Ciencias Holguín

E-ISSN: 1027-2127

revista@ciget.holguin.inf.cu

Centro de Información y Gestión Tecnológica

de Santiago de Cuba

Cuba

Díaz-Ricardo, Yanet; Pérez-del Cerro, Yunetsi; Proenza-Pupo, Dayamí

Sistema para la Gestión de la Información de Seguridad Informática en la Universidad de Ciencias

Médicas de Holguín

Ciencias Holguín, vol. XX, núm. 2, abril-junio, 2014, pp. 1-14

Centro de Información y Gestión Tecnológica de Santiago de Cuba

Holguín, Cuba

Disponible en: http://www.redalyc.org/articulo.oa?id=181531232002

Cómo citar el artículo

Número completo

Más información del artículo

Página de la revista en redalyc.org

Sistema de Información Científica

Red de Revistas Científicas de América Latina, el Caribe, España y Portugal

Proyecto académico sin fines de lucro, desarrollado bajo la iniciativa de acceso abierto

Ciencias Holguín, Revista trimestral, Año XX, abril-junio 2014

Ciencias Holguín ISSN 1027-2127 1

Sistema para la Gestión de la Información de Seguridad Informática en la

Universidad de Ciencias Médicas de Holguín/ System for the Management

of the Information of Informatics Security at the Medical Sciences

University of Holguín

* Yanet Díaz-Ricardo. ydiazr@facinf.uho.edu.cu

** Yunetsi Pérez-del Cerro. yuni@ucm.hlg.sld.cu

*** Dayamí Proenza-Pupo. dproenzap@facinf.uho.edu.cu

Institución de los autores*; ***Universidad de Holguín “Oscar Lucero Moya”** Universidad de Ciencias Médicas de Holguín

PAÍS: Cuba

RESUMEN

Abordó una investigación realizada en la Universidad de Ciencias Médicas de

Holguín, motivada por la necesidad de contar con una herramienta de apoyo

para la gestión de reportes de incidentes, control del estado de protección de

los medios informáticos, así como la mejor preparación de los trabajadores en

aspectos relacionados con la seguridad informática. Tiene como objetivo

fundamental la resolución de un conjunto de dificultades en este aspecto, como

son los relacionados con la fluidez de la información, la centralización y

confiabilidad en sus datos, para mitigar estos perjuicios se desarrolló una

herramienta informática que apoya la gestión de la información sobre seguridad

informática.

PALABRAS CLAVES: GESTIÓN DE INFORMACIÓN; SEGURIDAD

INFORMÁTICA; HERRAMIENTA INFORMÁTICA.

ABSTRACT

This investigation approached the necessity of a supporting tool for the

management of incidence reports; the control of informatics means’ protection

status and also a better training of workers in some aspects related to

Díaz, Pérez, Proenza

Año XX, abril-junio 2014 2

informatics security. Its main objective is the overcoming of some difficulties

such as the information fluency, the centralization and reliability of data. In order

to diminish the prejudices, an informatics tool that supports the information

management about informatics security was developed.

KEY WORDS: INFORMATION MANAGEMENT; COMPUTER SECURITY;

INFORMATION-TECHNOLOGY TOOL.

INTRODUCCIÓNLa seguridad informática (en lo adelante, S.I) que contempla en la actualidad

un importante número de disciplinas y especialidades distintas y

complementarias, se ha convertido en una pieza fundamental en el entramado

empresarial, industrial y administrativo de los países.

La falta de una figura encargada de coordinar, planear y promover las

actividades que tengan que ver con la S.I genera una situación que se ve

reflejada en el crecimiento de problemas de seguridad que se presentan dentro

de las instituciones, conocidos como incidentes.7

Los trascendentales cambios operados en el mundo moderno, caracterizado

por su incesante desarrollo; la acelerada globalización de la economía, la

acentuada dependencia que incorpora un alto volumen de información y los

sistemas que la proveen; el aumento de la vulnerabilidad y el amplio espectro

de amenazas, imponen nuevos retos a la práctica de la profesión de auditoría,

en particular a la auditoría de seguridad Informática.

