![\"Figura](\"https:\/\/hets.org\/ejournal\/files\/2014\/10\/Figura-1.jpg\")
<\/a><\/p>\nA continuaci\u00f3n se describe cada una de las fases del modelo para el mejor entendimiento:<\/p>\n
\u00b7\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Detenci\u00f3n de Necesidades: Corresponde al levantamiento de todas las actividades relacionadas con los impactos que la organizaci\u00f3n pueda tener en relaci\u00f3n con su seguridad de la informaci\u00f3n (Burgos, 2008).<\/p>\n
\u00b7\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 An\u00e1lisis de Riesgo: Corresponde a evaluar todos los potenciales de riesgos en los cuales se pueda ver envuelta la organizaci\u00f3n por aspectos emanados de las TIC y que impacten en la seguridad de la informaci\u00f3n (Burgos, 2008).<\/p>\n
\u00b7\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Apoyo Directivo: Corresponde a la presentaci\u00f3n del resultado de las etapas anteriores con el fin de conseguir el apoyo para concretar la implementaci\u00f3n de la seguridad de la informaci\u00f3n (presupuestos, personal, capacitaci\u00f3n) (Burgos, 2008).<\/p>\n
\u00b7\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 OSI. La organizaci\u00f3n debe designar a un OSI para que realice, apoye, dirija, pueda llevar el control de implementaci\u00f3n y posterior seguimiento a todo el modelo de seguridad de la informaci\u00f3n. Adem\u00e1s el OSI estar\u00e1 presente en todas las actividades haciendo \u00e9nfasis en la fase de aplicaci\u00f3n en la cual participa de forma activa en todas las actividades que se indican de aqu\u00ed en adelante (Burgos, 2008).<\/p>\n
\u00b7\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Confecci\u00f3n PSI. Corresponde al dise\u00f1o de las Pol\u00edticas de Seguridad de la Informaci\u00f3n de la organizaci\u00f3n (Burgos, 2008).<\/p>\n
\u00b7\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Confecci\u00f3n de procedimientos, instructivos y registros. Corresponde al desarrollo de documentos que formalicen como se deben realizar las actividades y qu\u00e9 informaci\u00f3n es la que se debe retener como evidencia para dar conformidad a las PSI (Burgos, 2008).<\/p>\n
\u00b7\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Controles TIC. Se dise\u00f1an y define los procesos, objetivos de control, controles y evidencias formales de las actividades de seguridad que dar\u00e1n sustento a los procesos de revisiones o auditorias del modelo (Burgos, 2008).<\/p>\n
\u00b7\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Evaluaci\u00f3n y auditor\u00eda: Se debe realizar, preparar y desarrollar la revisi\u00f3n que avale todos los procesos de TI que se est\u00e1n cumpliendo y llevando a cabo adecuadamente, lo cual ser\u00e1 evaluado por el mismo proceso de auditor\u00eda interna o externa (Burgos, 2008).<\/p>\n
\u00b7\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Evidencia: Se busca verificar de manera adecuada que todos los registros de TI para todos sus procesos y controles est\u00e9n disponible para cualquier tipo de revisi\u00f3n, particularmente para los procesos de auditor\u00eda (Burgos, 2008).<\/p>\n
\u00b7\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Informes: Se contempla la confecci\u00f3n de informes del proceso de revisi\u00f3n que derivar\u00e1n en actividades de mejoras al modelo y con revisiones por parte de la direcci\u00f3n de la organizaci\u00f3n que permitan confeccionar planes de acci\u00f3n adecuados (Burgos, 2008).<\/p>\n
\u00b7\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Planes de Acci\u00f3n: Consiste en la aplicaci\u00f3n de los planes de acci\u00f3n conforme a los plazos y actividades que fueron indicados en el proceso de auditor\u00eda. Estos planes de acci\u00f3n pueden conformar la revisi\u00f3n y ajustes de todo tipo de actividades, ya sea a nivel de procesos de seguridad, de evidencias, pol\u00edticas o de cualquier otra actividad que sea identificada (Burgos, 2008).<\/p>\n
\u00b7\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Sensibilizaci\u00f3n: Esta etapa (incluida en ambas fases del modelo) permite entregar constante informaci\u00f3n (alertas) a la organizaci\u00f3n sobre la importancia de mantener la seguridad de la informaci\u00f3n y el resguardo de todas las actividades de TI. Recibe apoyo directivo de la direcci\u00f3n de la organizaci\u00f3n (Burgos, 2008).<\/p>\n
<\/p>\n
