CAPITULO II MARCO TEÒRICO. antecedentes de la investigación, los cuales representan un soporte o

Transcripción

1 CAPITULO II MARCO TEÒRICO 1. ANTECEDENTES DE LA INVESTIGACION Con el propósito de apoyar la fundamentación teórica, se presentan los antecedentes de la investigación, los cuales representan un soporte o guía para el inicio del presente estudio investigativo. Se realiza una revisión de diversas investigaciones anteriores en las que se han considerado variables similares a las expuestas en este capítulo. Como fundamentación teórica de la investigación se presenta el trabajo de Camacho, A. (2008) Diseño de un Sistema de Gestión de Seguridad de la Información (SGSI) para la protección de los activos informáticos de la Universidad Central de Venezuela desarrollado en la Universidad Central de Venezuela (UCV) para el Post Grado de Ingeniería Eléctrica. Entre los autores que sustenta la referida investigación, se encuentran: Albert y Dorofree (2003), Norma BS 7799 (1999), Peters (2005), Cazemier (2000) entre otros. La investigación citada desarrollada en la ciudad de Caracas determinó que las organizaciones deben establecer políticas de seguridad de la 16

2 17 información así como también de activos tecnológicos y mantener documentados los procesos de seguridad para proteger la infraestructura tecnológica de los posibles ataques. Adicionalmente recomienda que las empresas públicas y privadas y por consiguiente la UCV, donde fue desarrollada la investigación, implementen un conjunto de medidas de protección en sus plataformas mediante el uso de los criterios de auditoría integral que permitan mitigar los riesgos y reducir las amenazas de los sistemas corporativos. El sustento de este trabajo y al mismo tiempo la semejanza en la presente investigación se debe claramente al diseño del sistema de gestión de seguridad de la información basado en las normas y estándares internaciones que permitieron el diseño del referido sistema de gestión y que en definitiva constituyó la plataforma normativa para el desarrollo del modelo para la gestión de proyectos en este mismo tema de la seguridad de la información, en cuanto a la diferencias no se contempla en la investigación de Camacho (2008) que el proceso de implementación del sistema de gestión de seguridad de la información sea llevado a cabo a través un proceso completo definido como un proyecto. Del mismo modo Villena, C. (2008) con su investigación titulada Sistema de Gestión de Seguridad de Información para una institución financiera desarrollada en la ciudad de Lima, Perú, bajo la metodología de la Pontificia Universidad Católica del Perú para optar al Post Grado en Gerencia de la Tecnología. En dicho desarrollo investigativo se realizó una

3 18 investigación de las normas y estándares que van difundiéndose con mayor énfasis en el mercado peruano, en especial en el sector financiero. Basados en los autores: Sullivan (2004), Sarbanes (2004), se rescataron los aspectos más resaltantes de cada norma y estándar, a partir de los cuales se plantea un esquema de gestión de seguridad de información que puede ser empleado por una institución financiera en el Perú, lo cual permitiría que ésta cumpla con las normas de regulación vigentes en lo relacionado a la Seguridad de Información. El autor justificó su investigación tomando como base que surge la necesidad que toda institución financiera deba contar con un Sistema de Gestión de Seguridad de Información, que permita administrar toda la información, garantizando los aspectos de confidencialidad, integridad, disponibilidad y auditabilidad que ésta debe cumplir. Los resultados determinaron que es necesario contar con un sistema complejo de seguridad de la información en las entidades bancarias en el Perú, en vista de los constantes ataques informáticos a las plataformas bancarias en ese país y que conllevan a la pérdida importante de recursos económicos y tecnológicos en esas organizaciones. La investigación presenta como semejanza la consideración de un sistema de gestión para la seguridad de la información, aporta información de relevancia para el establecimiento de las pautas a seguir en el diseño del modelo de gestión dentro del contexto de la presente investigación, así como lo referente a las bases teóricas relacionadas con la selección de las

4 19 normas y procedimientos. La diferencia principal en cuanto a la presente investigación radica que Villena (2008) propone un sistema de gestión de seguridad de la información para una institución financiera mientras que en la presente investigación se desarrolla para la gestión de proyectos en las empresas del sector telecomunicaciones. Por otra parte, el estudio realizado por Mendoza, M. (2009) titulado: Modelo para la gestión de proyectos de ingeniería en las cooperativas del municipio Maracaibo. Esta investigación, propuso un modelo de gestión dirigido a los gerentes y coordinadores de proyectos de ingeniería, para que cuenten con una herramienta de fácil aplicación que permita determinar las debilidades durante la ejecución, plantear acciones para minimizarlas y facilitar la toma de decisiones que conduzcan a un proceso de mejoramiento continuo, garantizando a las cooperativas una estabilidad económica, imagen y posición en el mercado. La metodología utilizada por Mendoza, M. (2009), fue de tipo descriptiva, de campo, proyecto factible; con un diseño no experimental, transeccional, descriptiva y de campo, utilizó una población de 20 sujetos, conformada por planificadores y coordinadores del área de proyectos de las cooperativas. Empleó como técnica de recolección de datos la encuesta y aplicó un cuestionario constituido por 70 ítems con escala de respuesta múltiple. La validación fue realizada por cinco expertos del área de ingeniería de proyectos, con un coeficiente de confiabilidad de 0,90, calculado por Alfa de