Las características que priman en el entorno de cualquier entidad moderna que

incorpore a su gestión las tecnologías de información, sustentadas sobre una

infraestructura tecnológica con amplio grado de integración de redes,

comunicaciones y sistema de información de punta, demanda transformaciones

en la práctica de la disciplina orientada a ejercer un control superior mediante la

auditoría.1

Cuba realiza grandes esfuerzos e invierte considerables recursos, para llevar la

informatización a todos los niveles de la sociedad, con el objetivo de mejorar la

rapidez del acceso a la información y su organización de una manera

adecuada, además, de garantizar la preparación.

Producto a los avances alcanzados en los últimos años, con el incremento del

uso de tecnologías de la información en todos los sectores, en particular de las

Sistema para la Gestión de la Información de Seguridad Informática en la Universidad de Ciencias Médicas de Holguín

Ciencias Holguín ISSN 1027-2127 3

redes informáticas y sus servicios asociados, surge como una necesidad del

Estado cubano la creación de la Oficina de Seguridad para las Redes

Informáticas (OSRI), creada por el Acuerdo 3736/2000 del Comité Ejecutivo del

Consejo de Ministros (CECM), adscripta al Ministerio de la Informática y las

Comunicaciones (MIC), con el objetivo de prevenir, evaluar, investigar y dar

respuesta a las acciones tanto internas como externas que afecten el normal

funcionamiento de las Tecnología de la Informática y las Comunicaciones (TIC)

en el país.9

Se elabora además la Resolución 127/2007 del MIC, que aprueba y pone en

vigor un Reglamento de Seguridad para las Tecnologías de la Información, que

responde a las necesidades actuales en esta materia, que tienen entre sus

funciones específicas, las de establecer y controlar las normas y regulaciones

relativas a la integridad, privacidad de la información y la seguridad e

invulnerabilidad de las redes de infocomunicaciones.6

Es por ello que, poco a poco, las organizaciones en el país han tomado

conciencia del problema de la seguridad informática y paulatinamente

incorporan la figura Responsable o Especialista de S.I.

En la Universidad de Ciencias Médicas de Holguín (UCM), perteneciente al

Ministerio de Salud Pública (MINSAP), existe una persona que se

responsabiliza de establecer los controles en correspondencia con el grado de

protección requerido por el sistema informático diseñado, el cual tiene entre sus

funciones realizar auditorías de seguridad informática, dirigidas

fundamentalmente a prevenir, detectar y contrarrestar las acciones que pongan

en peligro la confidencialidad, disponibilidad e integridad de la información.

La UCM de Holguín tiene dentro de sus objetivos principales contribuir a la

formación del personal médico de acuerdo con las necesidades del sistema

nacional, realizar trabajos de investigación, desarrollar medios de enseñanza

interactivos, por lo que el uso de las tecnologías de la información se ha

convertido en factor esencial para el proceso de superación profesional. Por

ello, se hace imprescindible la adopción de un conjunto de medidas

organizativas que permitan fomentar e incrementar progresivamente la

eficiencia de los sistemas de seguridad informática.

El propósito de tener una figura denominada Responsable o Especialista de S.I

es contar con alguien a quien se pueda recurrir en caso de producirse algún

Díaz, Pérez, Proenza

Año XX, abril-junio 2014 4

problema de seguridad, un encargado de difundir las alertas, así como

proponer y definir esquemas que reduzcan los incidentes de seguridad que se

presenten.