Para garantizar la continuidad de los sistemas de informaci\u00f3n, minimizando los riesgos de da\u00f1o y contribuyendo a una mejor gesti\u00f3n, es recomendable contar con un plan de continuidad. Un plan de continuidad que identifique las amenazas que puedan ocasionar interrupciones en los procesos, evaluar los riesgos, identificar los controles preventivos, protecci\u00f3n de datos y privacidad de la informaci\u00f3n personal. Peri\u00f3dicamente se deben actualizar las pol\u00edticas, normas, procedimientos y controles de riesgo de los sistemas de informaci\u00f3n en TIC con el fin de poder identificar los s\u00edntomas del problema, establecer las medidas inmediatas ante la presencia de una anomal\u00eda.<\/p>\n
Seguridad de la Informaci\u00f3n<\/p>\n
La informaci\u00f3n tiene que ser protegida seg\u00fan el est\u00e1ndar conceptual de Gesti\u00f3n de Seguridad de la Informaci\u00f3n internacionalmente reconocida y publicado por la Organizaci\u00f3n Internacional de Normalizaci\u00f3n o ISO. El prop\u00f3sito de la confidencialidad es asegurar que la informaci\u00f3n est\u00e9 accesible s\u00f3lo para el personal autorizado. La integridad establece la exactitud de la informaci\u00f3n y los m\u00e9todos del procesamiento. La disponibilidad tiene como finalidad que la informaci\u00f3n pueda ser utilizada cuando sea necesaria (ISO\/IEC 17799, 2005). Estos tres conceptos son igualmente aplicables a usuarios de empresas y a usuarios dom\u00e9sticos. Alvarado (2011) se\u00f1al\u00f3 que el implementar los procesos, procedimientos, pol\u00edticas de seguridad y controles ayudar\u00e1n a estudiar los posibles riesgos y a mejorar los incidentes y amenazas que se detecten en la seguridad de la Informaci\u00f3n en TIC.<\/p>\n
<\/p>\n
Medidas de Prevenci\u00f3n<\/p>\n
Dentro de las medidas de prevenci\u00f3n recomendadas por los autores (Rodr\u00edguez, 2008) y (Ram\u00edrez, 2009) est\u00e1 el control de acceso al equipo, utilizar un sistema de protecci\u00f3n como lo son los antivirus, tener privacidad de la informaci\u00f3n, realizar resguardo de informaci\u00f3n o \u00a0backup, evitar la trasferencia de archivos por dispositivos como los USB (Universal Serial Bus) y en caso de utilizarlo hacerle un an\u00e1lisis con el antivirus. Otras medidas lo son; evitar abrir correo electr\u00f3nicos de los cuales el remitente sea desconocido y no descargar programas de sitios no oficiales. Lo m\u00e1s importante es capacitar al personal en el uso correcto de los equipos.<\/p>\n
<\/p>\n
Vulnerabilidades<\/p>\n
Alvarado (2011) indica que las vulnerabilidades est\u00e1n asociadas a debilidades de los activos de informaci\u00f3n. La vulnerabilidad en los sistemas de informaci\u00f3n es considerada como la ausencia o debilidad en los controles que ayudan a disminuir o evitar un riesgo. De acuerdo con (De Freitas, 2009), los activos de informaci\u00f3n deben ser trazados para identificar su impacto en la organizaci\u00f3n y realizar un an\u00e1lisis para determinar que activos est\u00e1n bajo riesgo. Las organizaciones se pueden ver afectadas por amenazas y ser vulnerables a tener fallas en los sistemas de las TIC (P\u00e9rez & Palomo, 2007).<\/p>\n
<\/p>\n
Implementar y Estructurar controles<\/p>\n
Seg\u00fan Yory (2006), a continuaci\u00f3n se mencionan algunos controles que se consideran esenciales para una organizaci\u00f3n, \u00e9stos suponen pr\u00e1ctica recomendada de uso frecuente en la implementaci\u00f3n de la seguridad de la informaci\u00f3n:<\/p>\n
<\/p>\n
\u00b7\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Protecci\u00f3n de datos y confidencialidad de la informaci\u00f3n personal<\/p>\n
\u00b7\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Protecci\u00f3n de registros y documentos de la organizaci\u00f3n<\/p>\n
\u00b7\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Documentaci\u00f3n de pol\u00edticas de seguridad de la informaci\u00f3n<\/p>\n
\u00b7\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Asignaci\u00f3n de responsabilidades en materia de seguridad de la informaci\u00f3n<\/p>\n
Los autores (Est\u00e9vez, Fanny & Nu\u00f1ez, 2012), indican que existen est\u00e1ndares internacionales facilitando y garantizando el cumplimiento de la seguridad de la informaci\u00f3n. Algunos de los est\u00e1ndares m\u00e1s conocidos son: ISO 17.799, COBIT, ITIL, Ley SOX, ISO 2700; Estos facilitan el an\u00e1lisis y evaluaciones de las vulnerabilidades, identifican las posibles amenazas y ataques en la red.<\/p>\n
Provoste (2006) sostiene que existen diversas propuestas de est\u00e1ndares TIC para la formaci\u00f3n docente en el mundo. La incorporaci\u00f3n de estos est\u00e1ndares son un medio para implementar, mejorar y orientar la evaluaci\u00f3n sobre la calidad de lo que hace en la educaci\u00f3n, especialmente relacionado en el mejoramiento de sus profesionales.<\/p>\n
<\/p>\n
Metodolog\u00eda<\/p>\n
