313

POLÍTICAS DE SEGURIDAD DE LA

INFORMACIÓN PARA LA UNIVERSIDAD

POLITÉCNICA ESTATAL DEL CARCHI

INFORMATION SECURITY POLICIES REGARDING TO STATAL

POLYTECHNIC OF CARCHI UNIVERSITY

Recibido: 13/09/2020 - Aceptado: 25/05/2021

JUAN PABLO LÓPEZ GOYEZ

Máster en Ingeniería de Software y Sistemas Informáticos

Universidad Internacional de la Rioja - UNIR

juan.lopez@upec.edu.ec

https://orcid.org/0000-0003-2873-2185

VIVIANA LUCÍA PROAÑO BARRO

Máster en Ingeniería de Software y Sistemas Informáticos

Universidad Internacional de la Rioja - UNIR

vivi03lu@gmail.com

WILSON ANDRÉS ZABALA VILLARREAL

Director de TIC de la Universidad Politécnica Estatal del Carchi

Tulcán - Ecuador

Magíster en Ingeniería de Software

Universidad Técnica del Norte

andres.zabala@upec.edu.ec

https://orcid.org/0000-0003-0713-9876

Cómo citar este artículo:

López, J., Proaño, V. & Zabala, W. (Enero - Junio de 2022). Políticas de seguridad

de la información para la Universidad Politécnica Estatal del Carchi.

Sathiri (17)1, 313-326. https://doi.org/10.32645/13906925.1117

.............................................................................................................................................................................................................................................................

Cómo citar este artículo:

López, J., Proaño, V. & Zabala, W. (Enero - Junio de 2021). Políticas de Seguridad de la información para la Universidad. Sathiri (17)1, 313-326. https://doi.org/10.32645/13906925.1117

314

Resumen

El presente trabajo está enmarcado en el desarrollo de políticas de seguridad de la información

para la Universidad Politécnica Estatal del Carchi (UPEC), como un requisito para el establecimiento

del Esquema Gubernamental de Seguridad de la Información (EGSI) basado en la norma técnica

ecuatoriana INEN-ISO/IEC-27001. El propósito de la elaboración de dichas políticas es disponer de la

documentación necesaria que permita denir los procedimientos para salvaguardar la información

y garantizar la continuidad en las operaciones de los servicios informáticos institucionales. Se utilizó

la metodología propuesta por el EGSI y la ISO/IEC 27001 que establecen los requisitos y objetivos

de control necesarios para la gestión de la seguridad de la información.

Se realizó el levantamiento de información en las unidades de la Dirección de TIC de la

UPEC para conocer a detalle el portafolio de servicios informáticos que se ofrecen a la comunidad

universitaria. Con la información obtenida se realizó un estudio de los controles establecidos en

el EGSI y se relacionó cada uno de ellos con la nalidad de conocer el nivel de cumplimiento y

madurez de la Institución.

Se elaboró y evaluó las políticas de seguridad de información tomando como punto de

partida los trece apartados del EGSI que corresponden a: seguridad de activos, desarrollo de

software seguro, control de acceso a sistemas informáticos, seguridad en redes, gestión de riesgos

y continuidad de operaciones; acciones que permiten promover la mejora continua en los procesos

de continuidad y gestión de incidentes.

Palabras claves: EGSI, ISO, controles, políticas, seguridad

Abstract

This work is framed in the development of information security policies for the Carchi State Polytechnic

University (UPEC), as a requirement for the establishment of the Government Information Security

Scheme (EGSI) based on the Ecuadorian technical standard INEN ISO/IEC 27001. The purpose of

the elaboration of the information security policies for this institution is to have the necessary

documentation to dene the procedures to safeguard the information and modify the continuity

in the operations of the institutional computer services. The methodology proposed by the EGSI

and the ISO/IEC 27001 standard that establishes the requirements and controls for the necessary

objectives for adequate management of security information were used.

Information was collected from the team work of the IT department of the UPEC University

to know in detail the portfolio information of the technological services oered to the university

community. With the obtained information, a study of the controls established in the EGSI was carried

out and each of them was related to the way of knowing the level of compliance and maturity of the

Institution.

The security Information policies were elaborated and evaluated taking as a starting point

the EGSI sections that correspond to: asset security, secure software development, access control to

computer systems, data network security, risk management and continuity of operations; actions that

allow promoting continuous improvement in the continuity and incident management processes.

Keywords: EGSI, ISO, controls, policies, security

POLÍTICAS DE SEGURIDAD DE LA

INFORMACIÓN PARA LA UNIVERSIDAD

POLITÉCNICA ESTATAL DEL CARCHI

Cómo citar este artículo:

López, J., Proaño, V. & Zabala, W. (Enero - Junio de 2021). Políticas de Seguridad de la información para la Universidad. Sathiri (17)1, 313-326. https://doi.org/10.32645/13906925.1117

315

Introducción

Los pilares fundamentales de la seguridad de la información en toda organización están basados

en el establecimiento de políticas de seguridad de la organización, implantación de sistemas de

gestión de seguridad de la información (SGSI) y de procesos correctamente denidos para el

ciclo de vida de desarrollo de software seguro (S-SDCL), con la nalidad de garantizar la eciencia

y ecacia en los sistemas de información y la condencialidad, integridad y disponibilidad en la

información (Technical-Committee ISO/IEC, 2013).

