Ciencias Holguín E-ISSN: 1027-2127 revista@ciget.holguin.inf.cu Centro de Información y Gestión Tecnológica de Santiago de Cuba Cuba Díaz-Ricardo, Yanet; Pérez-del Cerro, Yunetsi; Proenza-Pupo, Dayamí Sistema para la Gestión de la Información de Seguridad Informática en la Universidad de Ciencias Médicas de Holguín Ciencias Holguín, vol. XX, núm. 2, abril-junio, 2014, pp. 1-14 Centro de Información y Gestión Tecnológica de Santiago de Cuba Holguín, Cuba Disponible en: http://www.redalyc.org/articulo.oa?id=181531232002 Cómo citar el artículo Número completo Más información del artículo Página de la revista en redalyc.org Sistema de Información Científica Red de Revistas Científicas de América Latina, el Caribe, España y Portugal Proyecto académico sin fines de lucro, desarrollado bajo la iniciativa de acceso abierto
Ciencias Holguín, Revista trimestral, Año XX, abril-junio 2014 Sistema para la Gestión de la Información de Seguridad Informática en la Universidad de Ciencias Médicas de Holguín/ System for the Management of the Information of Informatics Security at the Medical Sciences University of Holguín * Yanet Díaz-Ricardo. ydiazr@facinf.uho.edu.cu ** Yunetsi Pérez-del Cerro. yuni@ucm.hlg.sld.cu *** Dayamí Proenza-Pupo. dproenzap@facinf.uho.edu.cu Institución de los autores *; ***Universidad de Holguín Oscar Lucero Moya ** Universidad de Ciencias Médicas de Holguín PAÍS: Cuba RESUMEN Abordó una investigación realizada en la Universidad de Ciencias Médicas de Holguín, motivada por la necesidad de contar con una herramienta de apoyo para la gestión de reportes de incidentes, control del estado de protección de los medios informáticos, así como la mejor preparación de los trabajadores en aspectos relacionados con la seguridad informática. Tiene como objetivo fundamental la resolución de un conjunto de dificultades en este aspecto, como son los relacionados con la fluidez de la información, la centralización y confiabilidad en sus datos, para mitigar estos perjuicios se desarrolló una herramienta informática que apoya la gestión de la información sobre seguridad informática. PALABRAS CLAVES: GESTIÓN DE INFORMACIÓN; SEGURIDAD INFORMÁTICA; HERRAMIENTA INFORMÁTICA. ABSTRACT This investigation approached the necessity of a supporting tool for the management of incidence reports; the control of informatics means protection status and also a better training of workers in some aspects related to Ciencias Holguín ISSN 1027-2127 1
Díaz, Pérez, Proenza informatics security. Its main objective is the overcoming of some difficulties such as the information fluency, the centralization and reliability of data. In order to diminish the prejudices, an informatics tool that supports the information management about informatics security was developed. KEY WORDS: INFORMATION MANAGEMENT; COMPUTER SECURITY; INFORMATION-TECHNOLOGY TOOL. INTRODUCCIÓN La seguridad informática ( en lo adelante, S.I) que contempla en la actualidad un importante número de disciplinas y especialidades distintas y complementarias, se ha convertido en una pieza fundamental en el entramado empresarial, industrial y administrativo de los países. La falta de una figura encargada de coordinar, planear y promover las actividades que tengan que ver con la S.I genera una situación que se ve reflejada en el crecimiento de problemas de seguridad que se presentan dentro de las instituciones, conocidos como incidentes.7 Los trascendentales cambios operados en el mundo moderno, caracterizado por su incesante desarrollo; la acelerada globalización de la economía, la acentuada dependencia que incorpora un alto volumen de información y los sistemas que la proveen; el aumento de la vulnerabilidad y el amplio espectro de amenazas, imponen nuevos retos a la práctica de la profesión de auditoría, en particular a la auditoría de seguridad Informática. Las características que priman en el entorno de cualquier entidad moderna que incorpore a su gestión las tecnologías de información, sustentadas sobre una infraestructura tecnológica con amplio grado de integración de redes, comunicaciones y sistema de información de punta, demanda transformaciones en la práctica de la disciplina orientada a ejercer un control superior mediante la auditoría.1 Cuba realiza grandes esfuerzos e invierte considerables recursos, para llevar la informatización a todos los niveles de la sociedad, con el objetivo de mejorar la rapidez del acceso a la información y su organización de una manera adecuada, además, de garantizar la preparación. Producto a los avances alcanzados en los últimos años, con el incremento del uso de tecnologías de la información en todos los sectores, en particular de las Año XX, abril-junio 2014 2