De ocurrir algún tipo de incidente o violación de la seguridad informática, la

entidad tiene la obligación de formular la estrategia a seguir ante el mismo, que

pueda producirse en correspondencia con la importancia de los bienes

informáticos que posea y las posibles alternativas a emplear para garantizar los

servicios. Una vez establecida la estrategia, se dispondrá de las medidas y los

procedimientos que correspondan con el fin de garantizar la continuidad, el

restablecimiento y la recuperación de los procesos informáticos, además, de

garantizar una buena evaluación de lo ocurrido.1

Actualmente, toda la información relacionada con la seguridad informática se

gestiona de forma manual, estas limitaciones traen como resultado que no se

puedan satisfacer las necesidades de información con calidad y rapidez, lo que

provoca retrasos y posibles errores en los datos requeridos. Además, el

intercambio de información con las entidades subordinadas se realiza

personalmente, por teléfono o correo electrónico, trayendo mal

aprovechamiento de tiempo, esfuerzos y recursos. La información sobre las

inspecciones de auditoría realizadas se almacena en papel, que ocupa

espacio, se deteriora con facilidad y afecta al medio ambiente.

Todo lo anterior ha incidido en el incremento acelerado no solo del volumen de

información, sino del producto informático derivado de este. Esto ha significado

que existan dificultades con el procesamiento de las informaciones necesarias

para el trabajo específico de seguridad informática en la UCM de Holguín, a la

hora de reportar una incidencia, de conocer las principales violaciones que se

detectan, contar con un método informativo que garantice la preparación de los

usuarios en temas referentes a la S.I, tener un mayor control de los medios

informáticos y generar reportes gráficos que ilustren los resultados de los

controles realizados por meses o años.

Según lo analizado anteriormente se resume como situación problémica la

dificultad de gestionar ágilmente la información relacionada con la seguridad

informática, por el tratamiento de grandes volúmenes de datos, lo que provoca

1 Reglamento de seguridad para las tecnologías de la información. 2007

Sistema para la Gestión de la Información de Seguridad Informática en la Universidad de Ciencias Médicas de Holguín

Ciencias Holguín ISSN 1027-2127 5

pérdidas y errores por el empleo de métodos tradicionales con el

correspondiente consumo en materiales de oficina y excesivo esfuerzo por

parte de las personas involucradas en este proceso.

De donde surge el problema: ¿cómo favorecer, en la Universidad de Ciencias

Médicas de Holguín, el proceso de gestión de la información de seguridad

informática para mejorar su tratamiento y fluidez?

Por lo que se define como objetivo: desarrollar un sistema informático para la

gestión de la información de seguridad informática que favorezca su

tratamiento y fluidez en la Universidad de Ciencias Médicas de Holguín.

MATERIALES Y MÉTODOS

Para el desarrollo de esta investigación se utilizaron diferentes métodos de

investigación empíricos, teóricos.

Métodos empíricos:

• Entrevista: se utilizó para determinar los requerimientos del sistema.

• Consulta de documentos: se empleó para determinar la información que

será persistente en el sistema.

• Observación: permitió la comprensión de los procesos que se deseaban

informatizar.

• Encuesta: proporcionó la evaluación del estado actual del proceso.

• Criterio de expertos: se utilizó para evaluar el grado de satisfacción de

los usuarios con la propuesta de solución.

Métodos teóricos:

• Análisis y síntesis: permitió estructurar y organizar las características

básicas de la aplicación del sistema informático.

• Histórico lógico: posibilitó evaluar el problema para identificar las

principales necesidades.

• Modelación sistémica: sirvió para la elaboración del análisis y diseño de

las funcionalidades del sistema informático.

RESULTADOS DEL TRABAJOLos sistemas de información y los datos almacenados están entre los recursos

más valiosos con los que puede contar cualquier organización. La necesidad

Díaz, Pérez, Proenza

Año XX, abril-junio 2014 6

imperante del flujo de información y el traslado de recursos de un sitio a otro

hace que aparezcan vulnerabilidades que ponen en riesgo la seguridad de la

infraestructura de comunicación y toda la información que contienen sus nodos.

Proteger la información y los recursos tecnológicos informáticos es una tarea

continúa y de vital importancia que debe darse en la medida en que avanza la

tecnología, ya que las técnicas empleadas por aquellos que usan dichos

avances para fines delictivos aumentan y como resultado los atacantes son

cada vez más numerosos, mejor organizados y con mejores capacidades.

