https://doi.org/10.35381/i.p.v5i1.2627
La planificación informática y su influencia en la seguridad de la información
Computer planning and its influence on information security
Alex Dario Palma-Rivero
Universidad Regional Autónoma de los Andes, Santo Domingo, Santo Domingo de los Tsáchilas
https://orcid.org/0000-0002-7684-7721
Ariel José Romero-Fernández
ua.arielromero@uniandes.edu.ec
Universidad Regional Autónoma de los Andes, Ambato, Tungurahua
Ecuador
https://orcid.org/0000-0002-1464-2587
Fredy Pablo Cañizares-Galarza
ua.arielromero@uniandes.edu.ec
Universidad Regional Autónoma de los Andes, Ambato, Tungurahua
Ecuador
https://orcid.org/0000-0002-1464-2587
Edwin Fabricio Lozada-Torres
ua.fabriciolozada@uniandes.edu.ec
Universidad Regional Autónoma de los Andes, Ambato, Tungurahua
Ecuador
https://orcid.org/0000-0002-3645-0439
Recibido: 15 de enero 2023
Revisado: 20 marzo 2023
Aprobado: 15 de abril 2023
Publicado: 01 de mayo 2023
RESUMEN
El objetivo de la investigación fue analizar la planificación Informática actual y su influencia en la seguridad de la información. La investigación fue considera cuantitativa porque se realizó una encuesta a los trabajadores de la institución con el fin de obtener datos estadísticos. Los resultados mostraron que el análisis de una planificación informática permite conocer las dificultades que muestra la institución con respecto a la gestión tics, presentar una corrección y generar mejoras en la seguridad de la información, con respecto al uso de terminales, puertos vulnerables en los servidores y tomando en consideración la integración del usuario final al proceso. En conclusión, se puede afirmar que el beneficio de la planificación informática repercute no únicamente a la parte administrativa de la institución en evaluación de su gestión, también se ve reflejada en la ciudadanía, ya que accede a servicios tics en el departamento de atención ciudadana con mayor eficiencia.
Descriptores: Planificación; informática; seguridad de datos; tecnología; información. (Tesauro UNESCO).
ABSTRACT
The objective of the research was to analyze current IT planning and its influence on information security. The research was considered quantitative because a survey was carried out on the workers of the institution in order to obtain statistical data. The results showed that the analysis of a computer planning allows to know the difficulties that the institution shows with respect to ICT management, present a correction and generate improvements in information security, with respect to the use of terminals, vulnerable ports on servers. and taking into consideration the integration of the end user to the process. In conclusion, it can be affirmed that the benefit of computer planning affects not only the administrative part of the institution in evaluation of its management, it is also reflected in the citizens, since they access ICT services in the citizen service department with greater efficiency.
Descriptors: Planning; computing; data security; technology; information. (UNESCO thesaurus).
INTRODUCCIÓN
En la actualidad las empresas o entidades tanto públicas como privadas tienen algo en común, y esto es, la información que contiene cada una de ellas, siendo el recurso más valioso que pueden poseer debido a la importancia o delicadeza de los datos, por lo tanto, uno de sus principales objetivos la protección, es decir identificar vulnerabilidades, y garantizar la protección el acceso y disponibilidad de la información. Para descubrir posibles amenazas existentes es necesario establecer una manera efectiva de hacerlo, y se lo puede realizar cuando inician los procesos diagnósticos que permitan constituir el estado actual de la seguridad dentro de la organización, esto incluye las políticas externas e internas que rigen actualmente en la empresa, involucrando a los riesgos de entorno, así lo establece (Solarte, Rosero, & Benavides, 2015a).
Uno de los métodos más conocidos para la mejora continua de un plan, es el modelo de Deming, el cual se basa en la realización de actividades en reiteradas ocasiones, con el fin de cumplir objetivos y tener una tendencia hacia la excelencia, con este enfoque se ha podido diagnosticar diferentes apartados de cumplimiento de la planificación informática propuesta del distrito de salud 23D03 – La Concordia, (Patón Villar et al., 2013). Además, según (Silva Junior, Araújo, Moraes, & Gonçalves, 2018) es necesario conocer otros aspectos más que entran en el tema de seguridad de la empresa, el análisis y evaluación de riesgos, la verificación de la existencia de controles de seguridad existentes, las pruebas con software y el monitoreo de los sistemas de información, debido a que permiten conocer cuál es el estado actual de la empresa, conocer cuáles son las vulnerabilidades más fuertes de la empresa y sus deficiencias, es la forma más acertada para poder mitigar esos fallos.