Sistema para la Gestión de la Información de Seguridad Informática en la Universidad de Ciencias Médicas de Holguín redes informáticas y sus servicios asociados, surge como una necesidad del Estado cubano la creación de la Oficina de Seguridad para las Redes Informáticas (OSRI), creada por el Acuerdo 3736/2000 del Comité Ejecutivo del Consejo de Ministros (CECM), adscripta al Ministerio de la Informática y las Comunicaciones (MIC), con el objetivo de prevenir, evaluar, inves tigar y dar respuesta a las acciones tanto internas como externas que afecten el normal funcionamiento de las Tecnología de la Informática y las Comunicaciones (TIC) en el país.9 Se elabora además la Resolución 127/2007 del MIC, que aprueba y pone en vigor un Reglamento de Seguridad para las Tecnologías de la Información, que responde a las necesidades actuales en esta materia, que tienen entre sus funciones específicas, las de establecer y controlar las normas y regulaciones relativas a la integridad, privacidad de la información y la seguridad e invulnerabilidad de las redes de infocomunicaciones.6 Es por ello que, poco a poco, las organizaciones en el país han tomado conciencia del problema de la seguridad informática y paulatinamente incorporan la figura Responsable o Especialista de S.I. En la Universidad de Ciencias Médicas de Holguín (UCM), perteneciente al Ministerio de Salud Pública (MINSAP), existe una pe rsona que se responsabiliza de establecer los controles en correspondencia con el grado de protección requerido por el sistema informático diseñado, el cual tiene entre sus funciones realizar auditorías de seguridad informática, dirigidas fundamentalmente a prevenir, detectar y contrarrestar las acciones que pongan en peligro la confidencialidad, disponibilidad e integridad de la información. La UCM de Holguín tiene dentro de sus objetivos principales contribuir a la formación del personal médico de acuerdo con las necesidades del sistema nacional, realizar trabajos de investigación, desarrollar medios de enseñanza interactivos, por lo que el uso de las tecnologías de la información se ha convertido en factor esencial para el proceso de superación profesional. Por ello, se hace imprescindible la adopción de un conjunto de medidas organizativas que permitan fomentar e incrementar progresivamente la eficiencia de los sistemas de seguridad informática. El propósito de tener una figura denominada Responsable o Especialista de S.I es contar con alguien a quien se pueda recurrir en caso de producirse algún Ciencias Holguín ISSN 1027-2127 3
Díaz, Pérez, Proenza problema de seguridad, un encargado de difundir las alertas, así como proponer y definir esquemas que reduzcan los incidentes de seguridad que se presenten. De ocurrir algún tipo de incidente o violación de la seguridad informática, la entidad tiene la obligación de formular la estrategia a seguir ante el mismo, que pueda producirse en correspondencia con la importancia de los bienes informáticos que posea y las posibles alternativas a emplear para garantizar los servicios. Una vez establecida la estrategia, se dispondrá de las medidas y los procedimientos que correspondan con el fin de garantizar la continuidad, el restablecimiento y la recuperación de los procesos informáticos, además, de garantizar una buena evaluación de lo ocurrido. 1 Actualmente, toda la información relacionada con la seguridad informática se gestiona de forma manual, estas limitaciones traen como resultado que no se puedan satisfacer las necesidades de información con calidad y rapidez, lo que provoca retrasos y posibles errores en los datos requeridos. Además, el intercambio de información con las entidades subordinadas se realiza personalmente, por teléfono o correo electrónico, trayendo mal aprovechamiento de tiempo, esfuerzos y recursos. La información sobre las inspecciones de auditoría realizadas se almacena en papel, que ocupa espacio, se deteriora con facilidad y afecta al medio ambiente. Todo lo anterior ha incidido en el incremento acelerado no solo del volumen de información, sino del producto informático derivado de este. Esto ha significado que existan dificultades con el procesamiento de las informaciones necesarias para el trabajo específico de seguridad informática en la UCM de Holguín, a la hora de reportar una incidencia, de conocer las principales violaciones que se detectan, contar con un método informativo que garantice la preparación de los usuarios en temas referentes a la S.I, tener un mayor control de los medios informáticos y generar reportes gráficos que ilustren los resultados de los controles realizados por meses o años. Según lo analizado anteriormente se resume como situación problémica la dificultad de gestionar ágilmente la información relacionada con la seguridad informática, por el tratamiento de grandes volúmenes de datos, lo que provoca 1 Reglamento de seguridad para las tecnologías de la información. 2007 Año XX, abril-junio 2014 4