En el Ecuador, se promueve la implementación de políticas de seguridad de la información

con la nalidad de proteger la información como activo fundamental para la ejecución de los

procesos institucionales que ofrecen las instituciones públicas (Santorum, 2014) . Por ello, se

han denido lineamientos necesarios que permitan la elaboración de políticas de seguridad de

la información mediante el esquema gubernamental de seguridad de la información (EGSI) que

busca normalizar y exigir el uso de políticas de seguridad en las instituciones públicas de acuerdo

con el ámbito de acción, estructura orgánica, recursos y nivel de madurez en gestión de seguridad

de la Información (Subsecretaría de Gobierno Electrónico del Ecuador, 2019).

La UPEC es una Institución de Educación Superior (IES) en el Ecuador, catalogada como

universidad pública y que con 15 años de vida Institucional ha logrado posicionarse entre las

mejores universidades del norte del país, brindando calidad en sus procesos administrativos y

académicos.

En su corta existencia institucional ha superado varios procesos de evaluación y a pesar

de contar con bajo presupuesto anual, gestiona sus recursos para realizar sus actividades

institucionales con calidad, respeto y responsabilidad. Frente a esto existen muchas necesidades

y especícamente en el área de tecnologías de la información y comunicación, en donde se está

trabajando en conjunto con las autoridades de la Institución con la nalidad de recibir mayor

presupuesto y poder adquirir equipamiento que soporte y permita una transformación en la

infraestructura tecnológica actual.

La UPEC dispone actualmente en sus repositorios digitales de la siguiente información:

catálogos de servicios, normativas, reglamentos y procedimientos vigentes relacionados a los

servicios y gobierno de tecnologías de la información y comunicación; el reglamento de buen uso

de internet y de equipos informáticos es una de las bases sobre las que se construirá las políticas

de seguridad de la información, ya que abarca puntos relacionados a la protección, buen uso de

contraseñas, administración de usuarios de redes e internet y buen uso de correo electrónico

(Políticas TIC UPEC, 2017).

Las necesidades actuales en el área de tecnologías de la información y comunicación de la

UPEC se relacionan directamente al tema de seguridad de la información, tales como: implementar

sistemas de respaldo y contingencia para garantizar la disponibilidad de la información frente

a vulnerabilidades que pueden afectar la continuidad de los servicios informáticos, entre otras la

disponibilidad de políticas que regulen los procesos y permitan denir controles y objetivos de control.

La implementación del EGSI en la UPEC permitirá denir las políticas de seguridad de la

información y también promover la propuesta para implementar procesos de gestión de seguridad

de la información enfocados a garantizar la continuidad de los servicios institucionales a la

comunidad universitaria (Baldecchi, 2014; ISO Tools Excellence, 2017).

Cómo citar este artículo:

López, J., Proaño, V. & Zabala, W. (Enero - Junio de 2021). Políticas de Seguridad de la información para la Universidad. Sathiri (17)1, 313-326. https://doi.org/10.32645/13906925.1117

316

Por tal razón, se busca elaborar las políticas de la UPEC basadas en prácticas recomendadas

por la legislación ecuatoriana y también por normativa internacional vigente como la norma ISO/

IEC 27001 que establece los debidos lineamientos para su realización.

Antecedentes

La seguridad de la información en instituciones públicas de educación superior es una prioridad

para el gobierno ecuatoriano debido a la fuerte demanda de usuarios que requieren el uso de los

servicios informáticos para realizar labores académicas y administrativas, y que acceden desde

diversos dispositivos y equipos tecnológicos a Internet. Para el caso de la Universidad Técnica

Particular de Loja (UTPL, 2011), la universidad elaboró y estableció un SGSI para garantizar el control

de sus procesos relacionados a las tecnologías de la información y comunicación y la seguridad

de la información. En el año 2017, se presentó un alto porcentaje de ciberataques, especialmente

en universidades públicas de Manabí debido al incremento en el uso de nuevas herramientas

tecnológicas, la migración de servicios tradicionales a servicios digitales que dependen del uso de

internet provocando que exista incidencias de malware, tráco de cifrado malicioso, por lo que se

implementó controles y políticas para mitigar este tipo de incidentes (Avellán & Zambrano, 2018).

