Vous êtes sur la page 1sur 49

ESTUDIO DE CASO

POLTICAS CORPORATIVAS DE SEGURIDAD INFORMTICA

POR: SAL ANTONIO REYES ARIAS

TUTOR: JON ARAMBARRI


BOGOT COLOMBIA, JULIO DE 2008

Polticas de Seguridad Informtica

362. No necesito milagros: me sobra con los que hay


en la Escritura. En cambio, me hace
falta cumplimiento del deber,
tu correspondencia a la gracia. 1

INDICE

1. ESTRUCTURA
1.1 INTRODUCCIN
1.2 IDENTIFICACIN DEL ENTORNO
1.3 PROBLEMTICA PLANTEADA
1.4 ESTRATEGIA PLANTEADA

5
5
6
9
1
3

1 San Josemara Escriv de Balaguer, CAMINO. PROCODES 1993


Polticas de Seguridad Informtica

1.5 ESTADO DEL ARTE


1.6 ESTRATEGIA ADOPTADA
1.7 MEJORES PRCTICAS
1.8 ASPECTOS A REPLANTEAR

1
6
2
7
3
5
3
9

INDICE ANEXOS TABLAS GRFICOS


ANEXOS
Anexo No. 1
Anexo No. 2

Plataforma de TI 2005-2008
Mapa de Web 2.0
Polticas de Seguridad Informtica

Anexo No. 3
Anexo No. 4
Anexo No. 5
Anexo No. 6

Anexo No. 7

TABLAS
Tabla No.
Tabla No.
Tabla No.
Tabla No.
Tabla No.
Tabla No.
Tabla No.

1
2
3
4
5
6
7

GRFICOS
Grfico No. 1
Grfico No. 2

Inventario de TI Universidad de La Sabana


Recomendaciones para la redaccin de Polticas de
Seguridad
Polticas de acceso y uso responsable de Internet y
servicios asociados
Encuesta de Medicin del grado de satisfaccin de la
Poltica de acceso y uso responsable de Internet y
servicios asociados
Resultado de la encuesta de Medicin del grado de
satisfaccin de la Poltica de acceso y uso
responsable de Internet y servicios asociados

Lineamientos y soluciones de seguridad


Intrusiones identificadas en Mxico
Obstculos para lograr un adecuado SGSI
Miembros del Comit de Sistemas
Cuadro de responsabilidades
Ficha tcnica de la encuesta
Procesos y aspectos a mejorar y replantear

Violaciones de seguridad ms comunes en Colombia


Polticas de seguridad informtica

1. ESTRUCTURA
1.1 INTRODUCCIN
Las organizaciones desde hace varios aos, han venido
evolucionando en varios aspectos que han ayudado para el progreso y
continuo desarrollo, al igual que otras han fracasado en su intento.
Aquellas que fracasaron, en su gran mayora, predominio el factor
tecnolgico como elemento que determino que si la organizacin no
entraba en una etapa de modernizacin tecnolgica se pronosticaba su

Polticas de Seguridad Informtica

fracaso. De tal forma que la tecnologa se convirti en un elemento


diferenciador y competitivo.
El rol ha cambiado un poco, ya no basta con sistematizar los
procesos de la organizacin, ahora hay que buscar como stas
herramientas que proliferan en el mercado ayudan a la toma de
decisiones para convertirlas en elemento diferenciador para la
competencia.
Toda sta infraestructura de apoyo tecnolgico que apalanca a las
organizaciones debe enfrentarse de forma ordenada y estructurada,
capaz de alinear la parte sistmica con los objetivos del negocio. Un
parte esencial para cumplir ste objetivo es la implementacin de
buenas prcticas para hacer una administracin y gestin de la
plataforma tecnolgica, atado de esto, van ligadas las polticas
organizacionales que se ajusten a las necesidades y situaciones
actuales, que ayuden proyectar un buen clima de cultura de seguridad
informtica.
El siguiente caso presenta un recorrido en detalle de la
infraestructura tecnolgica de la Universidad de La Sabana y como a
travs de polticas organizaciones de uso de Internet y servicio
asociados se ha logrado iniciar la etapa de una cultura de seguridad
informtica.

1.2 IDENTIFICACIN DEL ENTORNO

ENTORNO
REGIN/PAS

ENTORNO
SECTORIAL

EMPRESA

Polticas de Seguridad Informtica

La Universidad
de La Sabana esta
ubicada
en
el
municipio de Cha,
Colombia, a 21 KM de
la capital, Bogot. Sus
instalaciones
se
localizan en un el
Campus Universitario
Puente del Comn,
ofrece
excelentes
instalaciones,
espacios de estudio,
zonas verdes y reas
para
deportes.
Estudiantes,
profesores
y
empleados
encuentran
en
el
Campus
un
lugar
pensado para vivir
el
quehacer
universitario,
el
estudio
y
la
investigacin.

Colombia se
destaca
en
Latinoamrica
por
tener ms de 10
Universidades
ubicadas en los 100
primeros
puestos
del
racking
del
directorio
internacional de la
educacin.
Se
destacan
en
su
orden la Universidad
Nacional
de
Colombia,
la
Universidad de los
Andes,
la
Universidad
Externado
de
Colombia,
La
Pontificia
Universidad
Javeriana,
La
Universidad
del
Valle
y
la
Universidad
del
La construccin Norte entre otras.
de la actual sede de
la Universidad de La
La Universidad
Sabana en Cha, el de La Sabana viene
Campus Universitario trabajando
Puente del Comn se incansablemente
inici en 1997. Este por el mejoramiento
complejo acadmico continua
de
la
fue concebido como educacin y ste
un Campus centrado esfuerzo dio como

La
Universidad
de La Sabana, en su
condicin
de
Universidad, es una
comunidad de personas
(universitas magistrum
et
scholarium),
vinculadas por el fin
participado
del
crecimiento
desinteresado del saber
superior, gracias al cual
se
constituye
una
comunidad de saberes
(universitas
scientiarum).
As, mediante la
investigacin
y
la
docencia,
la
Universidad
se
proyecta, con vocacin
de servicio, en los
distintos sectores de la
sociedad.
La universalidad,
que es una de sus notas
esenciales, articula, de
conformidad
con
la
unidad de lo real, la
necesaria coherencia de
los fines que orientan la
misin
de
la
Universidad
con
la
singularidad
de
las

Polticas de Seguridad Informtica

en la persona y un
foco de desarrollo
para
la zona
de
influencia.
Los
terrenos
de
la
Universidad
contemplan
una
extensin
de
62
hectreas.
Actualmente,
los ms de 32.600
metros cuadrados de
construccin
albergan, entre otros,
29
laboratorios,
9
edificios con espacios
acadmicos
y
administrativos y la
Biblioteca
Octavio
Arizmendi Posada, as
como 3 hectreas de
zonas deportivas y
espacios al aire libre
para
distintas
actividades.
La Universidad
cuenta adems con
varias
unidades
anexas como INALDE,
Escuela de Direccin
y Negocios de la
Universidad de La
Sabana,
FORUM,
VISION,
Consultora

resultado
la
Acreditacin
Institucional de Alta
Calidad,
otorgada
por el Ministerio de
Educacin Nacional
mediante
la
resolucin 2576 del
30 de mayo de
2006.

personas, la pluralidad
de
sus
posturas
ideolgicas o cientficas
y la diversidad de los
saberes.
Entre sus notas
esenciales se pueden
resaltar:
El

Los
Pares
Evaluadores
destacaron
una
serie de puntos en
distintos
aspectos
del desarrollo de la
Institucin.
.