Sistema para la Gestión de la Información de Seguridad Informática en la Universidad de Ciencias Médicas de Holguín pérdidas y errores por el empleo de métodos tradicionales con el correspondiente consumo en materiales de oficina y excesivo esfuerzo por parte de las personas involucradas en este proceso. De donde surge el problema: cómo favorecer, en la Universidad de Ciencias Médicas de Holguín, el proceso de gestión de la información de seguridad informática para mejorar su tratamiento y fluidez? Por lo que se define como objetivo: desarrollar un sistema informático para la gestión de la información de seguridad informática que favorezca su tratamiento y fluidez en la Universidad de Ciencias Médicas de Holguín. MATERIALES Y MÉTODOS Para el desarrollo de esta investigación se utilizaron diferentes métodos de investigación empíricos, teóricos. Métodos empíricos: Entrevista: se utilizó para determinar los requerimientos del sistema. Consulta de documentos: se empleó para determinar la información que será persistente en el sistema. Observación: permitió la comprensión de los procesos que se deseaban informatizar. Encuesta: proporcionó la evaluación del estado actual del proceso. Criterio de expertos: se utilizó para evaluar el grado de satisfacción de los usuarios con la propuesta de solución. Métodos teóricos: Análisis y síntesis: permitió estructurar y organizar las características básicas de la aplicación del sistema informático. Histórico lógico: posibilitó evaluar el problema para identificar las principales necesidades. Modelación sistémica: sirvió para la elaboración del análisis y diseño de las funcionalidades del sistema informático. RESULTADOS DEL TRABAJO Los sistemas de información y los datos almacenados están entre los recursos más valiosos con los que puede contar cualquier organización. La necesidad Ciencias Holguín ISSN 1027-2127 5
Díaz, Pérez, Proenza imperante del flujo de información y el traslado de recursos de un sitio a otro hace que aparezcan vulnerabilidades que ponen en riesgo la seguridad de la infraestructura de comunicación y toda la información que contienen sus nodos. Proteger la información y los recursos tecnológicos informáticos es una tarea continúa y de vital importancia que debe darse en la medida en que avanza la tecnología, ya que las técnicas empleadas por aquellos que usan dichos avances para fines delictivos aumentan y como resultado los atacantes son cada vez más numerosos, mejor organizados y con mejores capacidades. En la presente investigación se informatizaron las acciones que contribuyen a realizar una gestión más eficiente de la información de seguridad informática. A continuación se presenta el diagrama de paquetes en que están organizadas las funcionalidades del sistema: Incidentes. Utiliza Seguridad Utiliza Capacitación Utiliza Utiliza Utiliza Administración General Estado Protección Medios Informáticos Figura 1 Diagrama de Paquetes El paquete Seguridad garantiza la integridad y confiabilidad de los datos almacenados, garantizando que los usuarios accedan y actualicen la información a la que tienen permiso en dependencia de los privilegios que posea. Todos los restantes paquetes están relacionados con este. El paquete General agrupa algunas funcionalidades que van a ser utilizadas por los restantes paquetes, cambiar la contraseña y visualizar la ayuda del sistema. Año XX, abril-junio 2014 6
Sistema para la Gestión de la Información de Seguridad Informática en la Universidad de Ciencias Médicas de Holguín El paquete Administración contiene opciones que permiten la gestión de usuarios y áreas, además de tener acceso a las trazas de accesos al sistema y poder restaurar el mismo en caso de ser necesario. El paquete Incidentes le permite a los usuarios reportar incidentes de diversos tipos, detallando en observaciones lo ocurrido y permitiéndole modificarlo hasta tanto el incidente no sea recepcionado por el Especialista de S.I., quien tendrá el control de ahí en lo adelante hasta que quede resuelto o finalizado. El paquete de Capacitación se encarga de proporcionarles preparación a los trabajadores sobre temas relacionados con la seguridad informática. El paquete de Control del Estado de Protección de Medios Informáticos le permite al Especialista de Seguridad Informática tener identificadas las vulnerabilidades por cada área. A continuación se presenta un diagrama que constituye una representación gráfica de las funcionalidades, agrupadas en casos de uso (fragmentos de funcionalidad), que brinda el paquete Incidentes y su interacción con los usuarios potenciales: Figura 2 Diagrama de CUS para el paquete Incidentes Los usuarios que interactuarán con el sistema son los que a continuación se relacionan: Especialista de SI: Se encarga de llevar el control de los incidentes, la capacitación y el estado de protección de los medios informáticos. Ciencias Holguín ISSN 1027-2127 7