Por otro lado, según (Gómez Luis & Álvarez Ana, 2012) referencia que, para establecer una mejor seguridad en los datos, es necesario la planificación informática definiendo como la manera más eficaz de hacerlo. Este sistema es una parte del sistema global de gestión (Carpentier & Olivares Serrano, 2016a), basado claramente en la inteligencia de negocio además de recalcar una inducción de la inteligencia artificial, que permite asegurar la información frente a la pérdida de la misma en tres aspectos más característicos que son: la confidencialidad, integridad y disponibilidad.
Es necesario mencionar algunos antecedentes que han propiciado información sobre la implementación de este tipo de estudio y ventajas o beneficios que proporcionan a las empresas en cuanto a seguridad de la información, de estos elementos tenemos, “Gestión de la Información basado en normas ISO/IEC/COBIT ” (Sheikhpour & Modiri, 2012), “Software y Sistematización para unidades médicas” (Silva Junior et al., 2018), “Técnicos de Soportes Informáticos” (Desongles, Cifredo, Garzon, Sampalo de la Torre, & Rocha, 2006), “Seguridad informática”(Carpentier & Olivares Serrano, 2016b)”Gestión de Proyectos Informáticos”(Blanco Arbe, Usandizaga, & Jaime, 2014)
El principal objetivo de la investigación es analizar la planificación informática actual y establecer mecanismos para mejorar los problemas encontrados, en la cual se plantea instaurar un mejor acceso, disponibilidad y confidencialidad y minimizar las vulnerabilidades, para minimizar riesgos en el manejo de información.
La investigación fue considera cuantitativa porque se realizó una encuesta a los trabajadores de la institución con el fin de obtener datos estadísticos acerca del cumplimiento de las tareas programadas en la institución (Cairampoma, 2015). Por su finalidad la investigación es de tipo aplicada porque busca el análisis al problema práctico de analizar la planificación informática para mejorar la gestión de la seguridad en los distritos de salud (Maya, 2014). Por su alcance la investigación es descriptiva, ya que se caracteriza por la descripción del análisis de un plan informático para el mejoramiento de la seguridad en el distrito 23D03 (Cairampoma, 2015). La población será todos los trabajadores pertenecientes al Distrito con un número total de 196, de los cuales se los divide en: administrativos y operativos, tomando en cuenta todas las unidades pertenecientes al cantón.
RESULTADOS
Los resultados obtenidos a través de la encuesta en el Distrito 23D03 han permitido establecer las condiciones en las que desarrollan el seguimiento y uso de su planificación informática, además se logró obtener evidencias acerca de las falencias que se originan por la inutilización del mismo. A partir de este punto se establece el enfoque de las encuestas en relación a su planificación.
Los usuarios pertenecientes al distrito conocen acerca de las seguridades al momento de la utilización de un dispositivo informático, esto con respecto a los parámetros de accesibilidad, como uso de contraseñas e instalación de software autorizado, en el uso de los terminales y sistemas de gestión de la información propio de la institución. Los usuarios requieren del uso de un equipo tecnológico para el cumplimiento de sus actividades laborales, el uso de herramientas ofimáticas para la elaboración de diferentes documentos y la utilización de su sistema de gestión para la entrega de los mismos.
El sistema operativo a utilizar bajo decreto y normativa publica es Linux, sin embargo, se identificó que algunas máquinas están funcionando con Windows, y el almacenamiento para cada terminal está vinculado a una cuenta de Dropbox con privilegios para cada departamento de la institución, el almacenamiento se lo gestiona de manera local para cada equipo. Además, cada uno de los operadores es responsable de su terminal, cada uno cuenta con el usuario y contraseña respectiva para el proceso de carga de información. Los usuarios no cuentan con seguridad física para garantizar la permanencia del equipo en el sitio de trabajo, así mismo se evidencia la falta de la utilización de contraseña para el inicio de sesión del dispositivo.
