
entrevistas a especialistas y encuestas a expertos que permitieron
evaluar y valorar la aplicación Web.
RECOMENDACIONES
A partir de la investigación realizada en la Universidad de Ciencias Médicas de
Holguín y para continuar el desarrollo de este trabajo se recomienda:
13. Díaz, Pérez, Proenza
Año XX, abril-junio 2014 12
1. Generalizar el uso de la aplicación Web al resto de las entidades para
que puedan explotarlo y utilizar las facilidades que brinda esta
herramienta.
2. Confeccionar un plan de capacitación que garantice la adecuada
preparación de los usuarios que usarán la herramienta para que
aprovechen al máximo las facilidades que brinda GISI.
3. Implementar en el sistema la opción de imprimir reportes estadísticos.
BIBLIOGRAFÍA
1. Alvarez, L. D. (2005). Seguridad Informática. México D.F. [Documento
en línea]. http://www.slideshare.net/raisa_22_acuario/seguridad-
informatica-13543798. [Consultado: 29 /1/ 2012].
2. Antúnez, A., Oduardo, N. Auditoria y Seguridad informática. Realidades
y perspectivas en Cuba. [Documento en línea].
http://www.sabetodo.com/contenidos/EEZZuulZllVZJbakCg.php.
[Consultado: 25 /2/ 2012].
3. J.Cano, J. (2004). Inseguridad informática: Un concepto dual en
seguridad informática [versión electrónica]. Revista de Ingeniería 19.
Disponible en:
http://revistaing.uniandes.edu.co/index.php?ida=62&idr=3&ids=1.
[Consultado: 20 /2/ 2012].
4. Jacobson, I., Booch, G., Rumbaugh, J. (2000). El Lenguaje Unificado de
Modelado. New York: Addison Wesley.
5. Jacobson, I., Booch, G., Rumbaugh, J. (2000). El proceso unificado de
desarrollo de software. New York: Ed. Addison Wesley.
6. John, D. (1995). An Analysis of security on the Internet 1989-1995,
Carnegie Mellon University, Carnegie Institute of Technology.
[Documento digital]
7. Lluén, Salazar. (2005). Perfiles Profesionales para Seguridad
Informática, [Documento en línea].
http://www.monografias.com/trabajos-pdf2/perfiles-profesionales-
seguridad-informatica-practico/perfiles-profesionales-seguridad-
informatica-practico.pdf. [Consultado: 29 /1/ 2012].
14. Sistema para la Gestión de la Información de Seguridad Informática en la Universidad de Ciencias Médicas de Holguín
Ciencias Holguín ISSN 1027-2127 13
8. Rios, J. Seguridad Informática. [Documento en línea]
http://www.monografias.com/trabajos82/la-seguridad-informatica/la-
seguridad-informatica.shtml. [Consultado: 2 /2/ 2012].
9. Rodríguez, F. El Método Delphi para el procesamiento de los resultados
de Encuestas a Expertos o Usuarios en Estudios de Mercado y en la
Investigación Educacional. Universidad Oscar Lucero Moya, Holguín.
[Documento digital].
10.Suárez, I. (2011). Procedimiento para la gestión de Información de la
Seguridad Informática. Tesis de Maestría. Universidad Oscar Lucero
Moya, Holguín.
15. Díaz, Pérez, Proenza
Ciencias Holguín ISSN 1027-2127 14
Síntesis curricular de los Autores
* Ing. Yanet Díaz-Ricardo Ingeniero Informático. Profesor. Dpto. de Informática.
Investigaciones realizadas: Sistema para la Gestión de Contratos Económicos en la
Zona Oriente Norte, ECASA S.A.
Cursos de posgrado impartidos: Curso Introductorio a la Plataforma de Aprendizaje a
Distancia (Moodle) para administradores, Ingeniería de Software (UML), Instalación,
configuración y administración del CMS Joomla.
Cursos de posgrado recibidos: Seguridad Informática, Oficina para la Seguridad de las
Redes Informáticas, Dirección y Administración, Metodología de la Investigación
Científica, Diplomado Docencia Universitaria
Participación en eventos: IV Conferencia Científica Internacional, V Conferencia
Científica Internacional, XVI Forum Municipal de Ciencia y Técnica, Relevante, XVI
Forum Provincial de Ciencia y Técnica, Destacado.
** Ing. Yunetsi Pérez-del Cerro Ingeniero Informático. Especialista de Seguridad
Informática. Dpto. de las TIC. Universidad de Ciencias Médicas de Holguín, Cuba.
Cursos de posgrado recibidos: Software Libre como Estación, Seguridad Informática,
Centro Provincial de Información de Ciencias Médicas. Gestor de Contenidos
*** Ing. Dayamí Proenza-Pupo Ingeniero Informático Universidad de Holguín, Cuba.
Investigaciones realizadas: Sistema Informático para la seguridad en las conexiones y
comunicaciones de la red de datos en el Nodo Central de la Universidad de Holguín
Cursos de posgrado impartidos: Curso Instalación, configuración y administración del
CMS Joomla,
Cursos de posgrado recibidos: Fundamentos de Redes, Seguridad Informática,
Administración Básica de Redes en GNU/Linux Debian. Correo Electrónico e Internet.
Herramientas de simulación y virtualización de hardware y redes, Seguridad en
Tecnologías de la Información. Ha participado en eventos Como V Conferencia
Científica Internacional, IV Taller de Informatización de la sociedad holguinera, Taller
Nacional de Informatización, Taller Nacional de Seguridad Informática.
Institución de los autores.
*; *** Universidad de Holguín “Oscar Lucero Moya”
** Universidad de Ciencias Médicas de Holguín
Fecha de Recepción: 30101/2013
Fecha de Aprobación: 10/01/2014
Fecha de Publicación: 16/04/2014