5 20 Cronbach. La prueba piloto se aplico a 10 sujetos de cooperativas similares y totalmente ajenas a las empresas de la población. Como resultado de esta investigación, se deduce que las cooperativas del municipio Maracaibo no cuentan con un modelo para gestionar sus proyectos de ingeniería, una guía que contemple las actividades necesarias y orientadas a garantizar el cumplimiento de sus objetivos, como consecuencia de esta carencia, se enfrentan a debilidades para analizar el alcance de los proyectos, los cuales terminan fuera de presupuesto y tiempos de entrega; enfrentándose a pérdidas irremediables y sin lograr mantenerse en el tiempo. El estudio de Mendoza, M. (2009), se asemeja al estudio en desarrollo, en su propósito de comprobar que la utilización de herramientas de gestión de proyectos es una alternativa viable para alcanzar una mayor competitividad en los proyectos de implementación como es el caso específico de un modelo que permita la gestión de los proyectos de seguridad de la información, donde se incluya todos los elementos necesarios para garantizar el éxito en su desarrollo. Entre los aportes de esta investigación, para el presente estudio, resaltan la metodología utilizada y en la teoría sobre las herramientas de gestión, mientras que las diferencias se presentan evidentemente al área de desarrollo. De igual forma, Matalobos, H. (2009), emprendió su investigación titulada: Análisis de Riesgo de la Seguridad de la información bajo la

6 21 tutoría de la Universidad Politécnica de Madrid, como requisito para obtener su Maestría en Ciencias de la Informática. La metodología usada se basó en un desarrollo documental, ya que el objetivo fundamental de la investigación es analizar todos los estándares, normas internacionales e internas en España que refiere a la seguridad de la información, específicamente los potenciales riesgos que presenta la información independientemente el área a la que se dedica la organización. Esta investigación a la cual se hace referencia y que fue presentada en la ciudad de Madrid en España, sirve como fundamento al desarrollo del objetivo No. 3 referido al análisis de los riesgos presentes en los proyectos de seguridad de la información en las empresas del sector telecomunicaciones. El trabajo de investigación presentado por Mujica, K. (2009), Modelo para la gestión gerencial de proyectos sociales en la Industria Petrolera, fue definida como una investigación de tipo proyecto factible, descriptiva, de campo, con diseño no experimental, transeccional, descriptiva y de campo. La población en estudio fue conformada por 17 sujetos de las diferentes divisiones (Occidente, Oriente y Centro Sur) de la Gerencia de Operaciones Exploratorias La técnica de recolección de datos utilizada fue un cuestionario conformado por 73 preguntas cerradas. El instrumento fue validado por 5 expertos. Como técnica de análisis de los datos se utilizó estadística descriptiva, mediante la distribución de frecuencia absoluta, considerando el

7 22 valor de la medida aritmética y la tendencia más relevante por cada dimensión. A través del análisis e interpretación de los datos se encontró, que no se cuenta con un modelo de gestión, esquema o marco de referencia estructurado para la administración de los proyectos sociales en la industria petrolera, que permita el aprendizaje continuo para que lleve a cabo la planificación y ejecución de los proyectos sociales. Adicionalmente, señaló la carencia del establecimiento de procedimientos, políticas y normativas dentro de la organización para regular las actividades inherentes a los procesos; verificó además que el conocimiento técnico-practico debía ser evaluado debido a una utilización ineficiente de los recursos de los proyectos, manifestándose esto directamente en la programación de plazos, control de cambio, satisfacción del cliente, flujo de información, comunicación en el equipo entre otros. Dicha investigación aporto información valiosa para la elaboración del modelo para la gestión de proyectos semejantes a los que se desarrollan en las Empresas de Producción Social (EPS) apalancados por la industria petroquímica. Otra investigación de interés fue la presentada por Soto, M. (2010), quien propuso un Modelo para la gestión de riesgo en proyectos del sector telecomunicaciones en el estado Zulia, se empleo una investigación del tipo descriptiva, transeccional y diseño no experimental. La población de la investigación estuvo conformada por 15 coordinadores de proyecto, los

8 23 cuales estaban a cargo de planificar, controlar, dirigir e implantar el proyecto durante todas sus fases. Para el proceso de recolección de los datos se utilizo el cuestionario, el cual estuvo conformado por 59 preguntas cerradas, con 4 alternativas de respuestas. La confiabilidad del instrumento se aplicó a través de la técnica Alfa de Cronbach, la cual arrojó una muy alta confiabilidad del cuestionario con un valor de 0,992. Para su validación debieron ser analizadas por parte de 5 expertos en el área de gestión de riesgo. Luego de realizar el análisis de resultados, se obtuvo que el proceso de gestión de riesgo presenta fallas, errores y debilidades para el uso de las técnicas y herramientas necesarias para la identificación, evaluación, análisis, seguimiento y control a las respuestas de los riesgos dentro del proyecto por parte de los coordinadores. Por tanto se propuso un modelo de gestión de riesgos basado en lineamientos teóricos, los cuales permitieron a los coordinadores o lideres de proyectos, controlar, mitigar, y reducir los factores que amenazan los objetivos y recursos del proyecto, así como gestionar los riesgos positivos a través de oportunidades de negocio. La diferencia radica en que solo se direcciona la investigación a una sola fase dentro de la gestión de proyectos, específicamente a la gestión de riesgo. El aporte de esta investigación lo constituyen las fases del modelo de gerencia de riesgo propuesta, el cual es fundamental para la presente investigación considerando que la información en las empresas de este

9 24 sector se encuentra vulnerable y por otro lado las bases teóricas que lo sustentan. 2. BASES TEÓRICAS 2.1. PROYECTO La definición de proyectos ha sido abordada por muchos autores durante el transcurso de la historia, por su parte Baca (2006), lo define como la de una solución inteligente al planteamiento de un problema tendente a resolver, entre muchas, a una necesidad humana. El autor afirma, que puede haber diferentes ideas, inversiones, tecnología y metodología, pero todas ellas destinadas a cumplir el objetivo común del proyecto, al igual que cada una de las fases comprometidas y que generalmente están dirigidas a satisfacer las necesidades humanas y a las exigencia de las empresas. Por otra parte, Gido y Clements (2007), definen proyecto como un esfuerzo para lograr un objetivo especifico por medio de una serie de tareas interrelacionadas y la utilización eficaz de los recursos. Según los autores los proyectos se definen en las siguientes fases: La identificación de las necesidades, la propuesta de una solución, la realización del proyecto y la conclusión del proyecto. De lo antes expuesto se puede afirmar que los proyectos son propuestas destinadas a satisfacer las necesidades precisas de un problema determinado. Así mismo se puede afirmar que los autores concuerdan en que los proyectos surgen de la necesidad de satisfacer requerimientos o necesidades presentados por el cliente, mediante el planteamiento de

