Planeación en la Seguridad de la Información para Centros de Datos en Organizaciones de Gobierno

Abstract

Las organizaciones de gobierno actualmente están empleando las tecnologías de la información y comunicación para mejorar la calidad de los servicios que proveen a otras organizaciones dentro del mismo gobierno, a proveedores y a los ciudadanos. Modernizar e innovar en los servicios no ha sido una tarea fácil ya que implica la reingeniería de procesos existentes, y el diseño de los nuevos procesos para la implementación de los nuevos sistemas institucionales, la interconexión de la gran red de gobierno, las redes sociales, las transacciones en línea, los portales informativos conllevan a que los riesgos a la seguridad de la información que es almacenada, procesada y transmitida en los centros de datos tengan que ser analizados para evitar que se materialicen las vulnerabilidades y ocasionen daños irreversibles, mediante una adecuada planeación. El objetivo de esta investigación es planear la seguridad de la información en los centros de datos de las organizaciones de gobierno. Existen muchas formas de ver la planeación de la seguridad, en ocasiones se les llama programas de seguridad, es por ello que este trabajo está apoyado con la norma internacional la ISO 27000 para comprender en qué consiste la planeación de la seguridad de la información, sin llegar a su implementación. El estudio es de corte cualitativo, se emplea el marco de referencia de evaluación organizacional y para aumentar la validez del estudio se triangula con los marcos de referencia hermenéutica y el etnográfico, se emplea la técnica de entrevista informal y la revisión documental sobre el tema de estudio. Los estudios cualitativos son inductivos porque no buscan generalizar sus resultados, estudian un caso y buscan obtener de él la mayor información. La evaluación organizacional se realizó aplicando técnicas como DOFA y causa-efecto de Hishikawa, en donde se obtienen los ejes de análisis de la investigación, posteriormente se lleva a cabo la relación de los ejes de análisis obtenidos con la norma ISO 27001. En la norma ISO 27000 el proceso de planeación se centra en la evaluación de los riesgos de seguridad, por ello durante el desarrollo de la metodología se describe el análisis de riesgos desde una perspectiva cualitativa, y se hace uso de las técnicas de obtención de información para la evaluación de corte cualitativo, así como la herramienta OCTAVE para enlistar los activos y las amenazas, los riesgos a la infraestructura y la planeación de la seguridad que como resultado nos plantea la interrelación de los ejes analizados con la información obtenida de las entrevistas y citas de diversos autores que refuerzan los puntos analizados, para el caso estudiado se presentan las recomendaciones de la norma para cada uno de los ejes de análisis y una vez seleccionados los controles, se plantea la planeación de la seguridad en términos de mitigar los riesgos de seguridad. Se presentan las conclusiones obtenidas de esta investigación y la propuesta para trabajos futuros.