Díaz, Pérez, Proenza Administrador: Representa al responsable de las acciones administrativas del sistema. Usuario: Generalización de los actores del sistema. Tiene acceso a información pública como: políticas de seguridad informática, enlaces y otros documentos, además de poder, reportar incidencias y cambiar su contraseña. Para el almacenamiento de la información que genera el proceso se creó la siguiente distribución representada en el modelo de datos: Figura 3 Modelo Lógico de Datos A continuación se muestran imágenes del sistema: El Sistema para la Gestión de la Información de Seguridad Informática (GISI), es un paquete Cliente Servidor, diseñado sobre plataforma web con el objetivo de soportar en línea la mayor parte de la información que controla la gestión de la seguridad informática en la Universidad de Ciencias Médicas de Holguín. Año XX, abril-junio 2014 8
Sistema para la Gestión de la Información de Seguridad Informática en la Universidad de Ciencias Médicas de Holguín Pantalla de Autenticación Figura 4 Pantalla de Autenticación El sistema cuenta con el área de autenticación, donde se debe especificar usuario y contraseña. Al registrarse en el Sistema, se accederá a la página de inicio del sitio, que se muestra. Figura 5 Pantalla de Bienvenida En dependencia de la persona que se autentica, la aplicación muestra diferentes opciones en el menú. Dentro de las actividades del Administrador, está la actualización de los usuarios que interactuarán con la aplicación. Esto se realiza a través de la opción Listado de Usuarios del Sistema del menú Usuarios. Al escoger esta opción, GISI se redirecciona hacia la interfaz que se muestra. Ciencias Holguín ISSN 1027-2127 9
Díaz, Pérez, Proenza Figura 6 Gestión de Usuarios El especialista de seguridad Informática gestiona lo referente a los Incidentes y su tratamiento en la aplicación. La actualización de los tipos de incidencias el especialista la realiza a través de la interfaz que se muestra, a la cual se accede a través de la opción Tipos de Incidencias del menú Incidencias. En ella puede agregar, modificar o borrar los tipos de incidencias. Las demás interfaces que realizan estas acciones se diseñaron siguiendo el mismo patrón. Figura 7 Gestión de Incidencias Año XX, abril-junio 2014 10
Sistema para la Gestión de la Información de Seguridad Informática en la Universidad de Ciencias Médicas de Holguín Valoración de la aplicación Una vez desarrollado un sistema es necesario realizar una valoración para obtener el grado en que satisface los requisitos que lo dieron origen. Para este estudio se utilizó el método Delphi considerado como uno de los métodos subjetivos de pronósticos más confiables. A partir de la aplicación de este criterio se obtuvieron resultados satisfactorios, pues de las 34 funcionalidades de la propuesta de solución puesta a consideración de los expertos, 31 fueron consideradas como muy relevantes (91,2%) y 3 de bastante relevante (8,8%). Ninguna funcionalidad fue considerada relevante, poco o nada relevante. De lo que se concluye que la aplicación elaborada es factible y aplicable para favorecer la gestión de información de seguridad informática. CONCLUSIONES Con el desarrollo del sistema propuesto se ha dado cumplimiento al objetivo de esta investigación, pues como resultado se obtuvo un producto informático de alta calidad que proporciona mayor integridad y confiabilidad a los datos. A continuación se relacionan las principales conclusiones a las que se arribó: 1. A través del estudio realizado se detectaron las deficiencias en el proceso de gestión de información de seguridad informática, por lo que se propuso como solución la implantación del sistema que se ha desarrollado. 2. La metodología utilizada para el diseño y desarrollo de la aplicación resultó eficiente y queda disponible para su utilización en sistemas similares. 3. El sistema Web elaborado está valorado por el método Delphi, mediante entrevistas a especialistas y encuestas a expertos que permitieron evaluar y valorar la aplicación Web. RECOMENDACIONES A partir de la investigación realizada en la Universidad de Ciencias Médicas de Holguín y para continuar el desarrollo de este trabajo se recomienda: Ciencias Holguín ISSN 1027-2127 11
