Establecimiento e implementación del Sistema de Gestión de Seguridad de la Información (SGSI) bajo la norma ISO/IEC 27001:2013 en la UAT

Responsable: Carlos Enrique Portes Flores
Institución: UNIVERSIDAD AUTÓNOMA DE TAMAULIPAS (UAT)
Categoría: Innovación de la gestión mediante las TIC

Resumen: En 2015 el Sistema de Gestión de Tecnologías y Seguridad de la Información (SIGETSI), se crea con el fin de estandarizar y eficientar la gestión de los servicios de tecnologías de la información que se prestan a la comunidad universitaria, a fin de propiciar una cultura de servicio con enfoque a la mejora continua y consolidar las áreas que los gestionan, haciendo énfasis en la calidad y seguridad de la información. Entre sus directrices tecnológicas, se dispone que las dependencias que gestionan las tecnologías de la información en materia de la seguridad de la información, deberán observar, implementar y operar los lineamientos, las reglas, manuales y documentos técnicos, conforme al proceso de Administración de la Seguridad de la Información (ASI). Derivado de lo anterior, se establece e implementa el Sistema de Gestión de la Seguridad de la Información (SGSI) bajo la norma ISO/IEC 27001:2013 que aplica a las funciones, procesos y servicios de las plataformas tecnológicas que abarcan el portal institucional, los sistemas de información académica y financiera en materia de: diseño, construcción y despliegue; gestión de configuración, y gestión de actualizaciones, a cargo de las Direcciones de Tecnologías de la Información, Sistemas Financieros e Información Académica y Administrativa de la Universidad Autónoma de Tamaulipas.

Necesidades que originan el proyecto: Asegurar los activos de información e infraestructura tecnológica universitaria, mediante: un sistema de gestión de seguridad de la información; la comunicación de la información relativa a la seguridad de la información; la colaboración con autoridades y grupos de interés en el área de seguridad de la información; gestión de los riesgos de seguridad de la información; la gobernanza y gestión de la seguridad de la información. Que permita la continuidad de las actividades académicas, de investigación y administrativas de la Universidad.

Objetivo general: Establecer y vigilar los mecanismos que permitan la administración de la seguridad de la información de la universidad, así como disminuir el impacto de eventos adversos que potencialmente podrían afectar el logro de los objetivo institucionales.

• Designación del sujeto obligado para definir, implementar y supervisar un Sistema de Gestión de la Seguridad de la Información.
• Integrar al Grupo de Trabajo de Seguridad de la Información (GTSI).
• Integrar al Equipo de Respuestas a Incidentes de Seguridad de la Información (ERISI).
• Elaborar y establecer un Plan de Implementación del Sistema de Gestión de la Seguridad de la Información.
• Formación y certificación de personal administrativo y docente en los proceso de gestión de la calidad y análisis de riesgos en: Consultoría y documentación ISO 27001:2013; y Formación y Desarrollo de Auditores Institucionales bajo las normas ISO 27001:2013 y ISO 19011:2018.
• Difusión del alcance, objetivos y política del Sistema de Gestión de Seguridad de la Información (SGSI).
• Informe de análisis de vulnerabilidades a infraestructura tecnológica y servicios de TI.
• 1° Ciclo de Conferencias de Ciberseguridad a las partes interesadas y comunidad universitaria.
• Auditoria Interna 1 ISO 27001:2013.
• Consultoría externa para la revisión de la norma ISO 27001:2013.
• Declaración de Aplicabilidad para el tratamiento de riesgo de la seguridad de la información bajo la norma NMX-I-27002-NYCE-2015.
• Previa de la Auditoria Externa ISO/IEC 27001:2013.
• Taller noma ISO 27001:2013 preparación para Auditoria de Certificación.
• 2° Ciclo de Conferencias de Ciberseguridad a las partes interesadas y comunidad universitaria.
• Auditoria Externa ISO/IEC 27001:2013 (PRNJ-96283-2019-MSC-MEX).
• Certificación del Sistema de Gestión de la Seguridad de la Información de la UAT, con el certificado No: 10000210188-MSC-UKAS-MEX bajo la norma ISO/IEC 27001:2013, emitido por la empresa certificadora Det Norske Veritas-GL (DNV).

• Reducción en los costos en la Institución
• Atracción de recursos externos
• La continuidad del negocio
• El marco jurídico es favorable para la adopción y fomento de las TIC en las IES
• Promover la armonización del marco jurídico y la conformidad con las políticas institucionales y las obligaciones externas
• Mejorar los servicios de información en las IES
• Permitir identificar y gestionar el marco jurídico, legal, contractual y normativo
• Implantar mecanismos para lograr el trabajo en equipo
• Favorecer el desempeño y calidad en el servicio final.
• Generar valor a la Institución a través de las TI (riesgos, satisfacción de usuarios).
• Impulsar soluciones tecnológicas con principios de accesibilidad, sustentabilidad y pertinencia.
• Posicionar a la Institución en el desarrollo en proyectos de difusión y colaboración del conocimiento a través de las TI.
• La tecnología y el impulso a sistemas de gestión de calidad, calidad educativa, acreditación de la gestión institucional
• Constituir la construcción de las bases para la interoperabilidad entre distintas instancias
• Promover mejores servicios educativos entre distintas instancias.
• Promover el desarrollo de la identidad digital como la llave de acceso de la población académico-estudiantil a estos servicios.
• Estrategias de sustentabilidad

Beneficios generados con la realización del proyecto:

• Mejora en el servicio

Población beneficiada:

• Administrativos
• Docentes
• Estudiantes

Buenas prácticas:
• Comité de Tecnologías de la Información. Involucrar a todos los directivos y responsables a través del Grupo de Trabajo de Seguridad de la Información (GTSI) para la planeación y coordinación de las diferentes actividades de implementación del SGSI.