10 25 objetivos específicos, utilizando los recursos disponibles eficientemente, mediante la interrelación de actividades definidas. Para comprender un poco mejor como se conciben los proyectos, Gido y Clements (2007), desglosan las fases de los proyectos en: Identificación de necesidades: es la etapa inicial. Comienza con el reconocimiento de una necesidad, problema u oportunidad y culmina con la emisión o solución de una propuesta. Selección de proyecto: implica la evaluación de varias necesidades u oportunidades, para luego decidir cuál de ellas se va a implementar. En esta etapa deben evaluar las ventajas, desventajas, beneficios, consecuencias, riesgos, entre otros. Para lograr esto los autores proponen 4 pasos a seguir: desarrollar un conjunto de criterios para evaluar la oportunidad, listar los supuestos, reunir datos e información sobre cada oportunidad y evaluar la oportunidad según los criterios. Preparación de una solicitud de propuesta: en esta etapa se debe establecer de manera explícita y con el mayor detalle posible lo que se requiere, desde el punto de vista del cliente. Los autores proponen los siguientes lineamientos para la redacción de una solicitud de propuesta final: debe proporcionar una descripción del trabajo (DDT), debe incluir los requisitos del cliente que definen las especificaciones y los atributos, debe especificar los productos y servicios por entregar, se deben establecer las condiciones de pago, y el programa establecido para la determinación del proyecto, entre otros.

11 26 Solicitud de propuestas: una vez preparada la propuesta, el cliente solicita a los posibles contratistas sus propuestas para la realización. La propuesta de una solución: es la segunda fase del proyecto, se inicia cuando la solicitud de la propuesta se pone a disposición de los contratistas, una vez analizada, discutida y bien definida, culmina cuando se llega al acuerdo con las personas seleccionadas para implementar la solución. Esta propuesta debe contener ciertos requerimientos para su evaluación, que según los autores son: Sección técnica: en esta etapa se debe convencer al cliente de que el contratista comprende su necesidad y puede proporcionar una solución. Sección administrativa: explica que el contratista es capaz de completar el trabajo y lograr los resultados obtenidos. Sección costos: en esta sección se trata de convencer al cliente que el presupuesto es realista y razonable. La realización del proyecto: corresponde a la tercera fase del proyecto, es aquí donde se ejecutan la propuesta de planificación seleccionada. Conclusión de un proyecto: es la última fase del proyecto, los autores proponen varias acciones para cerrar el proyecto en forma apropiada, se debe realizar una evaluación interna, que contemple la evaluación del desempeño, técnico, de costos, de programa, entre otros y la retroalimentación del cliente.

12 27 De las definiciones planteadas por Gido y Clements (2007), se puede afirmar, que todo proyecto, requiere cumplir las fases descritas anteriormente para completar finalmente el objetivo propuesto CICLO DE VIDA DE UN PROYECTO Las características principales del proyecto, se pueden definir por separado para lograr un análisis preciso del proyecto. Para Chamoun (2005), estas características están definidas en cinco procesos; Inicio del proyecto: en ese proceso se establece la visión del proyecto, el qué, la misión por cumplir y sus objetivos, la justificación del mismo, las restricciones y supuestos. Planeación del proyecto: consiste en desarrollar un plan que ayude proveer el cómo se cumplirán los objetivos, basados en la prevención más que en improvisación. Ejecución del proyecto: establece como su nombre lo indica, la ejecución de las actividades según lo planificado. Control del proyecto: compara lo ejecutado con lo real y establece las acciones pertinentes de ser necesario. Cierre del proyecto: en este proceso se concluye el proyecto, se cierran relaciones, se presentan resultados y evaluaciones. De acuerdo a esta clasificación, el autor, señala que dentro del ciclo de vida del proyecto, al eliminar los procesos de inicio y cierre, se tiene una sola operación rutina, en vez de un proyecto. Es decir, el ciclo repetido de la

13 28 mejora continua: planear-hacer-verificar-actuar descrito por Deming (2004) y otros expertos en calidad, donde planear es planificar, hacer es ejecutar, verificar es control y actuar es planeación adicional y ejecución. Gráfico 1: El Ciclo: Planificar, Hacer, Revisar y Actuar. Fuente: Chamoun (2005) En el gráfico 1 se muestra la interacción del ciclo de vida del proyecto; inicia en la etapa de planificar, hacerlo, verificar y por último cómo se puede mejorar, mediante el proceso de verificación y retroalimentación. Por su parte Gido y Clements (2007), sostienen que el ciclo de vida de un proyecto se desarrolla en cuatro fases, y las organizaciones, personas y recursos juegan papeles preponderantes en cada una de ellas. Los autores afirman: que los proyectos nacen cuando el cliente identifica la necesidad,

14 29 problema u oportunidad, y solicita a una persona o grupo de personas la presentación de una propuesta para solucionar dicha necesidad. Muchas veces este proceso es llamado solicitud de propuesta, es el cliente, quien es el encargado del aporte presupuestario, manifiesta los requerimientos mínimos de la propuesta, su visión y por consiguiente sus exigencias. La segunda fase del ciclo según Gido y Clements (2007, consiste en el desarrollo de una propuesta a la necesidad o problema, para entregar al cliente, quien deberá evaluarlas y elegir la más conveniente en relación a los objetivos planteados, para luego proceder al establecimiento del contrato entre el cliente y los responsables de la propuesta. La tercera fase la define Gido y Clements (2007) como la implementación de la solución propuesta, en esta fase se desarrolla el detalle del plan a seguir y los objetivos para su implantación. Es en esta fase donde se asignan los recursos económicos, humanos, técnicos, entre otros. Es la etapa más larga, ya que contempla todo el desarrollo del proyecto desde la planificación hasta la ejecución y seguimiento. Según Gido y Clements (2007 la cuarta y última fase es la conclusión del proyecto, el cierre, donde se confirma que se han entregado todos los productos al cliente, se han pagado todas las facturas y se han realizado todos los cobros pendiente, igualmente esta fase, sirve para realizar la evaluación del proyecto y generar recomendaciones para próximos proyectos, en otras palabras realizar el proceso de lecciones aprendidas.