Díaz, Pérez, Proenza 1. Generalizar el uso de la aplicación Web al resto de las entidades para que puedan explotarlo y utilizar las facilidades que brinda esta herramienta. 2. Confeccionar un plan de capacitación que garantice la adecuada preparación de los usuarios que usarán la herramienta para que aprovechen al máximo las facilidades que brinda GISI. 3. Implementar en el sistema la opción de imprimir reportes estadísticos. BIBLIOGRAFÍA 1. Alvarez, L. D. (2005). Seguridad Informática. México D.F. [Documento en línea]. http://www.slideshare.net/raisa_22_acuario/seguridadinformatica-13543798. [Consultado: 29 /1/ 2012]. 2. Antúnez, A., Oduardo, N. Auditoria y Seguridad informática. Realidades y perspectivas en Cuba. [Documento en línea]. http://www.sabetodo.com/contenidos/eezzuulzllvzjbakcg.php. [Consultado: 25 /2/ 2012]. 3. J.Cano, J. ( 2004). Inseguridad informática: Un concepto dual en seguridad informática [versión electrónica]. Revista de Ingeniería 19. Disponible en: http://revistaing.uniandes.edu.co/index.php?ida=62&idr=3&ids=1. [Consultado: 20 /2/ 2012]. 4. Jacobson, I., Booch, G., Rumbaugh, J. (2000). El Lenguaje Unificado de Modelado. New York: Addison Wesley. 5. Jacobson, I., Booch, G., Rumbaugh, J. (2000). El proceso unificado de desarrollo de software. New York: Ed. Addison Wesley. 6. John, D. (1995). An Analysis of security on the Internet 1989-1995, Carnegie Mellon University, Carnegie Institute of Technology. [Documento digital] 7. Lluén, Salazar. (2005). Perfiles Profesionales para Seguridad Informática, [Documento en línea]. http://www.monografias.com/trabajos-pdf2/perfiles-profesionalesseguridad-informatica-practico/perfiles-profesionales-seguridadinformatica-practico.pdf. [Consultado: 29 /1/ 2012]. Año XX, abril-junio 2014 12
Sistema para la Gestión de la Información de Seguridad Informática en la Universidad de Ciencias Médicas de Holguín 8. Rios, J. Seguridad Informática. [Documento en línea] http://www.monografias.com/trabajos82/la-seguridad-informatica/laseguridad-informatica.shtml. [Consultado: 2 /2/ 2012]. 9. Rodríguez, F. El Método Delphi para el procesamiento de los resultados de Encuestas a Expertos o Usuarios en Estudios de Mercado y en la Investigación Educacional. Universidad Oscar Lucero Moya, Holguín. [Documento digital]. 10.Suárez, I. (2011). Procedimiento para la gestión de Información de la Seguridad Informática. Tesis de Maestría. Universidad Oscar Lucero Moya, Holguín. Ciencias Holguín ISSN 1027-2127 13
Díaz, Pérez, Proenza Síntesis curricular de los Autores * Ing. Yanet Díaz-Ricardo Ingeniero Informático. Profesor. Dpto. de Informática. Investigaciones realizadas: Sistema para la Gestión de Contratos Económicos en la Zona Oriente Norte, ECASA S.A. Cursos de posgrado impartidos: Curso Introductorio a la Plataforma de Aprendizaje a Distancia (Moodle) para administradores, Ingeniería de Software (UML), Instalación, configuración y administración del CMS Joomla. Cursos de posgrado recibidos: Seguridad Informática, Oficina para la Seguridad de las Redes Informáticas, Dirección y Administración, Metodología de la Investigación Científica, Diplomado Docencia Universitaria Participación en eventos: IV Conferencia Científica Internacional, V Conferencia Científica Internacional, XVI Forum Municipal de Ciencia y Técnica, Relevante, XVI Forum Provincial de Ciencia y Técnica, Destacado. ** Ing. Yunetsi Pérez-del Cerro Ingeniero Informático. Especialista de Seguridad Informática. Dpto. de las TIC. Universidad de Ciencias Médicas de Holguín, Cuba. Cursos de posgrado recibidos: Software Libre como Estación, Seguridad Informática, Centro Provincial de Información de Ciencias Médicas. Gestor de Contenidos *** Ing. Dayamí Proenza-Pupo Ingeniero Informático Universidad de Holguín, Cuba. Investigaciones realizadas: Sistema Informático para la seguridad en las conexiones y comunicaciones de la red de datos en el Nodo Central de la Universidad de Holguín Cursos de posgrado impartidos: Curso Instalación, configuración y administración del CMS Joomla, Cursos de posgrado recibidos: Fundamentos de Redes, Seguridad Informática, Administración Básica de Redes en GNU/Linux Debian. Correo Electrónico e Internet. Herramientas de simulación y virtualización de hardware y redes, Seguridad en Tecnologías de la Información. Ha participado en eventos Como V Conferencia Científica Internacional, IV Taller de Informatización de la sociedad holguinera, Taller Nacional de Informatización, Taller Nacional de Seguridad Informática. Institución de los autores. *; *** Universidad de Holguín Oscar Lucero Moya ** Universidad de Ciencias Médicas de Holguín Fecha de Recepción: 30101/2013 Fecha de Aprobación: 10/01/2014 Fecha de Publicación: 16/04/2014 Ciencias Holguín ISSN 1027-2127 14