encuentro

interpersonal y la
permanentemente
bsqueda
de
la
verdad, dentro de un
profundo respeto por
la libertad de los
dems
y
la
aceptacin
de
la
importancia de todos
los ms altos y
nobles valores de la
humanidad.
La apertura a lo
positivo y el talante
desinteresado
de
esta bsqueda.
La universalidad de
ella
respecto
de
todas las ciencias, la
tcnica y las artes, y
de
todas
las
personas.
La irradiacin de su
accin a la sociedad,
al servicio de los

Polticas de Seguridad Informtica

Empresarial
y
Econmica,
y
la
Clnica
Universitaria
Teletn.
La Universidad
de La Sabana cuenta
con 8 facultades, 18
programa
de
pregrado,
31
programas
de
postgrado
y
5
maestras. Ms de
10.000
estudiantes,
650 docentes y 750
administrativos
conforman
la
comunidad
universitaria.
La Universidad
de La Sabana recibi
la
Acreditacin
Institucional de Alta
Calidad, otorgada por
el
Ministerio
de
Educacin
Nacional
mediante
la
resolucin 2576 del
30 de mayo de 2006.

hombres.
La
autonoma,
entendida
como
requisito necesario
para
el
cumplimiento de su
misin.
El
estudio
y
el
acomodo
permanentes
en
todo cuanto no ria
con sus principios, a
la realidades del
medio en el cual
desenvuelve
sus
actividades.
La Universidad de
La Sabana exige, en
razn de su carcter
institucional,
una
gestin
y
una
organizacin
administrativa
eficientes, mediante las
cuales la planeacin y
ejecucin estructural y
funcional de los medios
se
supedita
y
se
encamina a la gestin
acadmica y a los fines
de la Universidad.
Este
ordenamiento
conceptual y prctico
deber regir la accin
Polticas de Seguridad Informtica

de
su
estructura
administrativa. A su
vez,
la
comunidad
acadmica deber ser
consciente
de
las
exigencias
y
limitaciones
en
los
medios necesarios que
soportan las finalidades
de la Universidad.2

1.3 PROBLEMTICA PLANTEADA


La Universidad de La Sabana en su proceso de Acreditacin
Institucional iniciada en el 2005 se planteo varios retos que involucran a
toda la comunidad universitaria. stos procesos plantean la
investigacin como base de todas las reas de conocimiento, as como el
fomento del uso de las TICs y la adecuada infraestructura de los
equipos, salas y ambientes virtuales, que les da soporte para su buen
funcionamiento.
En este orden de ideas la Universidad de La Sabana ha venido
aumentando su plataforma de tecnolgica para estar acorde y dar
soporte a las necesidades acadmicas. El incremento del nmero de
computadores desde el ao 2005 hasta el 1er. semestre del 2008 ha
sido de 52,9%., sobrepasando los 1.750 computadores en el Campus
Universitario y ms de 600 computadores en sus unidades anexas.
Otros de los avances que evidencia el crecimiento en los aspectos
tecnolgicos, es el aumento en el nmero Sistemas de Informacin
aumentando el 68,42% hasta el 1Q del 2008. Actualmente cuenta con
64 Sistemas de Informacin que articulan los aspectos Administrativos,
Acadmicos y la plataforma de Educacin Virtual.

2 PEI, Universidad de La Sabana. 2002


Polticas de Seguridad Informtica

A la par del incremento en stos aspecto, es significativo el


aumento en el nmero de usuarios, donde en el 2005 contaba con 7.650
y en el 1Q del 2008 sobrepasan los 12.640, correspondiente al 79,42%
ms.
La movilidad que ha tocado todas las organizaciones que se
apalancan en la tecnologa, no escapo a la Universidad, donde en este
momento la red WiFi es una de los principales valores agregados que se
brinda a la comunidad universitaria. El 98% del cubrimiento de la red
inalmbrica y ms de 3.500 porttiles registrados entre estudiantes,
docentes y administrativos, dan fe de un avance significativo a stos
aspectos.
Esta movilidad adems toc las puertas de las aulas de
informtica, dejando atrs una sala esttica, donde los estudiantes
deban acercase al aula para recibir la clase. Hoy en da se cuenta con 4
salas mviles con ms de 80 computadores porttiles. Ahora los
computadores hacen parte vital para el aprendizaje en el aula.
El detalle de cmo ha venido aumentando el parque tecnolgico se
puede ver en al Anexo No. 1 - PLATAFORMA DE TI 2005 2008.
Es evidente que el incremento de los computadores, los
servidores, los sistemas de informacin, la cobertura de la red, los
centros de cableado, las salas de informtica, los sitios web y sobre
todos los usuarios, hace que se demande una infraestructura
tecnolgica robusta que propenda por una administracin y una gestin
ms profunda.
Las entidades universitarias demandan una cantidad de servicios
multiplataforma debido a la gran variedad de escenarios acadmicos
que hay que atender. Servicios en Internet que para una organizacin
puede ser restringida, para las entidades universitarias y el mundo
acadmico puede llegar a convertirse en herramientas de investigacin.
Las redes sociales se han convertido hoy en la nueva web 2.0, que se
esta volviendo tan popular como el que tiene un correo electrnico. La
impactante entrada de nuevas plataformas de comunicacin social,
Polticas de Seguridad Informtica

conocidas como redes sociales, en los ltimos cuatro aos han puesto
de maniesto la capacidad inagotable de innovacin de las industrias de
la informacin y el entretenimiento. La difusin acelerada de esta nueva
manera de comunicarse (o de identicar personas con las cuales se
quiere entablar comunicacin) y de crear contenido individualizado hace
plantearse preguntas tales como: hasta qu punto se est presenciando
un cambio radical en el uso de medios de comunicacin. 3
Generalmente los departamentos de tecnologa se ven abocados
cada vez ms a crecer y abrir stos servicios a la comunidad
universitaria. As que hay 3 problemas latentes. 1- El incremento de
servicios en la red y 2- El incremento del nmero de usuarios. Esto
desemboca a indudablemente a la consecuencia del 3er. problema: LA
SEGURIDAD INFORMTICA.
Las entidades universitarias tratan de sopesar stos problemas
con soluciones que no responden a una verdadera estrategia que logre
marcar una ruta de seguridad informtica y este ligada a los objetivos de
la organizacin.
Luego de ste breve anlisis es importante
universitarias cuenten dentro de su plan estratgico
plan estratgico de seguridad informtica que logre
nuevos cambios y servicios de la red, siempre
objetivos de la organizacin.

que las entidades


de sistemas con un
enfrentarse a stos
enmarcado en los

Dentro de ste plan estratgico de seguridad un aspecto


importante por donde se debe iniciar es la creacin de polticas de
seguridad de la red, donde se fijen y difundan claramente las reglas y los
procedimientos que regulen la forma en que la organizacin previene,
protege y regula los servicios de internet.
stas polticas deben informar al mayor detalle a la comunidad
universitaria de las normas y mecanismos que deben cumplir para
utilizar la plataforma tecnolgica disponible para el servicio de la
Universidad de La Sabana.
3 Nota Enter, Katz, Ral L., Chrousos Phaedra, Wu Haley. Febrero 2008
Polticas de Seguridad Informtica

11

Entre otras polticas de seguridad de la red deben estar


contempladas las siguientes:

Polticas
Polticas
Polticas
Polticas
Polticas

de
de
de
de
de

uso de Internet
autenticacin
mantenimiento de la red
divulgacin de informacin
correo electrnico

Para ste anlisis se determino la aplicacin de la matriz DOFA


(debilidades, oportunidades, fortalezas y amenazas), donde se tuvieron
en cuenta los resultados de la autoevaluacin institucional aplicada en
julio de 2005 y el anlisis del contexto interno y externo de la Direccin
obtenida de las reuniones de trabajo en equipo.

DEBILIDADES
Estructura organizacional del
rea insuficiente e inadecuada.

Planta Fsica inadecuada.

Poca confiabilidad y eficiencia

de los sistemas.