15 30 En el siguiente gráfico 2, se representa el ciclo de vida según Gido y Clements (2007), en ella se diferencian claramente las cuatro fases del proyecto, previamente explicadas, como es de esperarse la tercera fase (implantación del proyecto), ocupa el mayor número de tiempo del proyecto. Gráfico 2: Ciclo de Vida de un Proyecto. Fuente: Gido y Clemente (2007) De los planteamientos realizados por los autores anteriores, coinciden en que los proyectos inician en la identificación de una necesidad y una visión de qué se quiere hacer, seguidamente se tiene la elaboración de una propuesta para satisfacer al cliente, posteriormente se tienen la planificación y ejecución del proyecto, es en este punto, donde los autores difieren, pues

16 31 Gido y Clements (2007) sostiene la existencia de una sola fase del proyecto, al contrario de Chamoun (2002), quien la divide en dos fases separadas. Según Chamoun (2005), indica que para cerrar el ciclo de vida del proyecto, se debe hacer un control de las actividades y una retroalimentación y correcciones de ser necesario, finalmente se ejecuta el cierre del proyecto. Por su parte Gido y Clements (2007), sostienen que el ciclo de vida del proyecto finaliza en el cierre, y es aquí donde se realizan las evaluaciones y se emiten las recomendaciones futuras. De lo antes expuesto se puede afirmar, que en el ciclo de vida del proyecto, todas las etapas son importantes, pero la definición clara del objetivo o necesidad definirá la pauta de los pasos a seguir, si no se tiene claro esto en algún momento del proyecto se corre riesgo de tener que definir nuevamente algunas de las fases siguientes. El cliente debe manifestar claramente sus requerimientos, para realizar una planeación ajustada, con objetivos, recursos y tiempo de ejecución bien definidos. Igualmente debe tener claro la definición de la propuesta y una planificación detallada que permite que las fases siguientes se completen satisfactoriamente. Por lo tanto se concuerda con el Chamoun (2002), en que todo proyecto debe tener un control en todas sus fases para garantizar la buena gestión del mismo, no solo en la fase de ejecución.

17 GESTIÓN DE PROYECTOS. Para Drudis (2002), la gestión de proyectos consiste en la resolución de problemas, mediante la descomposición de proyectos en componentes más simples. Igualmente indica que las técnicas de gestión de proyectos se enmarcan en el ciclo de vida del proyecto, entre la relación de la planificación, evaluación, ejecución y el control, con la finalidad de reducir la incertidumbre y a cumplir con el alcance y los objetivos establecidos mediante la utilización eficiente de los recursos asignados. Por otro lado Gido y Clements (2007), indican que la gestión de proyectos, significa planear el trabajo y después trabajar el plan. El esfuerzo en la etapa inicial de la gestión de un proyecto debe centrase en establecer un plan inicial, a fin de lograr el alcance del proyecto a tiempo y dentro del presupuesto. El plan inicial del proyecto debe definir claramente el objetivo, dividir y subdividir el alcance del trabajo, definir quien hará las actividades, elaborar una estimación de cuánto tomará y cuánto costará. Los autores sostienen que la gestión efectiva del proyecto se debe medir el avance real y compararlo con el avance planeado de manera oportuna y regular, y aplicar la acción correctiva de inmediato, para garantizar la gestión de proyecto. En el mismo orden de ideas PMBOK (2008), describe la gestión de proyectos como la serie de procesos y actividades necesarios para identificar, definir, combinar, unificar y coordinar las distintas actividades de

18 33 un proyecto. Así mismo engloba la gestión de proyectos como la integración, consolidación, articulación y acciones de integración que son necesarias para concluir el proyecto y, al mismo tiempo, cumplir satisfactoriamente con los requisitos de los clientes y otros interesados, y gestionar las expectativas. En este contexto Casal (2006), expone la gestión de proyectos, como un conjunto de procedimientos explícitos, cuya finalidad es mejorar la toma de decisiones en relación a las asignaciones de recursos, con la finalidad de cumplir los objetivos planteados a través de la movilización adecuada de los recursos disponibles. Igualmente la autora define la existencia de un ciclo de gestión de proyectos, que supone una atención detallada e integral de las fases del proyecto, desde su concepción como idea, hasta la evaluación final. De estas definiciones se pueden afirmar que la gestión de proyectos permite integrar todos los elementos del plan de trabajo, para luego realizar el seguimiento de las acciones ejecutadas hasta completar finalmente su evaluación de las actividades. Los autores anteriormente citados, coinciden en que la gestión de proyectos dependerá de la definición del plan en la etapa temprana del proyecto y del seguimiento y control durante la ejecución del mismo, para realizar las correcciones necesarias y lograr los objetivos establecidos en los tiempos y costos planificados.

