Propuesta de un plan para mejorar la gestión de la seguridad informática en los centros desconcentrados de soporte de la Universidad Técnica Nacional Sede Pacifico

Abstract

El siguiente proyecto tiene como propósito mejorar la gestión de la seguridad informática en los centros desconcentrados de soporte de la Universidad Técnica Nacional Sede Pacifico mediante la evaluación y promoción del cumplimiento de la normativa desarrollada por la institución, contenida y aprobada por la Comisión Institucional de Gestión Informática en 2016, y aplicable en la gestión de la seguridad del departamento de coordinación de TI en las áreas de: mantenimiento, gestión de proyectos y soporte técnico. Por medio del desarrollo de un análisis de la normativa y estándares institucionales establecidos para la gestión de la seguridad de tecnologías de información por el departamento de soporte de TI de la Sede del Pacífico de la Universidad Técnica Nacional, y su comparación con las utilizadas por el Departamento de Coordinación de TI de Sede, se identificaron condiciones que deben ser mejoradas para lo cual se propone un “plan para el mejoramiento la gestión de la seguridad en materia de tecnologías de información en los centros de soporte de las sede Pacífico de la Universidad Técnica Nacional”. Durante el desarrollo del trabajo se logró determinar las siguientes causas de incumplimientos de la normativa:  A la fecha de este análisis, la Sede Pacífico no cuenta con personal en el área de seguridad, por lo que procedimientos críticos no son llevados a cabo, excepto por algunas tareas a cargo del Coordinador de TI de la sede.  La falta de definir en los procedimientos personas responsables de realizar las tareas indicadas en dicha normativa.  La falta de la desactivación de cuentas de personal que han finalizado en forma temporal o permanente su relación contractual con la Universidad.  El desconocimiento de los funcionarios en lo a temas de seguridad de información se refiere. Para dar solución a dichas causas se recomendó:  Presupuestar y ejecutar lo necesario, para contar con el personal de Seguridad de la Información que debe cumplir con la Normativa de TI 1.4. Gestión de la Seguridad de la Información.  Tomar las acciones necesarias para asegurar el control del software instalado, las adquisiciones de hardware y software para la sede del Pacífico, como son la ejecución de revisiones periódica, y la verificación del equipo instalado acorde con lo establecido en el Manual de Estándares de Equipo de TI.  Contar con inventarios actualizados de la infraestructura tecnológica institucional de forma que se controle los activos asociados a la Seguridad de la información.  Realizar una evaluación de los perfiles de los usuarios que tienen asignada una contraseña y determinar, según la necesidad de uso, los horarios y acceso que deben tener vigentes a cada perfil

Through the development of the following project, we sought to improve the management of information security in the deconcentrated centers of support of the Universidad Técnica Nacional Sede Pacífico by applying the regulations developed by the institution, contained and approved by the Institutional Management Commission in 2016., through the identification and evaluation of the guidelines and standards currently applied in the security management of the IT coordination department in the areas of: maintenance, project management and technical support. Through the development of an analysis of the regulations and institutional standards of information technology security management in the IT support department of the Pacific Headquarters of the National Technical University, a comparison and evaluation was carried out against those used by the Headquarters IT coordination department in such a way that improvements and updates were identified and a plan for the improvement of security management in information technology at the National Technical University was proposed. During the development of the work it was possible to determine the following causes that make it impossible for the regulation to be applied:  The Institution does not have personnel in the security area yet, so the above procedures are not carried out by said personnel, but rather by the IT Coordinator of the headquarters.  The lack of defining in the procedures persons responsible for carrying out the tasks indicated in said regulations.  The lack of deactivation of personnel accounts that have temporarily or permanently completed their contractual relationship with the University.  The lack of knowledge on the part of officials regarding information security matters. To solve these causes, it was recommended:  Budget and execute what is necessary to have the Information Security personnel that must comply with the IT Regulations 1.4. Information Security Management.  Take the necessary actions to ensure control of the installed software, hardware and software purchases for the Pacific headquarters, such as the execution of periodic reviews, and the verification of the equipment installed in accordance with the provisions of the Equipment Standards Manual of you.  Have up-to-date inventories of the institutional technological infrastructure in order to control the assets associated with Information Security.  Carry out an evaluation of the profiles of the users who have assigned a password and determine, according to the need to use, the schedules and access that must be valid for each profile.