FORTALEZAS
Recurso Humano competente
con experiencia y conocimiento
de la Universidad.
Excelente clima organizacional

La oportunidad de implementar
o integrar los nuevos estndares
Falta capacitacin del recurso de servicios tecnolgicos en los
humano
en
las
nuevas procesos de administracin y
gestin de la Universidad.
metodologas.
Falta de un enfoque estratgico
y seguridad informtica.

AMENAZAS
Cambios
Tecnolgicos
rpidos

Ataques
tecnolgica.

Posibilidad
de
contratar
servicios de Outsorcing.

OPORTUNIDADES
muy |
Tendencia SOA (arquitectura
orientada al servicio).

la

seguridad
Brindar
informacin
gerencial
para
la
toma
de
decisiones, usando herramientas

Desaparicin de las reas si BI (Business Intelligent).


no se le da un enfoque estratgico
Polticas de Seguridad Informtica

y competitivo.

Sensibilizar y apropiar el
sistema de gestin por procesos

Poca cultura organizacional en la Vicerrectora Administrativa


orientada a la gestin por procesos

Gestin centrada en los


procesos administrativos y bajo
cubrimiento a los procesos de las
unidades acadmicas

Polticas de Seguridad Informtica

13

1.4 ESTRATEGIA PLANTEADA

Dentro del plan de Infraestructura de Tecnologa se define el siguiente


para cubrir las debilidades y mantener las fortalezas, combatir las
amenazas y aprovechar las oportunidades:
OBJETIVO ESTRATGICO: Garantizar que la implementacin de las
mejores prcticas para la gestin y administracin de los Sistemas y
Tecnologas de Informacin correspondan con la razn de ser de la
Universidad.
OBJETIVO ESPECFICO: Implantar Metodologas para la administracin
y gestin de los Sistemas y Tecnologas de Informacin.
ESTRATEGIA
TCTICA
OPERATIVA
OBJETIVOS
Adopcin
e Se
han Se
han Se
han
Polticas de Seguridad Informtica 15

implementaci oficializado ante


n
de
ISO el
Comit
de
27000
Sistemas
y
socializado a la
Comisin
de
Asuntos
Generales y la
comunidad
universitaria las
polticas
de
seguridad de los
Sistemas
de
Informacin
y
Servidores.

Se
han
implementado los
procedimientos y
polticas para la
administracin y
gestin
de
la
plataforma
tecnolgica
en
Servidores
y
Estaciones
de
Trabajo.

oficializado ante
el
Comit
de
Sistemas
y
socializado a la
Comisin
de
Asuntos
Generales y la
comunidad
universitaria las
polticas
de
seguridad
de
Estaciones
de
Trabajo y uso de
los
recursos
tecnolgicos

Se
han
implementado
los
procedimientos y
polticas para la
administracin y
gestin de la
plataforma
tecnolgica
en
Sistemas
de
Informacin,

oficializado ante
el
Comit
de
Sistemas
y
socializado a la
Comisin
de
Asuntos
Generales y la
comunidad
universitaria las
polticas
de
seguridad de los
Equipos
de
Telecomunicacio
nes y Canales de
Comunicacin.
El 100% de los
usuarios de las
plataformas
tecnolgicas de
la
universidad
conocen
y
acatan
las
polticas
de
seguridad
organizacional
Se administran y
gestionan el 80%
de las mtricas
para
el
monitoreo
y
control unificado
de la plataforma
tecnolgica.

Polticas de Seguridad Informtica

16

Se
ha
desarrollado
e
implementado las
polticas
de
acceso y uso de
la red interna y
externa.

Se han elaborado
las polticas y
procedimientos
para
el
mantenimiento e
implementacin
de Estaciones de
Trabajo, Equipos
de
Telecomunicacion
es.
Se cuentan con
los indicadores de
gestin
de
la
administracin de
la red LAN, WAN
y WLAN.

Canales
de
Comunicacin y
Equipos
de
Telecomunicacio
nes
Se
ha
implementado
un
mecanismo
de autenticacin
seguro
centralizado para
los servicios de
Terminal
Services,
Comunicacin
Mvil y VPN
Se
han
elaborado
las
polticas
de
actualizacin del
inventario
de
Activos
de
TI
acordes con la
Base de Datos
de
CMDB
(Centros
de
Cableado)
y
Servidores
Se ha elaborado
y socializado con
todas
las
personas
que
estn
involucradas en
la operacin y
monitoreo de los
procedimientos

El 100% de los
usuarios conocen
y
acatan
las
polticas
de
autenticacin
segura
de
la
universidad.

Se
han
elaborado
el
100%
de
las
polticas
y
lineamientos de
las
caractersticas
que deben tener
los centros de
cableado y la
parte elctrica y
sistemas
de
control.
Se
han
elaborado
el
100%
de
los
procedimientos y
socializado
las
polticas
que
hacen parte de
las operaciones y
las
comunicaciones
de los Sistemas
de Informacin y

Polticas de Seguridad Informtica 17

para el cambio y Servidores.


manejo
de
problemas de la
plataforma de TI.

1.5 ESTADO DEL ARTE


A continuacin se analizan las diferentes soluciones para la
solucin a sta problemtica, done se valoran de cada una de las
alternativas planteadas.
GRADO DE ADECUACIN A LAS
NECESIDADES PLANTEADAS

1. Se han oficializado ante el


Comit
de
Sistemas
y
socializado a la Comisin de
Asuntos
Generales
y
la
comunidad universitaria las
polticas de seguridad de los
Equipos
de
Telecomunicaciones y Canales
de Comunicacin.
2. El 100% de los usuarios de
las plataformas tecnolgicas
de la universidad conocen y
acatan las polticas de uso
responsable de Internet.
3. Se administran y gestionan
el 80% de las mtricas para el
monitoreo y control unificado
de la plataforma tecnolgica.
4. El 100% de los usuarios
conocen y acatan las polticas
de autenticacin segura de la
universidad.
5. Se han elaborado el 100%

ELABORACIN
DE POLTICAS /
ISO 27000

ADOPTAR POLTICAS
GENERICAS / SANS4

Polticas
de Polticas / 6
seguridad / 8

Polticas
de Polticas / 5
seguridad / 10

Gestin de TI / Monitoreo / 6
8
Control
acceso / 9

Controles

de Conformidad / 7

Norma IEEE 942/9

4 SANS Institute http://www.sans.org


Polticas de Seguridad Informtica

18

de las polticas y lineamientos fsicos / 7


de las caractersticas que
deben tener los centros de
cableado y la parte elctrica y
sistemas de control.
6. Se han elaborado el 100% Administracin
de los procedimientos y de TI / 8
socializado las polticas que
hacen
parte
de
las
operaciones
y
las
comunicaciones
de
los
Sistemas de Informacin y
Servidores.
VALORACIN
50