En el país se busca es incorporar una cultura de prevención y protección frente a amenazas

y vulnerabilidades a la seguridad de la información que pueden violentar los principios básicos y

la reputación de las instituciones de educación superior (Baldeón Gutiérrez & Guanopatín Saa,

2015). Además, se busca la implementación de medidas preventivas y correctivas por parte de los

responsables de las unidades de TIC (Santorum, 2014), las mismas que permitan mitigar el impacto

de posibles riesgos que puedan afectar el normal desempeño de la infraestructura tecnológica y

de los sistemas informáticos, como se menciona en el estudio realizado para la implementación

de un sistema de protección de la red de datos en la Escuela Superior Politécnica de Chimborazo-

Espoch (Quezada, 2017).

Materiales y métodos

La investigación cientíca utilizada para el desarrollo de las políticas de la UPEC se centró en el

concepto básico que relaciona la revisión del estado del arte, el levantamiento de información,

recopilación y análisis de datos; así como las conclusiones de la investigación realizada.

Identicación de requisitos y metodologías. La identicación y levantamiento de requisitos

permitió analizar la situación actual de la UPEC, esto es conocer la información necesaria para

establecer un punto de partida en el desarrollo de las políticas de seguridad. Los requisitos se

describen a continuación:

▶Contexto de la Institución

▶Misión y visión UPEC

▶Estructura orgánica funcional Institucional

▶Estructura orgánica Dirección de TIC

▶Políticas institucionales

▶Portafolio de servicios informáticos

POLÍTICAS DE SEGURIDAD DE LA

INFORMACIÓN PARA LA UNIVERSIDAD

POLITÉCNICA ESTATAL DEL CARCHI

Cómo citar este artículo:

López, J., Proaño, V. & Zabala, W. (Enero - Junio de 2021). Políticas de Seguridad de la información para la Universidad. Sathiri (17)1, 313-326. https://doi.org/10.32645/13906925.1117

317

Descripción de las metodologías. La subsecretaria de Gobierno Electrónico establece el

lineamiento para la denición de políticas de seguridad de la información para implementar

un EGSI, bajo normativa nacional e internacional con la nalidad de cumplir con los estándares

alineados a cuidar los activos tecnológicos y proteger la información (Cáceres & Mena, 2015). Para

cumplir con este n, se proponen metodologías que fueron empleadas para el desarrollo de este

trabajo, las cuales se presentan a continuación:

▶Estándar INEN ISO/IEC 27001 basado en el estándar internacional ISO/IEC 27001:2013.

▶

▶Esquema gubernamental de seguridad de la información (EGSI) de aplicación obligatoria

para las instituciones públicas que dependen directamente del gobierno central del

Ecuador.

Estándar ISO/IEC 27001:2013. Es una normativa que especica los requisitos indispensables

para lograr el establecimiento, implementación, mantenimiento y mejora continua de un Sistema

de Gestión de Seguridad de la Información (SGSI) bajo el contexto de una institución, o empresa

interesada en implementar un sistema de seguridad sin importar su tamaño, naturaleza o contexto

(Gualotuña & Quilumbaqui, 2016). De igual manera establece los requisitos para implementar

políticas de seguridad de la información, así como el tratamiento de riesgos asociadas a la seguridad

de la información de las organizaciones (Technical-Committee ISO/IEC, 2013).

La implantación de un sistema de gestión de seguridad de la información se realiza

mediante el ciclo PDCA de mejora continua de Deming, que dene las actividades y el ciclo de vida

del SGSI, el ciclo se describe en la Figura 1.

Figura 1. SGSI – Ciclo PDCA

Esquema gubernamental de seguridad de la información. El esquema gubernamental de

seguridad de la información EGSI es un marco basado y fundamentado en la normativa ecuatoriana

NTE INEN-ISO/IEC 27000 para la gestión de la seguridad de la información (Peñaherrera,

2013). El EGSI presenta lineamientos e hitos de control que deben ser cumplidos mediante la

Cómo citar este artículo:

López, J., Proaño, V. & Zabala, W. (Enero - Junio de 2021). Políticas de Seguridad de la información para la Universidad. Sathiri (17)1, 313-326. https://doi.org/10.32645/13906925.1117

318

implementación de un sistema de gestión de seguridad de la información que busca garantizar la

denición de procesos y procedimientos para salvaguardar la información y activos informáticos

de las Instituciones Públicas en el Ecuador (Peñaherrera, 2013).

Figura 2. Modelo EGSI v1.0 Ecuador

Fuente: (Gobierno Electrónico del Ecuador, 2013)

Análisis de la situación actual y aplicación de las metodologías. Determinación de un SGSI.

La organización debe vincular los requisitos para el establecimiento de SGSI bajo el criterio de la

mejora continua, los requisitos PDCA se presentan a continuación:

Figura 3. Ciclo de mejora continua para la norma ISO/IEC 27001:2013

Para determinar la necesidad de implantar un SGSI en una organización, se empleó la

normativa ISO/IEC 27001:2013 para conocer el nivel de cumplimiento con cada uno de los apartados

y requisitos (Technical-Committee ISO/IEC, 2013), mismos que se presentan en la Figura 4.

Figura 4. Apartados de la norma ISO/IEC 27001:2013