19 34 Así mismo, afirman la importancia de la incorporación de técnicas de gestión a los proyectos, cualquiera sea su área, esto garantiza el éxito de los mismos GESTIÓN DE SEGURIDAD DE INFORMACION Las principales tareas a desarrollar según Camacho (2008) son: a.- Asegurar que las reglas para el uso de los sistemas de información estén alineadas con las políticas de seguridad de información establecidas en las normas. b.- Asegurar que los procedimientos administrativos para los sistemas de información estén alineados con las políticas de seguridad de información. c.- Asegurar que los proveedores de servicios sigan las políticas de seguridad de información de la empresa. d.- Asegurar que la seguridad de la información no se vea comprometida en el proceso de administración de cambios que se promulguen en las organizaciones. e.- Asegurar que las evaluaciones de vulnerabilidades midan la efectividad de los controles implementados. f.- Asegurar que los aspectos que no cumplan las normas sean atendidos oportunamente. g.- Asegurar que el desarrollo de actividades de seguridad de información puedan influenciar en la cultura de los empleados y por

20 35 consiguiente en el comportamiento del personal de la organización siendo fundamental para el desarrollo de una gestión de seguridad informática. Alexander (2007), señala que hoy en día, dada la competencia que la globalización y las nuevas reglas del comercio internacional han generado, las empresas, no importa su tamaño, la industria en la que estén ubicadas o su naturaleza, tienen que ser creativas e innovadoras para poder aumentar su competitividad. Pero una empresa creativa e innovadora no puede asegurar que sus nuevos diseños prototipos lleguen primero antes que la competencia al mercado. Muchas veces sucede que otra empresa se adelanta y sale primero con el producto al mercado, pero en muchas ocasiones, en la empresa hay fuga de información y los secretos llegan rápidamente a manos inescrupulosas que venden esa información al mejor postor. Para proteger la información en las empresas se debe identificar los activos de información que tienen impacto en el negocio Alexander (2007), hacerles un análisis y evaluación de riesgos y decidir cuáles son las opciones de tratamiento del riesgo a implantar para minimizar las posibilidades de que las amenazas puedan causar daño y no se penetren a la organización. Albert y Dorofree (2003), definen un sistema de gestión de seguridad de la información como un establecimiento de un sistema que determine que requiere ser protegido, y porque, de qué debe ser protegido y cómo

21 36 protegerlo, también Peltier (2003), lo define como la preservación de la confidencialidad, integridad y disponibilidad de la información. El modelo ISO 27001:2005 (2009) define como la parte del sistema de gestión global, basada en una orientación a riesgo de negocio, para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información. Además de esto, ISO 27001:2005(2009) define la seguridad de la información como la confidencialidad, integridad, no repudio y confiabilidad. Según lo planteado con anterioridad y tomando en consideración las diversas definiciones, se entiende por gestión de seguridad de la información al conjunto de procesos necesarios para el cumplimiento de una meta especifica, que en este caso es la implantación de una arquitectura de seguridad. Entonces se puede decir que la gestión de seguridad de la información consiste en la realización de las tareas necesarias para garantizar los niveles de seguridad informática exigibles en una organización. La gestión de seguridad de la información en una organización puede ser en muchos casos compleja, no tanto desde un punto de vista técnico, sino más bien desde un punto de vista organizativo. Una organización necesita identificar y gestionar muchas actividades a fin de funcionar eficazmente. Cualquier actividad que utiliza recursos, y que se gestiona con el fin de permitir que los elementos de entrada se transformen en resultados, se

22 37 puede considerar como un proceso. Frecuentemente el resultado de un proceso constituye directamente el elemento de entrada del siguiente proceso. El enfoque basado en procesos para la gestión de seguridad de la información enfatiza la importancia de: la comprensión de los requisitos de seguridad de la información de una organización y la necesidad de establecer la política y objetivos para la seguridad de la información así como también realizar seguimiento y revisar continuamente el desempeño y por consiguiente la mejora continua con base en mediciones objetivas que permita la seguridad absoluta. En este sentido, Camacho (2008), señala que el modelo ISO 27001:2005 está diseñado bajo una óptica de enfoque de procesos. El proceso de gestión de la seguridad de la información esta conceptualizado para funcionar en cualquier tipo de organización, operando bajo el enfoque de procesos. El sistema está concebido para que opere con base en insumos provenientes de clientes, proveedores, usuarios, accionistas, socios y otras partes interesadas. La norma exige que el mecanismo de retroalimentación para controlar el desempeño de la gestión de seguridad de la información se establezca y se diseñe la métrica por medio de indicadores para poder medir su respectivo desempeño. El enfoque también contempla los recursos que deben ser provistos para que las operaciones internas funcionen adecuadamente.

23 38 El modelo ISO 27000:2005, en su óptica de procesos, también permite que cada organización influencie el desempeño del modelo a través de consideraciones estratégicas, tales como objetivos y políticas particulares de la misma REGLAS PARA EL USO DE LOS SISTEMAS DE INFORMACION Asegurar que las reglas de uso de los sistemas de información cumplan con las políticas de seguridad de información, garantiza una buena gestión de seguridad de la información contemplando contar con procesos eficiente en esta área. Los aspectos a tomar en cuenta incluyen la identificación de la importancia de los activos de información, la necesidad de seguridad de los datos, definición de la sensibilidad y criticidad de los mismos, su confidencialidad, integridad y disponibilidad. Las políticas deben ser consistentes y mapeadas con algún estándar, tal como el ISO/IEC visto en el marco de referencia. Este estándar puede servir como checklist para asegurar que todos los tópicos de seguridad sean cubiertos en sus distintas fases etapas y procedimientos. Debe tenerse en cuenta que el diseño de una estrategia de seguridad puede ser el vehículo más importante para contar con la participación de la alta gerencia de estas organizaciones, obteniendo consenso y soporte para