Conformidad / 7

40

Esta ponderacin muestra de forma clara que siguiendo una


metodologa de buenas prcticas es posible encontrar una alternativa
viable y es el elaborar al interior de la organizacin las polticas de
seguridad.
Pero, porqu se debe aplicar las polticas de seguridad
informtica? A medica que van creciendo las organizaciones, se vuelven
ms complejas de administrar, las redes, los perfiles de usuario, las
estaciones de trabajo, los canales de comunicacin y los sistemas
informacin son elementos que hay que gestionar de forma armnica.
Esta apertura esta demandando ms servicios tecnolgicos en las
organizaciones. Hace varios aos era un costo contar con correo
electrnico y era restringido solo para algunos funcionarios de la
organizacin. Pero hoy en da las secretarias, personal de servicios
generales y empleados de bajo perfil es comn que tengan un buzn de
correo, para recibir su desprendible de pago electrnico de nmina por
ejemplo.
Pero la proliferacin de stos servicios ha hecho que se este
creciendo desordenadamente, ya se ve que la nueva era de la Web 2.0
esta causando gran revuelo en la juventud y en las organizaciones. En
Polticas de Seguridad Informtica 19

los pasillos, las cafeteras, en los salones de clase y en cualquier lugar se


escucha, nos vemos en el facebook..!!. Este nuevo tipo de
herramientas clasificadas en la nueva web 2.05
Estos servicios han permitido una apertura total hacia los nuevos
ambientes colaborativos. Una buena clasificacin es la que realiza la
Fundacin Orange donde muestra un mapa de la nuevas herramientas
de la Web 2.0 ver Anexo No. 2 Mapa Web 2.0
Pero que aporte hace ste tipo de herramientas a la produccin
misma de las organizaciones? Contribuye al progreso y hace parte
fundamental para el desarrollo de la organizacin? Aporta al quehacer
cotidiano del empleado para desarrollar sus funciones laborales?, estas
son algunas de las preguntas que se hacen los administradores de las
redes y en general las directivas de la universidad. Realmente aportan
significativamente a la produccin o es un desperdicio de tiempo de los
empleados y ocupacin ociosa del canal de comunicaciones que cada
da se hace ms insuficiente?. Otro aspecto importante a tener en
cuenta es la seguridad informtica ya que por stas herramientas
proliferan muchos virus, troyanos y espas que pueden atentar contra la
disponibilidad, la integridad y la confidencialidad de los datos.
Basado en el estudio realizado por Network Appliance Inc.
(NASDAQ: NTAP), lder mundial en soluciones de almacenamiento y
soluciones informticas, revela cifras que comienzan a preocupar a las
organizaciones:

La mayora de los empleados desconocen los riesgos de

seguridad de las redes corporativas derivados de la


utilizacin personal de Internet en el puesto de trabajo.
El 73% de los empleados reconoce que de forma rutinaria
accede a Internet desde el puesto de trabajo por temas
personales

5 La Web 2.0 es la representacin de la evolucin de las aplicaciones

tradicionales hacia aplicaciones web enfocadas al usuario final. El Web 2.0 es


una actitud y no precisamente una tecnologa. Se trata de aplicaciones que
generen colaboracin y de servicios que reemplacen las aplicaciones de
escritorio.

Polticas de Seguridad Informtica

20

El 85% afirman que de todos modos el riesgo es mnimo o no

existe en la navegacin personal


El 26% de los encuestados afirma haber realizado compras

online en horario laboral, mientras que el 18% se registr


para buscar informacin sobre viajes
Cerca del 80% de los encuestados reconoce que dedica ms

o menos una hora al da en el trabajo para navegar por


motivos personales, lo cual est directamente relacionado
con la prdida de productividad de los trabajadores e
incrementa las posibilidades de que las amenazas de
Internet se introduzcan en la red de la empresa con la simple
visita de algunas pginas
Por su parte, el 70% ha reconocido que descargan archivos o

ficheros cuando acceden a Internet por motivos personales,


dejando la red corporativa vulnerable ante una posible
infeccin de cdigos maliciosos o spyware
An as, el 70% se manifiesta a favor de la monitorizacin
del uso de Internet a los empleados, indicando que sus jefes
tienen derecho a conocer el uso que se hace de la
tecnologa, si bien esto no est directamente relacionado con
la necesidad de proteger sus infraestructuras

"Diariamente, la tasa de crecimiento del uso de Internet por los


empleados se acelera, dejando a las redes corporativas expuestas y
vulnerables a los peligros de la Red", explica Dave Kresse, director
general de la unidad de negocio de Content Delivery de Network
Appliance. "Con la falta de concienciacin por parte de los empleados
sobre los riesgos presentes actualmente en Internet, el reto para los
directores es estar protegidos. Mediante la implantacin de sistemas de
proteccin que mantengan las amenazas fuera del sistema y analicen el
uso de Internet de los empleados, las compaas pueden evitar la
costosa brecha de seguridad y la prdida de productividad de los
trabajadores". 6

6 NetAPP, Advisory Note: Employee Internet Usage. Octubre 2004.


Polticas de Seguridad Informtica 21

Otro de los estudios realizados es el de la empresa Pro Active


International quien realiz un anlisis de 15 pases europeos, donde su
resultado revel que el 23% del tiempo de conexin a Internet en el
trabajo se dedica a fines privados, en detrimento que las tareas
habituales que los empleados deberan estar realizando. Este estudio
adems arroj que un empleado que pierde una hora de navegacin en
Internet para revisar sus cuentas de correo electrnico, tiene un costo
promedio para la empresa que ronda los 10 Euros.

Otro estudios y anotaciones:

Universidad de Hotstra: La prdida de productividad por


el mal uso de Internet por parte de sus empleados cuesta 178 mil
millones de dlares a las empresas norteamericanas, segn un
reciente estudio llevado a cabo por la Universidad de Hofstra. El
estudio advierte que normalmente los jefes no son conscientes de
este hecho y recomienda software de ltrado de webs para
amortiguar estas prdidas sin que afecte a la libertad y la
privacidad de los empleados.
La mayor parte de los jefes y dueos de empresas son
conscientes de los peligros que Internet puede tener para su
negocio (cookies, spam, virus). Por eso, invierten en antivirus y
otro software "defensivo". Sin embargo, muy pocos son
conscientes de las prdidas que ocasiona a las empresas el uso de
Internet para asuntos personales por parte de sus empleados. 7
Rodrigo Lafuente, director ejecutivo de ISC: Desde
controlar el acceso a pginas de entretencin hasta mejorar la
usabilidad del correo electrnico. Sin duda mejorar el rendimiento
de las empresas

la

Basados en stos estudios las empresas y fabricantes dedicadas a


seguridad informtica, como Secure Computing, Symantec,

7 La Flecha, Diario de ciencia y tecnologa, por Ral Morales. Abril de 2007


Polticas de Seguridad Informtica

22

TrendMicro, Cisco, Websense, Optenet, Check Point y Webwasher entre


otras, buscan contrarestar controlando el contenido y desarrollando
herramientas anti-phishing, anti-spyware, anti-mailware, entre otras.
En las organizaciones cuando se ven expuestos a ste tipo de
problemas, lo primero que hacen es buscar en la industria de seguridad
un firewall o un administrador de contenidos 8, creyendo que con ste
dispositivo queda solventada sta deficiencia.
Existen en el mercado varias herramientas de seguridad y control,
por la que pueden optar las organizaciones. La Tabla No. 1 Algunas
Herramientas y soluciones de seguridad muestra las diferentes
alternativas:

ALTERNATIVA
CONTROL DE CONTENIDOS

ANTI-SPYWARE

DESCRIPCIN
Es un sistema que se coloca
en la puerta de Internet, analizando
todos los requerimientos de Internet
que realiza el usuario. A travs de
un sistema de comando central se
determina si el contenido es
apropiado o permitido por la
organizacin. Este sistema clasifica
el contenido en categoras como:
Violencia, Satanismo, Drogadiccin,
Pornografa y Ocio entre otros. El
administrador determina que pgina
deja que sus usuarios visualice y
que sitios estn restringidos.
Existe en Internet programas
espas que pueden incrustarse
(instalarse) en el computador,
capaces de extraer informacin

8 Un firewal es simplemente un filtro que controla todas las comunicaciones

que pasan de una red a la otra y en funcin de lo que sean permite o deniega
su paso. Para permitir o denegar una comunicacin el firewall examina el tipo
de servicio al que corresponde, como pueden ser el web, el correo o el MSN.