Para la recopilaci\u00f3n de los datos se utiliz\u00f3 como instrumento un cuestionario. La validez del cuestionario se midi\u00f3 a trav\u00e9s del consenso de expertos constituido por cuatro especialistas de TI, quienes evaluaron el documento de manera independiente. Una vez concluida la revisi\u00f3n del instrumento por el panel de expertos, se a\u00f1adieron, se eliminaron y se hicieron diversas modificaciones en los \u00edtems. El instrumento de medici\u00f3n const\u00f3 de 14 preguntas cerradas y 4 preguntas que utilizan escala Likert de 5 puntos para medir la posici\u00f3n de los participantes con respecto a las afirmaciones elaboradas en el cuestionario. Se consideraron las alternativas: muy de acuerdo, de acuerdo, indeciso, en desacuerdo y muy en desacuerdo. La poblaci\u00f3n del estudio fueron los empleados administrativos y el personal docente de las escuelas de la Instituci\u00f3n. La muestra, no probabil\u00edstica de conveniencia, se obtuvo de los participantes voluntarios que aceptaron completar y entregar el instrumento. La encuesta se administr\u00f3 a un total de 175 personas de una instituci\u00f3n de educaci\u00f3n superior del \u00e1rea este de Puerto Rico en Puerto Rico. El n\u00famero total de cuestionarios contestados y recibidos fue 153. La tasa de respuesta global fue de 87%. Los datos fueron ingresados, tabulados y procesados utilizando el programa de computadora \u201cIBM SPSS Statistics\u201d.<\/p>\n
El dise\u00f1o de la investigaci\u00f3n es cuantitativo no experimental, transeccional descriptivo. La investigaci\u00f3n transeccional o transversal recolecta datos en un solo momento, en un tiempo \u00fanico. Su prop\u00f3sito es describir variables y analizar su incidencia e interrelaci\u00f3n en un momento dado. Es decir, se trata de una investigaci\u00f3n donde no se hace variar en forma intencional las variables independientes.\u00a0 La investigaci\u00f3n no experimental observa fen\u00f3menos tal y como se dan en su contexto natural, para despu\u00e9s analizarlos. Hern\u00e1ndez Sampieri et al. (2010, 140): \u201cEn la investigaci\u00f3n no experimental no es posible manipular las variables o asignar aleatoriamente a los participantes\u201d Kerlinger y Lee (2002, 420). Los sujetos se observan en su ambiente natural.<\/p>\n
Se recogi\u00f3 evidencia de la confiabilidad de la prueba para la muestra del personal administrativo y docente de la Instituci\u00f3n mediante el c\u00e1lculo del coeficiente alfa de Cronbach (\u00b5).<\/p>\n
<\/p>\n
Tabla 1 An\u00e1lisis de confiabilidad de la prueba<\/p>\n
El c\u00e1lculo del coeficiente alfa para la primera y segunda parte del instrumento fue de .726 y .857 respectivamente. Nunnally (1978), sugiere que los niveles del coeficiente alfa mayores de 0.7 son considerados altos. El resultado abona como evidencia a la confiabilidad del cuestionario.<\/p>\n Esto implica que existe asociaci\u00f3n entre los \u00edtems del instrumento con relaci\u00f3n a los constructos que lo constituyen (consistencia interna) Crocker y Algina (2006, 135).<\/p>\n <\/p>\n An\u00e1lisis de datos<\/p>\n La gr\u00e1fica 1 presenta que el 64% del personal administrativo y facultad regular conoce las pol\u00edticas de uso aceptable de Internet. Un total de 98 participantes indicaron conocer las pol\u00edticas de uso de Internet, 79 personas del personal administrativo y 19 personas de la facultad regular.<\/p>\n Gr\u00e1fica 1 Conoce las Pol\u00edticas que Regulan los Servicios de Internet<\/p>\n <\/p>\n <\/p>\n <\/p>\n La gr\u00e1fica 2 demuestra que el 64% de los participantes indicaron tener conocimiento sobre las pol\u00edticas de uso adecuado de los sistemas de correos electr\u00f3nicos, el 36% de los participantes dijeron no tener conocimiento. Un total de 98 empleados indicaron conocer las pol\u00edticas de uso de Internet, 79 personas del personal administrativo y 19 personas de la facultad regular.<\/p>\n Gr\u00e1fica 2 Conoce el uso Adecuado de los Sistemas de Correo Electr\u00f3nico<\/p>\n <\/p>\n <\/p>\n <\/p>\n <\/p>\n <\/p>\n <\/p>\n <\/p>\n <\/p>\n <\/p>\n Tambi\u00e9n se les pregunt\u00f3 en el cuestionario si la pol\u00edtica que regula los servicios de correo electr\u00f3nico e Internet por la Instituci\u00f3n est\u00e1 accesible a los asociados, 104 de los participantes, o sea, el 68% contest\u00f3 tener acceso a las pol\u00edticas de correo electr\u00f3nico mientras que el 32% de los participantes respondieron no conocer el uso adecuado de los servicios de correo electr\u00f3nico e Internet.<\/p>\n Gr\u00e1fica 3 Adiestramiento para controlar los riesgos de seguridad de la informaci\u00f3n en su \u00e1rea de trabajo<\/p>\n<\/a>Nota: N es el n\u00famero de cuestionarios para cada una de las muestras<\/p>\n<\/a><\/p>\n<\/a><\/p>\n