El distrito de salud solventa necesidades de contingencia basado en un plan, que no cuenta con la aprobación de la institución, es decir ejecutan un plan de contingencia que no está ajustado a sus requerimientos, sin embargo, cumple con las expectativas departamentales. La institución cuenta con un servicio contratado de internet de la empresa pública CNT, en el que está incluido un convenio de servicios entre los que se pueden nombrar: restricción de accesos en la web (configuración Proxy), seguridad en puertos, entre otros.
Para el manejo de capacitaciones al personal de la institución se cuenta con un plan de capacitaciones elaborado por el encargado de tics y aprobado por la autoridad encargada de la institución, de la misma forma se cumple el cronograma de mantenimiento y revisiones de los equipos, y finalmente se verificó el almacenamiento de la información diaria, almacenada en un servidor local, esa información proviene de los terminales que tienen la cuenta de Dropbox para el ingreso de datos relacionados a la entidad.
Por otro lado, la administración interna del departamento de tecnología se basa en el soporte técnico y administración de los servicios de red, además se cuenta con un servidor de almacenamiento donde se respaldan los backup de la institución, y se realizó una evaluación de seguridades en el servidor, en donde se ha encontrado puertos abiertos.
DISCUSIÓN
La planificación informática del distrito 23D03 de salud – La Concordia, está basada en un modelo de uso implementado por la Contraloría General del Estado, y por el Instituto Nacional de Estadísticas y Censos INEC, éste modelo se ha originado a partir de diferentes enfoques de gestión, específicamente en COBIT 5, orientado a la gestión TIC empresarial, y la norma ISO 27001 que se resume en el mejoramiento de la gestión de la seguridad de la información con el fin de garantizar la disponibilidad y acceso a los datos mediante el uso de las buenas prácticas, el análisis de los diferentes apartados enmarcados en la planificación ha permitido una mejora en el cumplimiento y ordenamiento de la gestión, cumpliendo necesidades como la de garantizar la disponibilidad de los datos, mejorar el uso de equipo tics por parte de los usuarios internos y se evita que los terminales sean dispositivos vulnerables para el robo de información.
El análisis y cumplimiento del ciclo de Deming, permitió reestablecer las insuficiencias encontradas en la planificación ejercida por la institución, teniendo en cuenta que la planificación mencionada, es tomada de un modelo externo que se ajusta a las necesidades propias del distrito, con el fin de ayudar a la gestión y un mejor manejo del centro de tics, y además, al momento de corregir falencias se orienta a la toma de decisiones a nivel gerencial porque permite mejorar el rendimiento laboral implícito y la optimización de recursos, de esta forma se cumple uno de los fines requeridos por COBIT 5. Los aspectos más importantes en que repercutió la investigación fueron los siguientes:
Planes de control y capacitación, el distrito cuenta con una planificación para realizar el mantenimiento y adecuación de los dispositivos, además de tener la disposición de orientar al personal al uso de las buenas prácticas para el manejo de recursos tics
Mediante el análisis de los puntos desfavorables en su planificación, se evidenció la falta de seguridad en los terminales, por lo cual se ejecutó el procedimiento establecido para asegurar los equipos y la data, ejemplo es, el uso de contraseña en cada usuario, seguridad física en el puesto de uso del ordenador.
Uno de los puntos a notar, por parte del personal de tecnología en la institución, es el de asegurar la información almacenada en el servidor perteneciente a la institución, usan un servidor HP Proilant para almacenamiento de información, en el cual, mediante el uso de herramientas de Kali Linux, en este caso Dmitry, se encontró algunos puertos considerados vulnerables, la corrección en este apartado de la planificación permite mitigar riesgos potenciales a la empresa, en este caso el administrador del departamento de tecnologías de la institución deberá considerar la utilización de dichos puertos en base a las necesidades de la organización para determinar si los deja como abiertos o cerrados.
El análisis de una planificación informática permite conocer las dificultades que muestra la institución con respecto a la gestión tics, presentar una corrección y generar mejoras en la seguridad de la información, con respecto al uso de terminales, puertos vulnerables en los servidores y tomando en consideración la integración del usuario final al proceso.