24 39 el programa de seguridad, necesarios si se desean políticas de seguridad efectivas PROCEDIMIENTOS ADMNISTRATIVOS PARA LOS SISTEMAS DE INFORMACION Al contar con una política aprobada por la alta gerencia, con los roles y responsabilidades asignados, se torna imprescindible contar con procedimientos y estándares de gestión. Estos procedimientos se desarrollan para definir los pasos mínimos necesarios para desarrollar las bases de seguridad, métricas y requerimientos específicos de los sistemas. Es crítico que el administrador de seguridad de información trabaje y coordine de cerca con los administradores de sistemas operativos, aplicativos, redes y correo, para asegurar de esta manera que los procedimientos administrativos cumplan con las políticas de seguridad de la información. Los procedimientos administrativos pueden abarcar en algunos casos los pasos necesarios para las solicitudes, autorizaciones, creación de usuarios, y su revisión periódica, transferencias y terminación. Estos procesos pueden ser desarrollados manualmente o de manera automatizada; sin embargo cada proceso debe cumplir con los estándares de seguridad asociados a la realidad de la organización poniendo en

25 40 práctica el cumplimiento de las políticas y procedimientos de seguridad de la institución PROVEEDORES EXTERNOS Las organizaciones a menudo cuentan con servicios brindados por departamentos, divisiones y proveedores externos. El administrador de seguridad de la información debe tomar las medidas necesarias para garantizar que los proveedores acaten las políticas de seguridad de información de la organización. Es necesario contar con controles que minimicen el riesgo al que se ve expuesta la empresa frente a proveedores externos, que acceden de manera directa o indirecta a la información de la misma. Define Camacho (2008), que el administrador de seguridad de información debe comunicar a los proveedores de las políticas de seguridad de la institución, y obtener de ellos un acuerdo escrito de confidencialidad, dado que la mayoría de las veces la información confidencial se puede ver expuesta. Generalmente este aspecto, así como otros niveles de servicio se establecen en un contrato firmado entre el proveedor y las empresas u organizaciones USO DE MÉTRICAS PARA MEDIR, MONITOREAR Y REPORTAR

26 41 El empleo de métricas para medir, monitorear y reportar la efectividad y eficiencia de los controles de seguridad de información, así como las políticas de seguridad de información es una tarea continua que debe desarrollar el administrador de seguridad de información en una organización. Adicionalmente, el monitoreo permite realizar los cambios que sean necesarios, dado que los sistemas de información y recursos de información constantemente cambian. Por lo expuesto, la herramienta más efectiva para gestionar el programa de seguridad es el empleo de métricas. El administrador de seguridad de la información debe contar con una metodología completa y formal para medir la efectividad del programa de seguridad desde todas sus perspectivas. Según Camacho (2008) en el diseño de métricas, una buena base debe ser establecida. Buenas métricas deben ser específicas, medibles, alcanzables, repetitivas y dependientes del tiempo. Luego, las métricas pueden ser usadas para medir el progreso. El administrador de seguridad de información debe contar con un proceso de revisión periódica de las métricas, reportándose cualquier actividad inusual. Un plan de acción para reaccionar a estas actividades debe ser desarrollado GESTION DE CAMBIOS

27 42 Según Camacho (2008), el administrador de seguridad de información debe implementar mecanismos de control en donde la seguridad sea considerada en cada proceso de cambio que se efectúe. La seguridad debe ser monitoreada y mantenida constantemente, en la medida que nuevas vulnerabilidades pueden ser introducidas en los sistemas, como resultado de cambios y/o actualizaciones. Un riesgo común es el desarrollo o implementación de una nueva aplicación que accede la red. Si los sistemas de comunicaciones de datos no cumple con los requerimientos de seguridad, surgen nuevos riesgos para los recursos de información. A medida que se realizan cambios en los sistemas y procesos en el tiempo, existe a menudo una tendencia a que los controles de seguridad se vuelvan menos efectivos. Por ello, el administrador de seguridad de información debe tener participación activa en los cambios, para asegurar que no surjan nuevas vulnerabilidades. Del mismo modo es importante mantener actualizados los controles de seguridad como resultado de los cambios EVALUACION DE VULNERABILIDADES La evaluación de vulnerabilidades es una de las herramientas vital en la medición de la efectividad del programa de seguridad de la información. La evaluación de vulnerabilidades típicamente incluye: la revisión de controles de seguridad para determinar si existen vulnerabilidades; prueba

28 43 de controles en curso para determinar su efectividad; pruebas de penetración para localizar vulnerabilidades; desarrollo de recomendaciones para reducir las vulnerabilidades y mejorar la seguridad; seguimiento de los progresos; debilidades en los sistemas operativos; deficiencias en las redes; aplicaciones (incluyendo bases de datos, aplicaciones web, correo, etc.), definido de esta forma por Camacho (2008) En algunas ocasiones es recomendable contratar los servicios de terceros para realizar estas evaluaciones. Esto brinda un punto de vista independiente y objetivo de las posibles vulnerabilidades que enfrenta. Estas evaluaciones deben incluir recomendaciones para mitigar las vulnerabilidades detectadas. Las evaluaciones de vulnerabilidades son útiles para determinar las debilidades en un sistema, pero es importante tener en mente que la mayoría de veces existirá una amenaza que explote una vulnerabilidad y causará un impacto ASPECTO DE NO CUMPLIMIENTO Para asegurar que aspectos de no cumplimiento sean resueltos de manera oportuna, el administrador de seguridad de la información debe emplear procesos específicos. Dependiendo en qué tan significativo sea el riesgo, varios puntos de vista podrían aplicarse. Dependerá del administrador de seguridad de información emplear la mejor alternativa. Si