Polticas de Seguridad Informtica 23

ANTI-PHISHING

ANTI-SPAM

ANTIVIRUS

CODIGO MALICIOSO

personal
(Direccin,
Telfono,
Nmero de tarjetas de crdito entre
otros), los que
pueden sacar
informacin
valiosa
de
la
organizacin. As que existen los
programas que se encargan de
buscar, detectar, y eliminar los
espas del sistema.
El trmino phishing esta muy
de moda en los ltimos tiempos,
significa
anzuelo
o
estafa
electrnica. Esta es una modalidad
de los hackers, que utilizan para
realizar
estafas
utilizando
la
modalidad de ingeniera social9
tratando de adquirir informacin
confidencial a travs de engaos.
Los herramientas antispam
permiten clasificar el correo no
desea que llega al buzn de
mensajera. Una vez clasificados los
mensajes, se marcan y el usuario
antes de abrirlo puede detectar si es
un mensaje spam.
Es una aplicacin que es
instalada en el computador para
prevenir, buscar, detectar y eliminar
programan malignos que pueden
traer consecuencia graves como la
perdida de informacin.
El
cdigo
malicioso
son
aplicaciones
donde
vienen
embebidas sentencias con el fin de
apoderarse
de
informacin
o
ejecutar comando que pueden hasta
llegar a dar control remoto a

9 Ingeniera social es la prctica de obtener informacin confidencial a travs


de la manipulacin de usuarios legtimos.

Polticas de Seguridad Informtica

24

FIREWALL

personal no autorizado.
Es
un
programa
o
un
10
appliance
que se coloca en la
puerta de Internet para que cumpla
la
funcin
de
aceptacin
o
denegacin de paquetes dentro y
fuera de la red.

TABLA No. 1 ALGUNAS HERRAMIENTAS Y SOLUCIONES DE SEGURIDAD

Muchas de las organizaciones han venido invirtiendo grandes


cifras de dinero adquiriendo stas herramientas, pero ser que ha
resultado eficaz la implementacin para cubrir y monitorear stos
huecos de seguridad? Pues a pesar de sta inversin no ha sido
suficiente, y as lo demuestra la ltima encuesta nacional sobre
seguridad informtica en Mxico, donde se han incrementado las
intrusiones entre ao 2007 y el ao 2008.

TABLA 2. II - INTRUCIONES IDENTIFICADAS EN MXICO11

10 Appliance es una equipo de comunicaciones el cual es hecho por el


fabricante a la medida de las necesidades de la organizacin.
11 II Encuesta nacional sobre seguridad informtica Mxico 2008

Polticas de Seguridad Informtica 25

GRFICO No. 1 VIOLACIONES DE SEGURIDAD MS COMUNES EN


COLOMBIA12

En la Tabla No. 2 y el Grfico No. 1 muestra claramente que


aumenta cada da el nmero y los tipos de incidentes de seguridad. A
pesar que en su gran mayora, las organizaciones tienen licenciado el
antivirus, vemos que es el indicador ms sobresaliente.
As que a medida que aumenta la globalizacin de Internet, as
mismo suben los incidentes de seguridad. La solucin no es tan fcil
como se ve, compra un anti-spam, un anti-virus y un firewall para
proteger la informacin de la organizacin.
Pues bien, otras organizaciones deciden realizan un anlisis de su
seguridad. Su punto de partida es el conocer que se va ha proteger, y
basndose en polticas de seguridad, planear la implementacin de
herramientas que protejan la informacin. Pero de acuerdo a la ltima
encuesta nacional sobre seguridad informtica Mxico ya esta entrando
12 VII Encuesta nacional sobre seguridad informtica Colombia 2008
Polticas de Seguridad Informtica

26

en ste proceso, pero vemos que falta mucho para lograr el objetivo
propuesto.

TABLA No. 3 OBSTCULOS PARA LOGRAR UN ADECUADO SGSI13

En Colombia la elaboracin y puesta en funcionamiento de las


polticas de seguridad ha venido incrementndose paulatinamente.

13 II Encuesta nacional sobre seguridad informtica Mxico 2008


Polticas de Seguridad Informtica 27

GRFICO No. 2 POLTICAS DE SEGURIDAD INFORMTICA14

En la medida que evolucionan las tecnologas informticas, se


incrementa la necesidad de plantear esquemas claros de proteccin
sobre la informacin y dems recursos crticos de las instituciones.
Como si fuera poco, el hecho de prestar servicios que estn basados en
interconexiones con diferentes redes, exige contar con polticas de
seguridad robustas adicionales, que garanticen la prestacin conable
de dichos servicios15
De acuerdo con este breve anlisis y recorrido por varias
instancias de la seguridad informtica que aqueja a todas las
organizaciones. Pareciera que las entidades educativas se apartarn un
poco de este estndar, pero no, es donde ms se necesita trabajar en la
seguridad de la informacin y el buen uso de las herramientas
informticas. El camino a seguir es precisamente, iniciar por un anlisis
14 VII Encuesta nacional sobre seguridad informtica Colombia 2008
15 Revista ACIS, Seguridad y delito informtico. Artculo Seguridad Corporativa.
Juan Carlos Huertas A. 2000

Polticas de Seguridad Informtica

28

de la informacin a proteger para luego proponer unas polticas


alineadas con los objetivos de la organizacin, que sean capaces de
adaptarse a las necesidades de los usuarios. De sta forma es posible
proponer herramientas para disminuir los riesgos y huecos de seguridad
que se abren cada da al prestar ms servicios en la red.
1.6 ESTRATEGIA ADOPTADA
Las polticas deben enmarcarse dentro de un contexto de la
metodologa de los tres principios de seguridad: Disponibilidad,
Integridad y Confidencialidad.
stas polticas deben ir guiadas a cubrir varios aspectos que a
continuacin se enuncian:
1.
2.
3.
4.
5.
6.

Usuarios
Equipos de telecomunicaciones
Estaciones de trabajo
Servidores
Canales de comunicacin
Sistemas de informacin

En esta clasificacin propuesta se rene todo el inventario de TI de


la organizacin con el fin de conocer cada uno de los componentes
tecnolgicos y personales. Este inventario de tecnologa ser la base
para determinar las polticas y conocer a fondo sus elementos que lo
componen, ya que si no se conoce que se va a administrar, no se podr
controlar.
Una vez conocidos los usuarios, se propone crear las polticas de
acceso y uso responsable de Internet y servicios asociados, con el
objetivo definir la poltica administrativa y proveer los lineamientos
bsicos para el uso responsable del acceso a Internet y los servicios que
de all se deriven, de manera que se asegure el aprovechamiento de los
recursos tecnolgicos y su ptima disponibilidad en las labores que
demanda la comunidad universitaria.

Polticas de Seguridad Informtica 29

Para la creacin de las polticas de acceso y uso responsable de


Internet y servicios asociados se seguirn las siguientes fases:
1.
FASE DE DESARROLLO
2.
FASE DE IMPLEMENTACIN
3.
FASE DE MANTENIMIENTO
4.
FASE DE ELIMINACIN
La primera
1.1
1.2
1.3

fase tiene varias etapas en las cuales se plantea:


Redaccin
Revisin
Aprobacin

Esta fase debe estar basada con todos los aspectos legales,
teniendo en cuenta el reglamento interno de trabajo, la legislacin
laboral, la legislacin del pas y la legislacin y acuerdo internacionales
que no vayan en contra de stos.
Deber ser revisado y aprobado por las directivas y/o comits
correspondientes que tengan la autoridad para legalizar ste tipo de
polticas.
La fase de implementacin cuenta con varias etapas:
2.1 Socializacin ante la comunidad
2.2 Cumplimiento
2.3 Excepciones
Esta fase es muy importante ya que es cuando se socializacin o
comunica a la comunidad universitaria acerca de la decisin que acaban
de tomar las directivas. La comunidad universitaria debe quedar bien
enterada de las penalizaciones que acarrea salirse de los estndares
aprobados, as como las excepciones que tienen las polticas.
En la tercera fase de mantenimiento o revisin peridica se debe
cumplir con varias etapas:
3.1 Concientizacin
3.2 Monitoreo
Polticas de Seguridad Informtica