La planificación informática basada en un estándar, ayuda en gran porcentaje a mejorar la seguridad de la información siempre y cuando se apliquen todos los procedimientos establecidos y se ejecute la verificación y control de los mismos. El beneficio de la planificación informática repercute no únicamente a la parte administrativa de la institución en evaluación de su gestión, también se ve reflejada en la ciudadanía, ya que accede a servicios tics en el departamento de atención ciudadana con mayor eficiencia.
FINANCIAMIENTO
No monetario.
AGRADECIMIENTO
A los trabajadores del departamento de Distrito 23D03 de salud, de la ciudad de La Concordia, específicamente al Departamento de TIC´s, áreas administrativas y operativas.
REFERENCIAS CONSULTADAS
Blanco Arbe, J. M., Usandizaga, I., & Jaime, A. (2014). Gestión de Proyectos en el Grado en Ingeniería Informática: del PBL a la espiral de proyectos. [Project Management in the Degree in Computer Engineering: from PBL to the spiral of projects]. https://n9.cl/v8n64
Cairampoma, R. (2015). Tipos de Investigación científica: Una simplificación de la complicada incoherente nomenclatura y clasificación. [Types of Scientific Investigation: A Simplification of the Complicated Inconsistent Nomenclature and Classification]. REDVET, vol. 16, núm. 1, pp. 1-14, España. https://n9.cl/vz2u
Carpentier, J.-F. (Jean-F., & Olivares Serrano, J. (2016). La seguridad informática en la PYME : situación actual y mejores prácticas.[ Computer security in SMEs: current situation and best practices]. https://n9.cl/xu4p8
Desongles, J., Cifredo, E. A., Garzón, M. Luis., Sampalo de la Torre, M. d. los A., & Rocha, I. (2006). Técnicos de Soporte Informático de la Comunidad de Castilla Y León. [Computer Support Technicians of the Community of Castilla Y León]. Temario Volumen I Ebook. MAD. https://n9.cl/6knln
Gómez Luis, & Álvarez Ana. (2012). Guía de la aplicación de la Norma UNE- ISO/27001 sobre seguridad en sistemas de información. [Guide to the application of the UNE-ISO/27001 Standard on security in information systems ]. (2ª ed.). España: AENOR. https://n9.cl/gh1km
Maya, E. (2014). Métodos y técnicas de investigación Una propuesta ágil para la presentación de trabajos científicos en las áreas de arquitectura, urbanismo y disciplinas afines. [Research methods and techniques An agile proposal for the presentation of scientific papers in the areas of architecture, urbanism and related discipline ]. (1ª ed.). Mexico. https://n9.cl/kban
Patón Villar, Fernando, Lorente Granados, Gloria, Fernández-Lasquetty Blanc, Blanca, Hernández Martínez, Antonio, Escot Higueras, Sandra, Quero Palomino, Mª Azucena, & Navarro González, Isabel. (2013). Plan de mejora continua en la prevención-tratamiento de las úlceras por presión ciclo Deming. [Plan for continuous improvement in the prevention-treatment of pressure ulcers Deming cycle]. Gerokomos , 24 (3), 125-131. https://n9.cl/yupho
Silva Junior, M. G. da, Araújo, E. da C., Moraes, C. R. S., & Gonçalves, L. H. T. (2018). Software for systematization of nursing care in medical units. Revista Brasileira de Enfermagem, 71(5), 2425–2431. https://doi.org/10.1590/0034-7167-2016-0386
Sheikhpour, R., & Modiri, N. (2012). An Approach to Map COBIT Processes to ISO/IEC 27001. International Journal of Security and Its Applications, 16.
Solarte, F. N. S., Rosero, E. R. E., & Benavides, M. del C. (2015). Metodología de análisis y evaluación de riesgos aplicados a la seguridad informática y de información bajo la norma ISO/IEC 27001. [Risk analysis and assessment methodology applied to computer and information security under the ISO/IEC 27001 standard]. Revista tecnológica. In Revista Tecnológica-ESPOL (Vol.28). https://n9.cl/eej7
©2023 por los autores. Este artículo es de acceso abierto y distribuido según los términos y condiciones de la licencia Creative Commons Atribución-NoComercial-CompartirIgual 4.0 Internacional (CC BY-NC-SA 4.0) (https://creativecommons.org/licenses/by-nc-sa/4.0/).