Modelo gerencial para la seguridad de la información en una institución pública del estado Anzoátegui, Venezuela

Management model for information security in a public institution of Anzoátegui, Venezuela

Gerardo Guacarán, Mercedes Ortiz, Yenny Poturo y Carolina Wong

Factibilidad de la Propuesta

La aplicabilidad del Plan de Acción Gerencial propuesto será factible en la medida que el personal administrativo y gerencial sean receptivos y abiertos al cambio, con esto se generan los recursos humanos, materiales y económicos para la ejecución de todas las actividades propuestas.

En cuanto a los Recursos Humanos, la Institución Pública en estudio cuenta con una División de Informática que presta servicio a toda la red interna de dicho ente y está en capacidad de liderar las actividades pertinentes a este plan de acción.

Los Recursos Materiales pueden gestionarse a través de la oficina de Audiovisuales adscrita a la Dirección de Información y Relaciones.

Los Recursos Económicos pueden gestionarse a través de créditos adicionales, recursos del FIDES-LAEE o recursos extraordinarios, previa reunión con los Directores de Administración y Finanzas, Presupuesto y Planificación y Desarrollo, quienes son los responsables de velar por estos recursos en el Estado Anzoátegui.

Revisión Continua

Este proceso consiste en retroalimentar los diferentes Planes diseñados para el Sistema de Seguridad del ente, con todos los incidentes de seguridad deben ser registrados, reportados, revisados y escalados apropiadamente en forma regular para identificar y resolver incidentes que involucren actividades no autorizadas, esto significa que por lo menos cada año se deberá examinar las falencias o debilidades del modelo para modificarlo o reforzar los puntos más propensos a desastres.

Beneficios del modelo

• Determinar las principales variables críticas que influyen en la seguridad de la información de los equipos de procesamiento de datos.
• Conocer las flaquezas y puntos fuertes internos, así como también, los peligros y oportunidades del entorno que afectan al sistema de seguridad.
• Conocer los riesgos a que está expuesto la organización en lo que se refiere a seguridad de la información.
• Determinar el impacto que los riesgos de seguridad tienen en la organización.
• Contar con un medio para determinar el retorno de la inversión de la seguridad de la información.
• Contar con una herramienta gerencial donde se distribuyen diversas actividades con responsables, estrategias, tiempo y recursos necesarios para lograr un clima organizacional favorable al cumplimiento de los objetivos de la organización.
• Mejorar el apoyo de los altos directivos.

Conclusiones

• A través del modelo y su metodología se logro establecer un plan de seguridad informática firme, y dirigido a los principales riesgos de la institución en cuanto a sus vulnerabilidades. • Se pudieron establecer los controles de seguridad que deben ser implementados, de forma que les permita la interpretación clara y precisa de los resultados alcanzados por las políticas, medidas y procedimientos que definan en cada nivel de seguridad.

Recomendaciones

A fin de lograr un cambio en la cultura organizacional de la Institución Pública en estudio respecto a la seguridad de la información, se listan algunas recomendaciones para que acompañen la aplicación del modelo propuesto:

• Evaluar la factibilidad de implementar la Guía para el Diseño e Implantación de Arquitecturas Tecnológicas de Seguridad Informática en el Sector de la Administración Pública, propuesta por Superintendencia de Servicios de Certificación Electrónica (SUSCERTE), adscrito al Ministerio del Poder Popular para la Ciencia, Tecnología e Industrias Intermedias.
• Tomar como base las Políticas de Seguridad emanadas de la Superintendencia de Servicios de Certificación Electrónica (SUSCERTE) y elaborar políticas propias con el fin de ser sometidas a votación en el Consejo Legislativo del Estado y llevarlas a un nivel legal en la dependencia Anzoatiguense.
• Documentar en lo posible las políticas de seguridad a implementar y comunicar a todo el personal involucrado, en el funcionamiento de la Institución en estudio sobre las políticas adquiridas, incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad.
• Definir claramente los permisos y accesos de cada funcionario de la Organización y de todos los usuarios del sistema de información de la Organización
• Establecer con el ente en estudio un Acuerdo de Confidencialidad en el cual, las partes acuerdan, por una parte brindar toda la información necesaria para el caso, y por otra parte, mantener en completo secreto y confidencialidad la información brindada.
• Establecer una partida presupuestaria para la asignación de actividades en cuanto a seguridad.
• Tener en cuenta esta investigación con el fin de que sirva como base para estudios posteriores en seguridad de la información.