En la presente investigación se informatizaron las acciones que contribuyen a

realizar una gestión más eficiente de la información de seguridad informática. A

continuación se presenta el diagrama de paquetes en que están organizadas

las funcionalidades del sistema:

Seguridad Capacitación

Estado ProtecciónMedios Informáticos

Utiliza

General

Utiliza

Administración

Utiliza

Incidentes.

Utiliza

Utiliza

Figura 1 Diagrama de Paquetes

El paquete Seguridad garantiza la integridad y confiabilidad de los datos

almacenados, garantizando que los usuarios accedan y actualicen la

información a la que tienen permiso en dependencia de los privilegios que

posea. Todos los restantes paquetes están relacionados con este.

El paquete General agrupa algunas funcionalidades que van a ser utilizadas

por los restantes paquetes, cambiar la contraseña y visualizar la ayuda del

sistema.

Sistema para la Gestión de la Información de Seguridad Informática en la Universidad de Ciencias Médicas de Holguín

Ciencias Holguín ISSN 1027-2127 7

El paquete Administración contiene opciones que permiten la gestión de

usuarios y áreas, además de tener acceso a las trazas de accesos al sistema y

poder restaurar el mismo en caso de ser necesario.

El paquete Incidentes le permite a los usuarios reportar incidentes de diversos

tipos, detallando en observaciones lo ocurrido y permitiéndole modificarlo hasta

tanto el incidente no sea recepcionado por el Especialista de S.I., quien tendrá

el control de ahí en lo adelante hasta que quede resuelto o finalizado.

El paquete de Capacitación se encarga de proporcionarles preparación a los

trabajadores sobre temas relacionados con la seguridad informática.

El paquete de Control del Estado de Protección de Medios Informáticos le

permite al Especialista de Seguridad Informática tener identificadas las

vulnerabilidades por cada área.

A continuación se presenta un diagrama que constituye una representación

gráfica de las funcionalidades, agrupadas en casos de uso (fragmentos de

funcionalidad), que brinda el paquete Incidentes y su interacción con los

usuarios potenciales:

Figura 2 Diagrama de CUS para el paquete Incidentes

Los usuarios que interactuarán con el sistema son los que a continuación se

relacionan:

• Especialista de SI: Se encarga de llevar el control de los incidentes, la

capacitación y el estado de protección de los medios informáticos.

Díaz, Pérez, Proenza

Año XX, abril-junio 2014 8

• Administrador: Representa al responsable de las acciones

administrativas del sistema.

• Usuario: Generalización de los actores del sistema. Tiene acceso a

información pública como: políticas de seguridad informática, enlaces y

otros documentos, además de poder, reportar incidencias y cambiar su

contraseña.

Para el almacenamiento de la información que genera el proceso se creó la

siguiente distribución representada en el modelo de datos:

Figura 3 Modelo Lógico de Datos

A continuación se muestran imágenes del sistema:

El Sistema para la Gestión de la Información de Seguridad Informática (GISI),

es un paquete Cliente – Servidor, diseñado sobre plataforma web con el

objetivo de soportar en línea la mayor parte de la información que controla la

gestión de la seguridad informática en la Universidad de Ciencias Médicas de

Holguín.

Sistema para la Gestión de la Información de Seguridad Informática en la Universidad de Ciencias Médicas de Holguín

Ciencias Holguín ISSN 1027-2127 9

Pantalla de Autenticación

Figura 4 Pantalla de Autenticación

El sistema cuenta con el área de autenticación, donde se debe especificar

usuario y contraseña.

Al registrarse en el Sistema, se accederá a la página de inicio del sitio, que se

muestra.

Figura 5 Pantalla de Bienvenida

En dependencia de la persona que se autentica, la aplicación muestra

diferentes opciones en el menú. Dentro de las actividades del Administrador,

está la actualización de los usuarios que interactuarán con la aplicación. Esto

se realiza a través de la opción “Listado de Usuarios del Sistema” del menú

“Usuarios”. Al escoger esta opción, GISI se redirecciona hacia la interfaz que

se muestra.