29 44 un aspecto de no cumplimiento encierra un riesgo serio, es obvio que la resolución debe ser rápida. Generalmente se lleva una bitácora de estos aspectos de no cumplimiento, registrando las responsabilidades asignadas y los eventos ocurridos. Estos aspectos pueden ser identificados por medio de distintos mecanismos tales como: monitoreo; reportes de auditoría; revisiones de seguridad; y escaneo de vulnerabilidades CULTURA, COMPORTAMIENTO Y EDUCACIÓN EN SEGURIDAD DE LA INFORMACIÓN Para Camacho (2008) la capacitación y educación en temas de seguridad puede influenciar en la cultura y comportamiento del personal y se vuelve un factor crítico para el éxito de un programa de seguridad. Esta educación y capacitación incluye varios aspectos, desde especialización del personal de seguridad, a habilidades generales para todo el resto del personal de la organización. La Gerencia debe tener conocimiento claro de su cultura y de la actitud de las personas responsables de la seguridad de la información. El proceso de educación y capacitación debe ser un proceso continuo, teniendo el administrador de seguridad la responsabilidad de que sea desarrollado de la mejor manera y cumpliendo las normas establecidas.

30 ESTABLECIMIENTO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Según Veiga (2009), para ello se debe definir el alcance y los límites de la gestión de seguridad de la información en términos de las características del negocio, la organización, su ubicación, activos, tecnología, incluyendo los detalles y la justificación; como también se hace necesario el hecho de crear políticas en base a la organización, que permitan elaborar objetivos y de esta forma establecer un sentido de dirección general y principios para la acción con relación a la seguridad de la información. Continuando con el establecimiento de un sistema de gestión de seguridad de la información, es fundamental identificar una metodología de cálculo de riesgo adecuado para poder medir el grado de vulnerabilidad, amenaza e impacto de los mismos en los procesos y procedimientos de los activos de la organización pudiendo entonces nivelar el impacto comercial que traería el aumento de estos riesgos IMPLEMENTAR Y OPERAR UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Según Veiga (2009), se debe formular un plan de tratamiento de riesgo que identifique la acción gerencial apropiada, los recursos, las responsabilidades y prioridades para manejar los riesgos de la seguridad de la información, pudiendo así implementar el plan de tratamiento de riesgo

31 46 para de esta forma lograr los objetivos de control identificados en la fase de establecimiento de un sistema de gestión de seguridad de la información, los cuales incluyen tener en consideración el financiamiento y asignación de roles y responsabilidades dentro de un modelo de gestión de seguridad de la información. Se debe definir cómo medir la efectividad de los controles o grupos de controles seleccionados y especificar cómo se va a utilizar estas mediciones para evaluar la efectividad del control para producir los resultados comparables y reproducibles, Además de implementar programas de capacitación, que permitan establecer un conocimiento ideal para indagar en nuevos procedimientos así, como otros controles capaces de permitir una pronta detección de riesgos y respuestas a incidentes de seguridad que permita evitar la pérdida de la información MONITOREAR Y REVISAR EL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Indica Veiga (2009), que se debe detectar prontamente los errores en los resultados de procedimientos e identificar prontamente los incidentes y violaciones de seguridad fallidos como exitosas, de esta manera pudiendo entonces permitir a la gerencia determinar si las actividades de seguridad delegadas a las personas o implementadas mediante la tecnología de información se está realizando como se esperaba.

32 47 Sin embargo, un punto que debe ser tomado en cuenta durante todo el proceso del modelo es realizar revisiones regulares de la efectividad del sistema de gestión de seguridad de la información, incluyendo satisfacer la política y objetivos de seguridad del mismo, además de revisar los controles de seguridad, tomando en cuenta los resultados de auditores externos e internos, incidentes, mediciones de seguridad, sugerencias y retroalimentación de todas las partes interesadas MANTENER Y MEJORAR EL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Según Veiga (2009), se deben tomar las acciones correctivas y preventivas que permitan a la organización determinar la acción para eliminar la causa de las no conformidades potenciales, con los requerimientos del sistema de gestión de seguridad de la información para evitar su ocurrencia. Las acciones preventivas tomadas deben ser apropiadas para el impacto de los problemas potenciales, incluyendo que las mismas se deben determinar en base a los resultados de la evaluación del riesgo. Además se deben comunicar los resultados a todas las partes interesadas, con un nivel de detalle apropiado de acuerdo a las circunstancias y cuando sea relevante, acordar como proceder para asegurar que las mejoras logren sus objetivos señalados en la fase de

33 48 establecimiento de la gestión de la seguridad de la información, esto se dará siempre y cuando se revisen la efectividad del modelo de gestión RIESGOS EN LA SEGURIDAD DE LA INFORMACION El autor Camacho (2008), comenta que el objetivo de la administración de riesgos es identificar, cuantificar y administrar los riesgos asociados a la seguridad de información, con el fin de cumplir con los objetivos de negocio. Se puede mencionar cinco tareas principales dentro del proceso de administración de riesgos: a.-desarrollo de un proceso sistemático, analítico y continuo de administración de riesgos. b.-garantizar que la identificación de riesgos, su análisis y mitigación, se encuentren integrados al ciclo de vida de los procesos de negocio. c.-aplicar metodologías de análisis e identificación de riesgos. D.-Definición de estrategias para mitigar los riesgos a niveles aceptables para la institución financiera. e.-reportar cambios significativos en el riesgo a la gerencia, para tomar las decisiones que sean necesarias. Por otra parte Amoroso (2004) define el Riesgo como la combinación de una amenaza que aprovecha alguna vulnerabilidad de un activo para impactarlo y causarle daño. Según los autores el riesgo es un proceso que asegura que el impacto de las amenazas al explotar las distintas vulnerabilidades se deben