30

3.3 Penalizaciones
3.4 Revisin peridica

En esta etapa se debe recalcar en la concientizacin de las


polticas de toda la comunidad, esto se logra incorporndola en alguna
reunin o comit donde asistan un nmero importante de empleados,
como por ejemplo incorporndolo en la induccin del personal nuevo
que ingresa a la universidad.
Junto con esto se debe hacer una revisin peridica ya que las
situaciones de las empresas pueden cambiar en un periodo
determinado.
La ltima fase que puede ser catalogada como de mantenimiento,
y es cuando es estas revisin peridicas se determina que la poltica no
se aplica a la realidad de la organizacin y simplemente deja de ser
operable y se determina su eliminacin.
Para iniciar ste proceso se llev la propuesta de la elaboracin de
Polticas de Acceso y Uso Responsable de Internet y Servicios Asociados
al Comit de Sistemas, el cual esta conformado por los siguientes
miembros:
NOMBRE
Dr. Mauricio Rojas
Dra. Liliana Ospina
Dr. Luis Fernando Lpez
Dr. Germn Ortiz
Ing. Andreas Philipp
Dra. Hasblady Segovia
Lic. Nelson Corredor

CARGO
Vicerrector Administrativo
Vicerrectora de Servicios Acadmicos
Director de Organizacin y Sistemas
Director de Programa de Ingeniera
Informtica
Jefe de Sistemas Clnica Universitaria
Teletn
Directora del Centro de Tecnologas para la
Academia
Coordinador de Tecnologa del

Polticas de Seguridad Informtica 31

Ing. Miguel ngel Valles


Lic. Sal Antonio Reyes

Departamento de Lenguas Extranjeras


Coordinador de Sistemas Inalde
Jefe de Telecomunicaciones y Soporte

TABLA No. 4 - MIEMBROS DEL COMIT DE SISTEMAS

All se decidi que es totalmente pertinente la elaboracin de las


polticas de seguridad de la Universidad de La Sabana, para ello se
deleg la ejecucin del proyecto a los siguientes recursos: Lic. Sal
Antonio Reyes A. Coordinador, Dra. Hasblady Segovia Revisin y
pertinencia, Dr. Andrs Gutirrez Director Jurdico y 2 estudiantes PAT 16
de la Facultad de Ingeniera como apoyo. Adems se decide que las
primeras polticas para dar inicio al proyecto deben ser las polticas de
acceso y uso responsable de Internet y servicios asociados.

I. FASE DE DESARROLLO
i.i Redaccin
Para iniciar la redaccin de las Polticas de Acceso y Uso
Responsable de Internet y Servicios Asociados, se realiz previo estudio
del inventario de tecnologa (Ver Anexo No. 3 Inventario de TI
Universidad de La Sabana). Se tom como base las recomendaciones
que realiz el Ing. Jeimmy Cano de la Universidad de los Andes, en su
documento Recomendaciones para la redaccin de Polticas re Acceso y
Uso Responsable de Internet y Servicios Asociados (Ver Anexo No. 4).
Despus de varias revisiones al interior del grupo de trabajo se
presenta el primer borrador de polticas de seguridad como lo muestra el
Anexo No. 4 POLTICAS DE USO DE INTERNET.

i.ii Revisin
16 PAT: Programa Aprendamos a Trabajar, creado por el Bienestar Universitario,
el cual buscar involucrar a los estudiantes a las labores
acadmico/administrativas de las facultades y unidades de la universidad .

Polticas de Seguridad Informtica

32

De acuerdo a lo determinado por el Comit de Sistemas el


documento fue evaluado por el Director Jurdico quien analiz las bases
jurdicas, por el Defensor del empleado; junto a ellos por el
Departamento de Desarrollo Humano quien lo analiz desde el punto de
vista de la pertinencia y alineamientos con reglamento interno de
trabajo.
Esta revisin realizada por stas tres instancias permiti que se
mejorara la redaccin, la presentacin y otros aspectos que debera
tener la poltica.
i.iii Aprobacin
Una vez realizada la revisin, el documento fue circulado por la red
ante los miembros del Comit de Sistema, fue estudiado, revisado y
aceptado como poltica oficial para el uso responsable del uso de
Internet en la Universidad que cubre toda la comunidad universitaria.
El documento fue firmado por los miembros del Comit de
Sistemas como lo constata el Anexo No. 5 Polticas re Acceso y Uso
Responsable de Internet y Servicios Asociados, por el Vicerrector
Administrativo, el Director de Sistemas y el Secretario del Comit de
Sistemas.

II FASE DE IMPLEMENTACIN
ii.i Socializacin ante la comunidad
De acuerdo con la decisin del Comit de Sistemas, el documento
debe ser enviado al secretario del Comit Administrativo para ser
socializado ante sus miembros y para ser incluido en el contrato laboral
de todo el personal.
Se delega a la Direccin de Mercadeo y Comunicacin para que
sea el encargado de socializar y explicar a toda la comunidad
Polticas de Seguridad Informtica 33

universitaria. Se propone hacer conversatorios don de se incluyan la


Clnica Universitaria Teletn, el Inalde, Forum y Visin Consultora.

ii.ii Cumplimiento
La Direccin de Organizacin y Sistemas ser la encargada de
socializar la poltica en los Comit de Facultad, los Comits de rea, el
Comit Administrativo entre otros. All se deben detallar los apartes de la
poltica para que desde las directivas de cada facultad se interprete y se
logre descender a toda la organizacin. Se debe hacer conciencia que
toda la comunidad universitaria debe estar comprometida con el
cumplimiento y el uso adecuado de los recursos tecnolgico que se
dispone la universidad para las labores acadmicas y administrativas.

ii.iii Excepciones
Existen salvedades a servicios las cuales se salen de la norma.
Estas se catalogarn como excepciones y debern ser aprobadas por el
Comit de Sistemas. Debido a la gran diversidad de usuarios que se
tiene en una universidad, es necesario que se deje una puerta abierta
para los docentes, los investigadores y personas autorizadas a que
puedan hacer uso controlado de algunos acceso no autorizadas. El rea
de Telecomunicaciones y Soporte es el encargado de registrar, hacer
seguimiento, evaluarlas la pertinencia, documentar, y vigilar en un
tiempo determinado este privilegio de excepcin.

III - FASE DE MANTENIMIENTO


iii.i Concientizacin

Polticas de Seguridad Informtica

34

Por recomendacin de la Defensora del Empleado, se debe


constantemente enviar informacin a los usuario de la plataforma
tecnolgica en la cual incluya las recomendaciones del buen uso de las
herramientas que la Universidad de La Sabana pone a disposicin a la
comunidad universitaria. Este proceso debe ser permanente de tal forma
que a travs de consejos se persuada a los usuarios a que usen de
manera ptima los recursos de Internet.
iii.ii Monitoreo
El rea de Telecomunicaciones y Soporte es el responsable de
realizar un monitoreo constante de la plataforma tecnolgica de la
universidad, as como de implementar los mecanismos para vigilar y
hacer eficiente el uso de las herramientas dispuesta a la comunidad
universitaria. Ser adems, el responsable de generar indicadores de
gestin que muestren y las violaciones, las infiltraciones y accesos no
permitidos a los sistemas, as como de presentar el detalle de los
informes de infracciones de los usuarios al Comit de Sistemas.

iii.ii Penalizaciones
Conforme a las recomendaciones del Director Jurdico y a la
filosofa de la Universidad de La Sabana, las violaciones a las normas
establecidas en la poltica de uso responsable de Internet, debern ser
llevadas ante el Comit de Sistemas y desde all ser direccionadas al
comit, a la comisin o a la delegacin que corresponda para que se
haga el estudio del caso. Las violaciones deben ser documentadas por el
rea de Telecomunicaciones y Soporte quien es el encargado de la
administracin y gestin de la plataforma tecnolgica.

iii.iiii Revisiones peridicas


La poltica tiene una vigencia de un ao, as que peridicamente
se debern ser revisadas, en el cual se contraste la realizad actual con lo
escrito en la poltica. De que se cumplan estas revisiones es encargado
el Director de Organizacin y Mtodos, adems deber revisar las
Polticas de Seguridad Informtica 35

tendencias de cambios en la tecnologa, en los procesos y en las


personas. Las modificaciones o adiciones debern ser llevadas al Comit
de Sistemas para su revisin y aprobacin.