Díaz, Pérez, Proenza

Año XX, abril-junio 2014 10

Figura 6 Gestión de Usuarios

El especialista de seguridad Informática gestiona lo referente a los Incidentes y

su tratamiento en la aplicación. La actualización de los tipos de incidencias el

especialista la realiza a través de la interfaz que se muestra, a la cual se

accede a través de la opción “Tipos de Incidencias” del menú “Incidencias”. En

ella puede agregar, modificar o borrar los tipos de incidencias. Las demás

interfaces que realizan estas acciones se diseñaron siguiendo el mismo patrón.

Figura 7 Gestión de Incidencias

Sistema para la Gestión de la Información de Seguridad Informática en la Universidad de Ciencias Médicas de Holguín

Ciencias Holguín ISSN 1027-2127 11

Valoración de la aplicación

Una vez desarrollado un sistema es necesario realizar una valoración para

obtener el grado en que satisface los requisitos que lo dieron origen. Para este

estudio se utilizó el método Delphi considerado como uno de los métodos

subjetivos de pronósticos más confiables.

A partir de la aplicación de este criterio se obtuvieron resultados satisfactorios,

pues de las 34 funcionalidades de la propuesta de solución puesta a

consideración de los expertos, 31 fueron consideradas como muy relevantes

(91,2%) y 3 de bastante relevante (8,8%). Ninguna funcionalidad fue

considerada relevante, poco o nada relevante. De lo que se concluye que la

aplicación elaborada es factible y aplicable para favorecer la gestión de

información de seguridad informática.

CONCLUSIONES

Con el desarrollo del sistema propuesto se ha dado cumplimiento al objetivo de

esta investigación, pues como resultado se obtuvo un producto informático de

alta calidad que proporciona mayor integridad y confiabilidad a los datos.

A continuación se relacionan las principales conclusiones a las que se arribó:

1. A través del estudio realizado se detectaron las deficiencias en el

proceso de gestión de información de seguridad informática, por lo que

se propuso como solución la implantación del sistema que se ha

desarrollado.

2. La metodología utilizada para el diseño y desarrollo de la aplicación

resultó eficiente y queda disponible para su utilización en sistemas

similares.

3. El sistema Web elaborado está valorado por el método Delphi, mediante

entrevistas a especialistas y encuestas a expertos que permitieron

evaluar y valorar la aplicación Web.

RECOMENDACIONES

A partir de la investigación realizada en la Universidad de Ciencias Médicas de

Holguín y para continuar el desarrollo de este trabajo se recomienda:

Díaz, Pérez, Proenza

Año XX, abril-junio 2014 12

1. Generalizar el uso de la aplicación Web al resto de las entidades para

que puedan explotarlo y utilizar las facilidades que brinda esta

herramienta.

2. Confeccionar un plan de capacitación que garantice la adecuada

preparación de los usuarios que usarán la herramienta para que

aprovechen al máximo las facilidades que brinda GISI.

3. Implementar en el sistema la opción de imprimir reportes estadísticos.

BIBLIOGRAFÍA

1. Alvarez, L. D. (2005). Seguridad Informática. México D.F. [Documento

en línea]. http://www.slideshare.net/raisa_22_acuario/seguridad-

informatica-13543798. [Consultado: 29 /1/ 2012].

2. Antúnez, A., Oduardo, N. Auditoria y Seguridad informática. Realidades

y perspectivas en Cuba. [Documento en línea].

http://www.sabetodo.com/contenidos/EEZZuulZllVZJbakCg.php.

[Consultado: 25 /2/ 2012].

3. J.Cano, J. (2004). Inseguridad informática: Un concepto dual en

seguridad informática [versión electrónica]. Revista de Ingeniería 19.

Disponible en:

http://revistaing.uniandes.edu.co/index.php?ida=62&idr=3&ids=1.

[Consultado: 20 /2/ 2012].

4. Jacobson, I., Booch, G., Rumbaugh, J. (2000). El Lenguaje Unificado de

Modelado. New York: Addison Wesley.

