La seguridad de la información, un tema importante para la UNAM

«Por Irene Gabriela Sánchez García

El 26 de julio se realizó la 3a sesión del Seminario Permanente de Responsables TIC de la UNAM, que abordó el tema Marcos de cumplimiento en seguridad de la información, a la que asistieron 130 responsables TIC y personal técnico de 80 áreas universitarias.

La doctora Ana Yuri Ramírez Molina, directora de Colaboración y Vinculación de la DGTIC, inició la sesión con unas palabras sobre la seguridad de la información, un tema importante para la universidad, ya que esta institución gestiona una gran cantidad de datos personales y académicos de estudiantes, profesores, técnicos académicos, investigadores y personal administrativo, por lo que es fundamental cuidar su privacidad.

«Como universitarios nos compete establecer, implementar y dar cumplimiento a las políticas, lineamientos, controles y disposiciones normativas referentes a la seguridad de la información, de acuerdo con el alcance o ámbito de las áreas universitarias de las que somos responsables», indicó.

Durante su participación, el doctor Arturo García Hernández, gerente de Seguridad en Tecnologías de la Información del Banco de México, recalcó que la importancia de los marcos de cumplimiento es el desempeño que tienen en la organización, es decir, la manera cómo se maneja y se instrumenta.

Para conocer qué se busca con la implementación de algún marco de cumplimiento,​ se deben tener indicadores de desempeño (KPI, por sus siglas en inglés): estratégico, táctico y operativo. El establecerlos depende de varios factores organizacionales.

También, mencionó que el cumplimiento de los controles con los niveles de madurez se mide con base en tres elementos: personas, procesos y tecnología. El tiempo entre cada nivel toma alrededor de entre uno y dos años.

Por su parte, la maestra Esther Lugo Rojas, académica de la Dirección de Sistemas y Servicios Institucionales (DSSI) de la DGTIC, habló del Sistema de Gestión de Seguridad de la Información (SGSI) con ISO 27001. Éste describe cómo gestionar la seguridad de la información y cómo implementarla en cualquier organización.

La información es considerada un activo, porque es un elemento que la organización valora y protege. El estándar tiene un listado de controles de cuatro dominios: organizacionales, tecnológicos, físicos y personas. Para la implementación de un SGSI es importante realizar la gestión de procesos y la mejora continua en la organización.

Para finalizar, Lugo Rojas sugirió que cada área universitaria defina con precisión el proceso más importante que necesita proteger. Esto se debe a que estos procesos varían en su enfoque, alcance y propósito.

Esta sesión del Seminario Permanente de Responsables TIC fue organizada por la Dirección de Colaboración y Vinculación (DCV).