Referencias bibliográficas

[1] Academia Latinoamericana de Seguridad Informática. (Junio, 2006, 21).Unidad 1: Introducción a la Seguridad de la Información. Microsoft Technet. Disponible en: http://www.mslatam.com/latam/technet/cso/Html-ES/home.asp.

[2] Academia Latinoamericana de Seguridad Informática. (Junio, 2006, 21).Unidad 2: Conceptos de Análisis de Riesgo. Microsoft Technet. Disponible en: http://www.mslatam.com/latam/technet/cso/Html-ES/home.asp.

[3] Bailey, David. (1995) “Information Security: An Integrated Colletion of Essays: Essay 3 A Philosophy of Security Management”. California, Estados Unidos de América. ACSAC. Disponible en: http://www.acsac.org/secshelf/book001/03.pdf.

[4] Balestrini, Miriam. (2005)”¿Como se Elabora el Proyecto de Investigación?.” McGraw-Hill, Quinta Edición.

[5] Chiavenato, I. (1994) “Administración de Recursos Humanos,” McGraw-Hill, Colombia.

[6] Constitución de la República Bolivariana de Venezuela (1999). En Gaceta Oficial N0 36.860. Poder Legislativo de Venezuela.

[7] Davis, Fred R. (1994) “La Gerencia Estratégica,” Legis Editores S.A., Colombia.

[8] Drucker, P. (1999).” Los Desafíos de la Gerencia para el Siglo XXI. “Grupo Editorial Norma, Colombia.

[9] Foster, Steve y Pacl, Bob. (2004)” Análisis of Return on Investment for information Security.” Billerica, MA Estados Unidos de América. Getronics. [

10] Harris, Shon. (2004) “CISSP Certification: All-in-one Exam Guide.” Second Edition. Emerville, California. Estados Unidos de América. McGrawHill.

[11] IBM XFORCE. (2009) Disponible en: http://www.iss.net/x-force_report_images/index.html. Fecha de última consulta: 28/10/2009.

[12] Ley Orgánica en Ciencia, Tecnología e Innovación (2001). En Gaceta Oficial N0 37.313. Poder Legislativo de Venezuela.

[13] Mattos, Vela. (2006) Metodología de la Investigación. Disponible en: http://www.metodologia-unmsn.com/clases/7/index.htm.

[14] Malean, Grez y Brown Jason. (2003) Determining the ROI in IT security. Toronto, Canadá. CICA. Disponible en: www.davidfrico.com/mclean03.htm.

[15] Mekate [GLOSARIO]. (2008). www.mekate.com/glosario-r.html.

[16] Méndez, Carlos. (2001). “Metodología, Diseño y Desarrollo del proceso de investigación. “3ra Edición. Mc Graw Hill Interamericana Editores. Colombia. Bogotá.

[17] Morales O., Carlos A. (1998). Diseño de un Modelo de Gestión para la Seguridad Informática en la Intranet de una Clínica Privada. Trabajo de Grado. Ingeniería de Sistemas. Universidad de Monterrey. México.

[18] National Institute of Standards and Technology. (1995) An Introduction to computer Security: The Nist Handbook, Special Publication 800-12 Washington, Estados Unidos de América. National Institute of Standards and Technology (NIST). [19] Oud, Ernst Jan. (2005) The value to IT of using International Standards. En: Information Systems Control Journal. Vol 3; p. 35-39.

[20] Sánchez A., Nicolás y Segura C., Juan S. (2006) Una Guía Metodológica para el Cálculo del Retorno de la Inversión (ROI) en Seguridad Informática: Un Caso de Estudio. Trabajo de Grado. Ingeniería de Sistemas. Pontificia Universidad Javeriana. Bogotá D.C. Colombia.

[21] Sierra, R. (1992) Técnicas de Investigación Social: Teoría y Ejercicios. Octava Edición. Editorial Parainfo. Madrid, España.

[22] Strategy+Bussiness. (2009) Disponible en: www.strategy-business.com/press16635507/8375.

[23] Venezuela en posición promedio en el Security Index de Cisco para América Latina. Disponible en: http://enbytes.com/noticias/portal/cisco_security_index.html. Fecha de última consulta: 02/12/2009.

[24] Wilson, Marcia. (2003) Calculating security ROI is tricky bussines. Estados Unidos de América. ComputerWord.

[anterior] [inicio]