5. Jacobson, I., Booch, G., Rumbaugh, J. (2000). El proceso unificado de

desarrollo de software. New York: Ed. Addison Wesley.

6. John, D. (1995). An Analysis of security on the Internet 1989-1995,

Carnegie Mellon University, Carnegie Institute of Technology.

[Documento digital]

7. Lluén, Salazar. (2005). Perfiles Profesionales para Seguridad

Informática, [Documento en línea].

http://www.monografias.com/trabajos-pdf2/perfiles-profesionales-

seguridad-informatica-practico/perfiles-profesionales-seguridad-

informatica-practico.pdf. [Consultado: 29 /1/ 2012].

Sistema para la Gestión de la Información de Seguridad Informática en la Universidad de Ciencias Médicas de Holguín

Ciencias Holguín ISSN 1027-2127 13

8. Rios, J. Seguridad Informática. [Documento en línea]

http://www.monografias.com/trabajos82/la-seguridad-informatica/la-

seguridad-informatica.shtml. [Consultado: 2 /2/ 2012].

9. Rodríguez, F. El Método Delphi para el procesamiento de los resultados

de Encuestas a Expertos o Usuarios en Estudios de Mercado y en la

Investigación Educacional. Universidad Oscar Lucero Moya, Holguín.

[Documento digital].

10.Suárez, I. (2011). Procedimiento para la gestión de Información de la

Seguridad Informática. Tesis de Maestría. Universidad Oscar Lucero

Moya, Holguín.

Díaz, Pérez, Proenza

Ciencias Holguín ISSN 1027-2127 14

Síntesis curricular de los Autores* Ing. Yanet Díaz-Ricardo Ingeniero Informático. Profesor. Dpto. de Informática.

Investigaciones realizadas: Sistema para la Gestión de Contratos Económicos en la

Zona Oriente Norte, ECASA S.A.

Cursos de posgrado impartidos: Curso Introductorio a la Plataforma de Aprendizaje a

Distancia (Moodle) para administradores, Ingeniería de Software (UML), Instalación,

configuración y administración del CMS Joomla.

Cursos de posgrado recibidos: Seguridad Informática, Oficina para la Seguridad de las

Redes Informáticas, Dirección y Administración, Metodología de la Investigación

Científica, Diplomado Docencia Universitaria

Participación en eventos: IV Conferencia Científica Internacional, V Conferencia

Científica Internacional, XVI Forum Municipal de Ciencia y Técnica, Relevante, XVI

Forum Provincial de Ciencia y Técnica, Destacado.

** Ing. Yunetsi Pérez-del Cerro Ingeniero Informático. Especialista de Seguridad

Informática. Dpto. de las TIC. Universidad de Ciencias Médicas de Holguín, Cuba.

Cursos de posgrado recibidos: Software Libre como Estación, Seguridad Informática,

Centro Provincial de Información de Ciencias Médicas. Gestor de Contenidos

*** Ing. Dayamí Proenza-Pupo Ingeniero Informático Universidad de Holguín, Cuba.

Investigaciones realizadas: Sistema Informático para la seguridad en las conexiones y

comunicaciones de la red de datos en el Nodo Central de la Universidad de Holguín

Cursos de posgrado impartidos: Curso Instalación, configuración y administración del

CMS Joomla,

Cursos de posgrado recibidos: Fundamentos de Redes, Seguridad Informática,

Administración Básica de Redes en GNU/Linux Debian. Correo Electrónico e Internet.

Herramientas de simulación y virtualización de hardware y redes, Seguridad en

Tecnologías de la Información. Ha participado en eventos Como V Conferencia

Científica Internacional, IV Taller de Informatización de la sociedad holguinera, Taller

Nacional de Informatización, Taller Nacional de Seguridad Informática.

Institución de los autores.

*; *** Universidad de Holguín “Oscar Lucero Moya”

** Universidad de Ciencias Médicas de Holguín

Fecha de Recepción: 30101/2013

Fecha de Aprobación: 10/01/2014

Fecha de Publicación: 16/04/2014