Buenas prácticas:

• Uso de tecnologías para colaboración. Plataforma de colaboración de Microsoft Sharepoint y otras herramientas se utilizaron para todas las actividades como documentación, comunicación, reuniones y almacenamiento de toda la evidencia del SGSI.

Buenas prácticas:

• Marco de trabajo de procesos de Gobierno y Gestión de Tecnologías de la Información permitió que a través de la integración de un Comité de Tecnologías integrado por el rector y secretarios facilitó el establecimiento de la estrategia de SI.

Buenas prácticas:

• El uso de buenas prácticas del ISO 9001 facilitó la realización las actividades de los procesos de establecimiento, diseño, documentación, implementación, evaluación y mejora del SGSI.

• LIC. VÍCTOR HUGO GUERRA GARCÍA: SECRETARIO DE ADMINISTRACIÓN
• DRA. ROSA ISSEL ACOSTA GONZÁLEZ: SECRETARIA ACADÉMICA
• LIC. CARLOS DE ALEJANDRO ACEVEDO: SECRETARIO TÉCNICO
• CP. GUILLERMO MENDOZA CAVAZOS: SECRETARIO DE FINANZAS
• MTRO. CARLOS ENRIQUE PORTES FLORES: DIRECTOR DE TECNOLOGÍAS DE LA INFORMACIÓN
• MTRA. NANCY CARBAJAL ARANDA: DIRECTORA DE SISTEMAS FINANCIEROS
• MTRO. MARCO ANTONIO TREVIÑO RODRÍGUEZ: DIRECTOR DE INFORMACIÓN ACADÉMICA Y ADMINISTRATIVA
• DR. JOSÉ ALBERTO CÁRDENAS DE LA FUENTE: DIRECTOR DE DESARROLLO INSTITUCIONAL
• MTRA. ARACELI SAUCEDO NARVAEZ: COORDINADORA DE INFORMÁTICA Y TELECOMUNICACIONES
• LIC. JAVIER ALEJANDRO MARQUEZ MUÑOZ: JEFE DE SEGURIDAD DE LA INFORMACIÓN
• MTRA. BEATRIZ ALEJANDRA ESTRADA HERRERA: COORDINADORA DE SEGUIMIENTO Y CONTROL
• MTRA. GABRIELA CERVANTES CAMACHO: COORDINADORA DEL SISTEMA INSTITUCIONAL DE GESTIÓN DE LA CALIDAD
• MTRA. ELSA IRAN RODRIGUEZ PEÑA: JEFA DE WEB E INTERNET
• CP. JUDITH MARTÍNEZ CARBAJAL: PERSONAL ADMINISTRATIVO
• ING. JAVIER RAUL LÓPEZ CARRILES: COORDINADOR DE INFRAESTRUCTURA
• ING. HECTOR RODRÍGUEZ PESINA: PERSONAL TÉCNICO
• ING. JOSÉ ALFONSO CRUZ GONZÁLEZ: COORDINADOR DEL MÓDULO SIIAA
• CP DULCE MARÍA TORRES MORALES: COORDINADORA DE ADMINISTRACIÓN
• ING. ORMAR SILVA GUTIERREZ: JEFE DE INFRAESTRUCTURA FÍSICA Y MANTENIMIENTO
• LIC. RICARDO ZAPATA MARTINEZ: RESPONSABLE DE COMUNICACIÓN INSTITUCIONAL

• statics/archivos/galeria_proyecto/Py182_1234191201-Img.jpg
• statics/archivos/galeria_proyecto/Py182_1321059572-Img.png
• statics/archivos/galeria_proyecto/Py182_1327007833-Img.jpg
• https://dti.uat.edu.mx/Documents/EVIDENCIA_PROYECTO_SGSI_UAT.pdf
• https://www.uat.edu.mx/
• https://sgsi.uat.edu.mx/
• https://dti.uat.edu.mx/
• statics/archivos/documentos_proyecto/Py182_1345195611-CPortes-UATmx.pdf

Descripción del riesgo:
No existe acuerdo de confidencialidad en el tratamiento de los sistemas de información en la UAT.

Impacto: Medio

Probabilidad de ocurrencia: Probable

Costo asociado($): 0

Acción a realizar(en caso de presentarse):
Establecimiento normativo de los acuerdo de confidencialidad con los gestiona las tecnologías de la información y partes interesadas.

Descripción del riesgo:
Amenazas de sabotaje, vandalismo, fenómenos naturales, descuido, desconocimiento o mal uso del tratamiento de la información.

Impacto: Alto

Probabilidad de ocurrencia: Poco probable

Costo asociado($): 0

Acción a realizar(en caso de presentarse):
Ejecución del plan de contingencia.

Descripción del riesgo:
Falta de capacitación del personal que gestiona las tecnologías de la información y las partes interesadas

Impacto: Bajo

Probabilidad de ocurrencia: Poco probable

Costo asociado($): 0

Acción a realizar(en caso de presentarse):
Capacitación e involucramiento del personal que gestiona las tecnologías de la información y las partes interesadas

Descripción del riesgo:
Falta de estandarización en las metodologías de gestión de cambios.

Impacto: Bajo

Probabilidad de ocurrencia: Poco probable

Costo asociado($): 0

Acción a realizar(en caso de presentarse):
Alineación a las normas nacionales e internacionales y mejores prácticas en la gobernanza y gestión de tecnologías de la información.

Descripción del riesgo:
No se cuenta con una política de seguridad de la información certificada.

Impacto: Bajo

Probabilidad de ocurrencia: Poco probable

Costo asociado($): 0

Acción a realizar(en caso de presentarse):
Difundir política de seguridad de la información a nivel directivo, las partes interesadas y la comunidad universitaria.