IV FASE DE ELIMINACIN
iiii.i Eliminacin
La Direccin de Organizacin y Sistemas es la encargada de
evaluar la pertinencia y vigencia de la poltica, contrastando la realidad
tecnolgica, de los procesos y de la comunidad universidad, con el fin de
determinar si es conveniente continuar o eliminar la poltica. Para el
retiro de la poltica deber sugerirla y sustentada ante el Comit de
Sistema.
ETAPA
Creacin
Revisin

Aprobacin

Comunicacin
Cumplimiento
Excepciones
Concientizacin
Monitoreo

Penalizaciones
Revisiones peridicas

FUNCIN
Comit de Gestin de Tecnologa
Comit de Sistemas
Director Jurdico
Defensor del empleado
Desarrollo Humano
Comit de Sistemas (Preside Vicerrector

Administrativo y Vicerrector de Servicios


Acadmicos)
Direccin de Mercado y Comunicacin
Comunidad universitaria (Estudiantes,

docentes, administrativos y visitantes)


Comit de Sistemas
Direccin de Organizacin y Sistemas
rea de Telecomunicaciones y Soporte
rea de Telecomunicaciones y Soporte
Comunidad universitaria (Estudiantes,

docentes, administrativos y visitantes)


Comit de Sistemas
Direccin de Organizacin y Sistemas

Polticas de Seguridad Informtica

36

Eliminacin

Coordinador de seguridad informtica


Direccin de Organizacin y Sistemas
Comit de Sistemas

TABLA No. 5 CUADRO DE RESPONSABILIDADES

1.7 MEJORES PRCTICAS


La Universidad de La Sabana a travs de su Centro de Servicios al
Usuario17 cuya una de sus funciones es la de supervisar el grado de
satisfaccin de los usuarios que hacen uso de la plataforma de
tecnologa, en conjunto con la Direccin de Mercadeo y Comunicacin,
diseo y aplic la encuesta con el fin de medir el impacto e incidencias
que ha ocasionado la implementacin de las Polticas re Acceso y Uso
Responsable de Internet y Servicios Asociados.
La encuesta (Ver Anexo No. 6 - Encuesta de Medicin del grado de
satisfaccin de la Poltica de acceso y uso responsable de Internet y
servicios asociados) se aplico a los estudiantes de pregrado y postgrado,
a los docentes de planta y catedrticos, a los empleados de planta y
temporales y a proveedores de servicio de tecnologa y otros servicios
para sumar un total de 253 encuestados.

DESCRIPCIN
Estudiantes de pregrado
Estudiantes de postgrado

CANTIDA
D
100
50

17 Centro del Servicio al Usuario: nico punto de contacto para el soporte de


tecnologa

Polticas de Seguridad Informtica 37

Docentes de planta
Docentes catedrticos
Empleados de planta
Empleados temporales
Proveedores de
tecnologa
Proveedores otros
servicios
TOTAL ENCUESTADOS

25
25
30
15
3
5
253

Tabla No. 6 Ficha tcnica de la encuesta

Los resultados de la encuesta arroj las siguientes conclusiones


positivas de las polticas instauradas:
1. El 69% de los encuestados conocen las polticas
organizaciones acerca del uso responsable de Internet
2. El 63% de los estudiantes conocen las polticas de uso de
Internet
3. El 78% de los empleados conocen las polticas de uso de
Internet
4. El 98% de los encuestados considera que es pertinente y
conveniente que existan las polticas de acceso a Internet
5. El 95% de los encuestados considera que las polticas de uso
a Internet estn redactados de forma clara y entendible
6. El 97% de los encuestados considera que las polticas de uso
de Internet son suficientes para el desarrollos de las
actividades laborales y de investigacin
7. El 98% de los encuestados considera que las polticas
organizaciones de uso de Internet no limita sus actividades
laborarles y de investigacin
8. El 86% de las personas encuestadas tiene las percepcin de
que las polticas de uso de Internet no va en contra con la
privacidad de la informacin
9. El 76% de los encuestados estuvo presente en los
conversatorios que desarrollo la Direccin de Mercadeo y
Comunicacin para socializar las polticas
Entre las negativas se evidencias las siguientes:
Polticas de Seguridad Informtica

38

1. El porcentaje de cubrimiento de conocimiento de las polticas


de uso Internet no es el esperado
2. El porcentaje de cubrimiento de conocimiento de los
estudiantes y empleados no es el esperado
3. El 24% de los encuestados no asisti a las jornadas de
socializacin de las polticas de uso de Internet
La tabulacin de las encuestas pueden ser observadas en el Anexo No. 7
- Resultado de la encuesta de Medicin del grado de satisfaccin de la
Poltica de acceso y uso responsable de Internet y servicios asociados
La implementacin de las polticas en la organizacin han
repercutido positivamente en la Universidad en los siguientes aspectos:

La comunidad universitaria esta de acuerdo con la implantacin de

polticas de seguridad para el uso responsable de Internet.


Los reclamos del personal administrativo acerca de

disponibilidad de los algunos servicios como los de mensajera


instantnea han disminuido.
Los analistas del Centro de Servicio al Usuario han contribuido con

la concientizacin de la comunidad universitaria para que


incentiven el uso de los servicio de la plataforma tecnolgica de la
universidad.
Este documento hace parte fundamental para el inicio de una

cultura organizacional para la documentacin de polticas,


alineado con los procesos de buenas prcticas.
La implementacin de las polticas, han sido el pionero para la

creacin de cultura organizacional de seguridad informtica.


Se despert en las directivas de la universidad que la seguridad

informtica debe ir alineado en el plan de desarrollo apalancado


en el plan estratgico de sistemas.
La salida a produccin de los servicios de Internet que brinda la

universidad a la comunidad universitaria, pasaron a realizase con


una mentalidad de planeacin pensando en la seguridad.
Los servicios de Internet ahora cuentan indicadores de gestin de

la

intrusiones, violaciones, acceso denegados, acceso permitidos


entre otros. Estos indicadores han ayudado a la gestin de la
plataforma.
Polticas de Seguridad Informtica 39

As como la implementacin de las polticas han generado varios


aspectos positivos, tambin se han tenido descontentos en varios
sectores de la organizacin, entre ellos se pueden observar:

Se ha incrementado el nmero de requerimientos para la

aceptacin de excepciones para el uso de las herramientas


tecnolgicas.
En algunas ocasiones la implementacin de las polticas ha

entorpecido las labores acadmicas de los docentes, debido a que


el computador o la red donde esta trabajando no tiene los
suficientes permisos para acceder a los servicios requeridos.
Existe la percepcin en la organizacin que el Departamento de

Organizacin y Sistemas esta vigilando y controlando todo lo que


viaja por Internet.
No todos los usuarios son concientes que se deben acatar las

polticas implementadas.
Como es normal cuando se implementan sistemas de control y
seguridad en la red, afecta proporcionalmente al desempeo de la
red y la implementacin de nuevos sistemas.

