Gobernanza de TI: Arquitectura y Despliegue Normativo de un SGSI
Planificación estratégica, matriz de criticidad de activos y directrices de control bajo el estándar internacional ISO/IEC 27001.
1. Alcance Conceptual del Proyecto
El desarrollo del Proyecto 3 se estructuró en torno al diseño integral de un Sistema de Gestión de Seguridad de la Información (SGSI) adaptado a las necesidades de la comunidad universitaria. El propósito central de este marco normativo consistió en delimitar los pilares regulatorios, los términos de cumplimiento y las referencias legales necesarias para blindar el flujo de datos institucionales, mitigando riesgos operativos y garantizando la confidencialidad, integridad y disponibilidad de la información frente a amenazas contemporáneas.
"La protección de la información debe consolidarse como un habilitador estratégico de la infraestructura académica, salvaguardando la continuidad operativa del entorno universitario."
2. Diagnóstico del Entorno y Clasificación de Recursos
La piedra angular para la edificación del SGSI en la UPSLP radicó en el análisis situacional de las partes interesadas y el contexto operativo de la institución. Como parte fundamental de la auditoría de activos, se estructuró una matriz de inventario exhaustiva que catalogó con precisión un total de 40 activos de información esenciales.
Cada uno de estos recursos (comprendiendo bases de datos de control escolar, servidores de autenticación, infraestructura de red y expedientes digitales) fue sometido a un proceso de evaluación cualitativa y cuantitativa para determinar su nivel de criticidad y establecer prioridades de protección frente a incidentes latentes.
| ID Activo | Nombre del Activo | Tipo | Confidencialidad | Integridad | Disponibilidad | Criticidad |
|---|---|---|---|---|---|---|
| ACT-01 | Base de Datos de Control Escolar | Digital / Lógico | Alta | Alta | Alta | CRÍTICO |
| ACT-02 | Servidor de Autenticación Central (AD) | Infraestructura | Alta | Alta | Alta | CRÍTICO |
| ACT-15 | Expedientes Digitales de Personal | Digital / Lógico | Alta | Media | Media | ALTA |
| ACT-28 | Plataforma de Aprendizaje Virtual | Software / Servicio | Media | Alta | Alta | ALTA |
| ACT-40 | Bitácoras de Acceso Físico a Laboratorios | Físico / Registro | Baja | Media | Baja | BAJA |
3. Gobierno de Seguridad: Directrices y Estructura de Control
Para asegurar el respaldo operativo y la viabilidad del sistema a largo plazo, la arquitectura institucional se dividió en dos capas de cumplimiento:
Estatuto General de Seguridad
Consiste en el pronunciamiento formal de la alta dirección, alineando las metas de ciberseguridad con la misión educativa y los objetivos estratégicos de la universidad.
Marcos Regulatorios Específicos
Se modelaron e inyectaron diez directrices de control focalizadas. Estos lineamientos abordan la gestión de accesos, seguridad física, cifrado de datos y respuesta a incidentes.
- Seguridad Lógica y Cifrado Simétrico Extensible.
- Control Perimetral Avanzado e Identidades Robustas.
- Plan de Continuidad Operativa ante Eventos de Ransomware.
4. Dictamen Estratégico
La culminación de este proyecto de seguridad de la información reafirma que la protección de datos trasciende la mera configuración de barreras técnicas o firewalls perimetrales. Una postura de seguridad madura requiere de un Gobierno de TI disciplinado.
La estructuración y adopción del SGSI propuesto garantiza que los protocolos de contención y resguardo en la UPSLP dejen de ser reactivos, alineándose firmemente con los estándares internacionales más exigentes, protegiendo la reputación institucional y asegurando la continuidad de los servicios educativos ante cualquier escenario de compromiso lógico.
Referencias
- International Organization for Standardization - ISO/IEC 27001:2022 Information Security Management Systems: https://www.iso.org/
- ISACA - COBIT Framework for Information and Related Technology: https://www.isaca.org/