Resumen
En la actualidad existen diferentes modelos de seguridad de la información que pueden ser utilizados por instituciones, empresas o centros de educación. Estos estándares sirven para precautelar la información delicada de personas ajenas que quieran apoderarse de estos datos y hacer un uso indebido o sacar ganancia con los mismos. Al utilizar un estándar adecuado se consigue un esquema acorde a las necesidades de los usuarios y se puede forzar políticas de seguridad que beneficiarán a los centros de educación, el momento de enviar los datos por una red jerárquica. El presente trabajo se basó en un análisis de estado del arte sobre ésta temática y a partir de ello se determinaron las características principales de tres modelos-estándares de seguridad informática que dominan el mercado en estos días a nivel nacional e internacional, como son: OSSTMM3, ISO 27001 y NIST 800-30. Se realizaron encuestas a estudiantes de la Uniandes sede Tulcán, para corroborar el estado de las redes de datos en sus facultades y de acuerdo a ello poder aplicar un modelo adecuado que mejore la situación de la seguridad de sus datos. El estudio realizado demostró que un modelo de seguridad es la presentación formal de un estándar, que conlleva un conjunto de reglas y prácticas que regulan cómo se maneja, protege y distribuye la información de una institución, especialmente los datos delicados. Se recomienda la utilización de modelos, de acuerdo al tipo de datos con los que se esté trabajando. El objetivo del presente trabajo es determinar las mejores políticas de seguridad que serán utilizadas de acuerdo a la necesidad de la institución, tomando en cuenta que no todas tienen las mismas necesidades para el envío de la información dentro de su red de datos. Del trabajo realizado se pudo concluir que existe un manejo poco óptimo de usuarios y contraseñas, poca o sin restricción a los sitios web que visitan los estudiantes, incidentes con la información académica de los estudiantes, inconsistencias en la administración de la plataforma virtual. Se puede decir que el panorama actual es de una red insegura que no resistiría un ataque planificado, por lo que sería adecuado implementar los modelos de seguridad citados anteriormente.
Palabras claves: estándares de seguridad, OSSTMM3, ISO 27001, NIST 800-30.
Abstract
At present there are different data security models that can be used by institutions, companies or education centers. These standards serve to safeguard sensitive information from outsiders who want to seize these data and make improper use or profit from them. By using an adequate standard, a scheme according to the needs of the users is achieved and security policies can be forced to benefit the education centers, when sending the data through a hierarchical network. The present work was based on an analysis of the state of the art on this subject and from it the main characteristics of three models-computer security standards that dominate the market these days at national and international level, such as: OSSTMM3, were determined. ISO 27001 and NIST 800-30. Student surveys were carried out to corroborate the state of the data networks in their faculties and, accordingly, to be able to apply an adequate model that improves the security situation of their data. The study conducted showed that a security model is the formal presentation of a standard, which entails a set of rules and practices that regulate how information is managed, protected and distributed by an institution, especially sensitive data. The use of models is recommended, according to the type of data with which you are working. The objective of this paper is to determine the best security policies that will be used according to the need of the institution, taking into account that not all have the same needs for sending information within their data network. From the work carried out it was possible to conclude that there is a poor management of users and passwords; little or no restriction to websites visited by students; incidents with the academic information of the students; inconsistencies in the administration of the virtual platform. It can be said that the current scenario is of an insecure network that would not resist a planned attack, so it would be appropriate to implement the security models cited above.
Keywords: security standards, OSSTMM3, ISO 27001 norm, NIST 800-30.