GRADO
DE
CUMPLIMI
VALORACI
ENTO (0N
OBJETIVOS
10)
1.
Se
han
8
oficializado ante el
Comit
de
Sistemas
y
socializado a la
Comisin
de
Asuntos Generales
y la comunidad
universitaria
las
polticas
de
seguridad de los
Equipos
de
Telecomunicacione
Buenas
s y Canales de
Prctica
Comunicacin.

GRADO DE
INCIDENCIA
CUALITATIVO
Se han socializado
las polticas de
seguridad de los
equipos
de
telecomunicacione
s y canales de
comunicacin.

COSTE
DURA
PARA LA CIN
ORGANIZ
ACIN
Bajo

1 mes

Polticas de Seguridad Informtica

40

Buena
Prctica

Buena
Prctica

2. El 100% de los
usuarios
de
las
plataformas
tecnolgicas de la
universidad
conocen y acatan
las polticas de uso
responsable
de
Internet.
3. Se administran y
gestionan el 80%
de las mtricas
para el monitoreo y
control unificado de
la
plataforma
tecnolgica.

4. El 100% de los
usuarios conocen y
acatan las polticas
de
autenticacin
segura
de
la
universidad.

5.
Se
han
elaborado el 100%
de las polticas y
lineamientos de las
caractersticas que
deben tener los
centros
de
cableado y la parte
elctrica y sistemas
de control.
6.
Se
han
elaborado el 100%
de
los
procedimientos
y
socializado
las
polticas que hacen
parte
de
las
operaciones y las
comunicaciones de
los Sistemas de
Informacin
y
Servidores.

Buena
Prctica

Buena
prctica

Los
usuarios
hacen
uso
de
Internet de forma
adecuada.
Esta
poltica
de
apalanca
en
software
de
monitoreo
y
control
Con el montaje del
centro de control
donde
de
monitorea
los
indicadores
de
gestin
de
la
plataforma
tecnolgica
Los
usuarios
reconocen
un
usuario
y
una
clave de acceso
para autenticarse
a
cualquier
plataforma
o
sistema
de
informacin.
Se han elaborado
las polticas de
centros
de
cableado
y
sistemas
de
control.

Se han elaborado
y socializado las
polticas para la
administracin de
los sistemas de
informacin y
servidores.

Medio

3
meses

Alto

2
meses

Alto

6
meses

Alto

3
meses

Medio

2
meses

1.7 ASPECTOS A REPLANTEAR

Polticas de Seguridad Informtica 41

Durante el proceso de implementacin de las polticas existieron


varios proceso que no salieron en el tiempo ni con el resultado que se
esperaba. En la Tabla No. 7 Procesos y aspectos a mejorar y replantear,
se muestran algunos procesos que pueden ser mejoras para la prxima
implementacin de una poltica organizacional o mejorar la poltica
existente.
NECESIDAD
1. No se tuvo
cuenta
para
creacin
de
poltica
a
comunidad
universitaria.

en
la
la
la

ESTRATEGIA
ADOPTADA
Se
delego

la

creacin
de
al
Coordinador
de
Seguridad
Informtica
y
cabeza del rea de
Telecomunicaciones
y Soporte.
Se
partieron
de
unos
hechos
y
vivencias pasada y
actuales.

2. Algunos usuarios de
la
plataforma
tecnolgica,
en
su
gran
mayora
los
docentes humanistas,
se ven atropellados
por que creen que la
privacidad
de
la
informacin esta a
cargo del rea de
Telecomunicaciones,
debido a que tiene la
potestad
de
monitorear todas las
comunicaciones.

Se incluy una poltica


en la cual se enuncia
que
todas
las
comunicaciones
que
viajen por la red,
incluyendo el correo
electrnico puede de
monitorizada.

ESTRATEGIA
REVISADA
Para una mayor
receptividad
se
debe
tener
en
cuenta
a
la
comunidad
universitaria,
ya
que con esto se
gana
en
receptividad y se
va creando cultura
y concientizacin al
cambio.

Aunque la poltica
esta bien redactada y
soportada desde el
punto de vista legal,
es conveniente que al
momento
de
la
socializacin ante la
comunidad se haga
nfasis en este tema,
dejando claro que
aunque
esta
permitido que el rea
de
Telecomunicaciones y
Soporte
realiza

Polticas de Seguridad Informtica

42

3. Socializacin de la
poltica. De acuerdo al
anlisis
de
las
encuestas,
se
determino que el 24%
de los encuestados no
conoca la existencia
de la poltica.

El documentos de
la
poltica,
se
publicaron en el
portal
de
la
intranet del Centro
de
Servicio
al
Usuario, se incluyo
en
el
contrato
interno de trabajo
de los empleados y
en el reglamento
estudiantil.

Se

monitores continuos
de la informacin que
viaja por la red, ste
lo hace con fines de
seguridad y no en
bsqueda
de
informacin
confidencial
o
privada.
Falta
reforzar
las
estratgicas
de
divulgacin, llegando
casi
hasta
cada
usuario.

realizaron

jornadas
de
socializacin
y
divulgacin
a
nivel de comit y
consejos de todas
las facultades y
dependencias.
4. La Direccin de
Organizacin
y
Sistemas
debe
propender
por
fomentar la seguridad
y el uso responsable

Se

crearon

campaas
sensibilizacin
para que desde
directivos
consintase con

se
los
se
las

Se debe lograr que


las socializaciones
que se hagan en
los
consejos
y
comit,
los
directivos

Polticas de Seguridad Informtica 43

de Internet. Pero, el
proceso
de
culturizacin es muy
dispendioso
y
demorado.

5. Si bien se tiene
varios
mecanismos
para
detectar
las
intrusiones
no
autorizadas,
no se
lleva un indicador que
gestin

polticas
adoptadas.
Desde el Centro de

Servicio al Usuario,
se incentiva a las
personas que las
polticas
son
buenas
en
la
medida que baja
los
riesgos
de
seguridad al seguir
las pautas de las
polticas
de
seguridad.
El
rea
de
Telecomunicaciones y
Soporte
es
el
responsable
del
monitoreo
de
la
plataforma
tecnolgica.

desciendan
las
polticas a nivel de
jefaturas,
coordinaciones
y
auxiliares.
Hay
que
crear
campaas
agresivas
de
concientizacin de
seguridad en toda
la comunidad.

Elaborar
indicadores
que
muestren
las
violaciones
a
las
polticas establecidas.

TABLA No. 7 PROCESOS Y ASPECTOS A MEJORAR Y REPLANTEAR

Polticas de Seguridad Informtica

44

ANEXO No. 5 - POLTICAS DE ACCESO Y USO RESPONSABLE


DE INTERNET Y SERVICIOS ASOCIADOS

Polticas de Seguridad Informtica 45

ANEXO No. 6 - RESULTADO DE LA ENCUESTA DE MEDICIN


DEL GRADO DE SATISFACCIN DE LA POLTICA DE ACCESO Y USO
RESPONSABLE DE INTERNET Y SERVICIOS ASOCIADOS

ANEXO No. 7 RESULTADO DE LA ENCUESTA DE MEDICIN


DEL GRADO DE SATISFACCIN DE LA POLTICA DE ACCESO Y USO
RESPONSABLE DE INTERNET Y SERVICIOS ASOCIADOS
Polticas de Seguridad Informtica

46

Conoce la poltica institucional de la Universidad de La Sabana con respecto


al acceso y uso responsable de Internet y servicios asociados?

Cree que es importante para la Universidad de La Sabana contar con una


poltica organizacional que regule el uso de Internet

Polticas de Seguridad Informtica 47

El contenido de la poltica es claro y entendible

Encuentra usos no permitidos que limiten el desarrollo de sus actividades

Polticas de Seguridad Informtica

48

Contempla algn tem en la seccin de control de uso que atente contra su


privacidad?

La Universidad de La Sabana realiz la socializacin del contenido de la


poltica previamente?

Polticas de Seguridad Informtica 49

Vous aimerez peut-être aussi