34 49 encontrar en un nivel aceptado para la organización, incluyendo los costos asociados. A este nivel, esto se obtiene balanceando la exposición al riesgo con la implementación de controles de distintos tipos, sean por ejemplo administrativos o tecnológicos. Para el caso especifico de las organizaciones, generalmente el riesgo es la probabilidad de que un evento o transacción produzca pérdida monetaria, daño a la imagen, su personal y a sus activos. Se puede resumir el concepto en la siguiente ecuación: Riesgo Total= Amenazas x Vulnerabilidad x Valor del Activo El riesgo es parte de la vida diaria de una empresa y por tanto es poco práctico pretender eliminarlo, por lo que todas poseen un nivel de riesgo que aceptan. Una forma para establecer el nivel aceptable de riesgo es determinando un punto óptimo donde los costos de las pérdidas se sopesen con el costo de los controles. Algunas estrategias que pueden adoptar para tal fin son: Dar fin a la actividad que origina el riesgo; Transferir el riesgo; Reducir el riesgo empleando mecanismos de control; Aceptar el riesgo. Es importante que una empresa cuente con un perfil de riesgo de su negocio. No existen modelos completos pero el dividir de manera lógica las áreas de riesgo de la organización, facilita el poder concentrarse en estrategias y decisiones para administrarlos. Asimismo permite desarrollar e implementar medidas que sean relevantes y económicamente convenientes para la mitigación de los riesgos.

35 50 Para desarrollar un programa de administración de riesgos, se debe emplear y adaptar un modelo referencial. En el marco de referencia se expone el estándar australiano AS/NZS 4360:2004, el cual en la actualidad es el más conocido y difundido en administración de riesgos. Empleando COBIT y su plataforma para el análisis de riesgos, se puede valorar los activos, evaluar sus vulnerabilidades, amenazas, riesgos, para luego aplicar medidas de control que dejen un riesgo residual, al cual luego se le puede aplicar un plan de acción. La valoración de los activos suele ser compleja, por tanto debe realizarse de manera cuidadosa, pues a partir de ella se determinarán las medidas de control para cada activo en particular. El primer paso de este proceso suele ser la identificación y clasificación de los recursos de información. La clasificación busca obtener el nivel de sensibilidad de los activos, siendo generalmente una tarea compleja. Se puede emplear como criterio de clasificación el costo de reemplazo de un activo: esto se aplica especialmente a los activos tangibles (hardware por lo general). La valoración de datos e información se convierte en un aspecto bastante subjetivo. Por tanto es importante que la valoración incluya siempre como criterio el daño producto de la exposición de información a riesgos con niveles no aceptables para la empresa.

36 51 Algunos ejemplos típicos de activos asociados con información y tecnología son: Información y datos; hardware; software; servicios; documentos; personal. Algunos ejemplos típicos de amenazas son: Errores; Accidentes; daño malicioso; eventos naturales (terremotos por ejemplo); fraude; robo; fallas de equipos y/o software; Pérdida de servicios (energía eléctrica por ejemplo). Mientras que algunos ejemplos de vulnerabilidades son: software defectuoso; Equipos configurados erróneamente; Diseño de red equivocado; personal insuficiente; tecnología no probada; transmisión de información en medios inseguros. El punto clave en la administración de riesgos es la mitigación o procesos de tratamiento (cómo el riesgo evaluado es tratado en la organización). Los elementos de control que deben ser considerados pueden ser preventivos o detectivos, manuales o automatizados. En resumen, el proceso de administración de riesgos consiste en tomar decisiones de negocio. El impacto de ataques y el nivel de riesgo aceptable para situaciones específicas, se convierten en una decisión fundamental de acuerdo a políticas de la organización PROCESO DE ADMINISTRACIÓN DE RIESGOS Los procesos deben ser diseñados de tal manera que puedan ser monitoreados en cuanto a su seguridad.

37 52 Las Organizaciones usualmente deben usar algunas de las siguientes técnicas en este proceso: a.- Identificar el perfil de riesgo de la organización. b.- Entender y documentar la naturaleza y extensión de los riesgos a los que está expuesta la institución. c.- Identificar prioridades en la administración de riesgos, lo cual se obtiene mediante la: identificación de la probabilidad de ocurrencia de las amenazas. Tambien es necesario la identificación del valor cuantitativo (monetario) y cualitativo (efecto) de la información o recurso crítico y vulnerable. d.- Determinación del impacto en el negocio si la vulnerabilidad es explotada con éxito. Se debe tener un entendimiento preciso de las necesidades de confidencialidad, integridad y disponibilidad de los recursos de información. Es necesario tener un conocimiento en detalle de los procesos de negocio y determinar qué recursos de información son críticos para cada línea de negocio en una institución. Esta información se puede obtener en charlas con los dueños de cada proceso de negocio, documentación de procesos, y charlas con los gerentes de área. No se podrá definir adecuadamente qué tan críticos son los recursos hasta que no se tenga detalle de los procesos de negocios a los que dan soporte.

38 INTEGRACIÓN EN EL CICLO DE VIDA DE LOS PROCESOS DE INFORMACION Asegurar que la identificación de riesgos, análisis y actividades de mitigación estén integradas en el ciclo de vida de los procesos, es un tarea importante en la gestión de seguridad de información. Desde que los recursos de información van cambiando, surgen nuevas vulnerabilidades, lo cual implica una variación en el riesgo asociado. Por ello, es necesario realizar un seguimiento a estos cambios para adoptar las medidas necesarias en caso el riesgo tienda a aumentar. Cada empresa debe implementar procedimientos personalizados de gestión de cambios en los recursos de información para mantener siempre controlado el nivel de riesgo expuesto de los mismos. Es recomendable que estos procedimientos sean clasificados por línea de negocio y/o áreas dentro de la organización. Integrando la identificación de riesgos, análisis y actividades de mitigación en ciclo de vida de los procesos, se estará asegurando que la información crítica sea adecuadamente protegida. Este es un aspecto proactivo, que permitirá planear e implementar políticas de seguridad y procedimientos alineados con los objetivos y el fundamento del negocio así como también los objetivos de la organización a largo plazo.