Gestión de seguridad para el mejoramiento de la usabilidad del internet en una cooperativa
Security management to improve the usability of the internet in a cooperative
Johny Mauricio Higuera-Rosero
Universidad Regional Autónoma de los Andes, Ambato, Tungurahua
Ecuador
https://orcid.org/0000-0002-8663-8333
Ariel José Romero-Fernández
ua.arielromero@uniandes.edu.ec
Universidad Regional Autónoma de los Andes, Ambato, Tungurahua
Ecuador
https://orcid.org/0000-0002-1464-2587
Ana Lucía Sandoval-Pillajo
ui.anasandoval@uniandes.edu.ec
Universidad Regional Autónoma de los Andes, Ibarra, Imbabura
Ecuador
https://orcid.org/0000-0003-1463-017X
Luis Llerena-Ocaña
ua.luisllerena@uniandes.edu.ec
Universidad Regional Autónoma de los Andes, Ambato, Tungurahua
Ecuador
https://orcid.org/0000-0001-6440-0167
Recibido: 01 de mayo 2022
Revisado: 25 de junio 2022
Aprobado: 01 de agosto 2022
Publicado: 15 de agosto 2022
RESUMEN
Se tiene por objetivo analizar la gestión de seguridad para el mejoramiento de la usabilidad del internet en la cooperativa Tulcán. Se realizó una investigación de tipo descriptiva mediante registro anecdótico de la empresa. El 40.91% representa a la saturación del servicio debido al acceso abierto a sitios de reproducción de video, descargas de música mp3. La saturación del servicio del internet es uno de los inconvenientes que la mayor parte de las empresas tienen en el día a día de sus operaciones, para nuestro caso se logró mitigar este problema con la implementación de las políticas y controles en el acceso eliminando los factores que causaban la congestión del servicio tales como descargas masivas de aplicativos, accesos a plataformas de video, redes sociales, aplicaciones tipo cloud, permitiendo disponer de esta forma de una administración más efectiva.
Descriptores: Universalidad de internet; protección de datos; transferencia de información. (Tesauro UNESCO).
ABSTRACT
The objective is to analyze the security management for the improvement of the internet usability in the Tulcán cooperative. A descriptive research was carried out by means of anecdotal records of the company. The 40.91% represents the saturation of the service due to the open access to video reproduction sites, mp3 music downloads. The saturation of the internet service is one of the inconveniences that most of the companies have in their day to day operations, in our case we were able to mitigate this problem with the implementation of policies and access controls eliminating the factors that caused the congestion of the service such as massive downloads of applications, access to video platforms, social networks, cloud type applications, thus allowing to have a more effective administration.
Descriptors: Internet universality; data protection; information transfer. (UNESCO Thesaurus).
INTRODUCCIÓN
Las instituciones financieras, por el fin que persiguen, están cada vez más expuestas a ser sujetos de cualquier tipo de amenaza informática más aún cuando se dispone de un mecanismo de administración seguro causando diferentes problemas relacionados con la congestión del acceso al internet, afectando a las operaciones diarias que los funcionarios realizan con el uso de este servicio (Amaro-López & Rodríguez-Rodríguez, 2017).
La Cooperativa de Ahorro y Crédito Tulcán Ltda. es una institución financiera que tiene por objetivo brindar a sus socios y clientes servicios financieros contribuyendo de esta manera a una mejor calidad de vida y un desarrollo sostenible de los socios y de la comunidad, en función de ello la institución utiliza una infraestructura tecnológica de hardware y software con el cual se soportan para el procesamiento de la información de las operaciones, la mayor parte de las aplicaciones utilizadas son basadas en tecnología web mediante el uso del Internet, de allí la necesidad que el servicio sea de calidad para el buen desempeño de sus operaciones diarias. (Ríos, 2018).
En la institución una de las principales causas que ocasionan la degradación del servicio del Internet corresponde a que no se aplicaron políticas de administración de usuarios para el acceso a este servicio, además de ello se vinculan ciertos factores tales como la congestión, la inseguridad que se genera por la navegación y la falta de una matriz de usuarios que permita crear perfiles de acceso a los sitios o url’s de acceso en la nube (Díaz, 2019).
Es importante indicar que la mayor parte de los aplicativos utilizados en la institución para el procesamiento de las transacciones son diseñados bajo tecnología web siendo el acceso al internet el modo de conexión para el funcionamiento (San Miguel, 2015). Al implementar un control efectivo se mejora el acceso de los usuarios a diferentes servicios que tiene el internet permitiendo a los funcionarios desarrollar sus operaciones diarias de manera ágil, efectiva permitiendo el normal desempeño de sus actividades operativas (Reynaldo-Argüelles et al. 2019).
En el Ecuador el sector financiero es regulado por los entes de control Nacional denominados (SEPS), Superintendencia de Economía Popular y Solidaria, bajo normas y estándares internacionales aplicados a los procesos operativos de las instituciones financieras en sus diferentes ámbitos de gestión, es por ello que para evaluar el riesgo tecnológico utilizan algunas metodologías de control entre ellas COBIT5 como un marco referencial de negocios para la gestión de las tecnologías con el objetivo de establecer políticas de administración basadas en buenas prácticas (Anastacio, 2016).
Para el buen uso del servicio de internet apoyados en la metodología de evaluación de riesgos tecnológicos COBIT5 se ha establecido reglas y políticas de administración basadas en perfiles de accesos a usuarios con la finalidad de distribuir el ancho de banda y de esta forma mejorar el servicio (Esquivel-Rodríguez, 2021). Por tanto, la congestión del servicio del internet es solucionado a través de una administración efectiva de políticas de acceso, configuración de contenidos de navegación, creación de perfiles de usuarios y segmentación del canal contribuyendo de esta forma al descongestionamiento del servicio (López, 2017).
En este sentido; se tiene por objetivo analizar la gestión de seguridad para el mejoramiento de la usabilidad del internet en la cooperativa Tulcán.
MÉTODO
Se realizó una investigación de tipo descriptiva mediante registro anecdótico de la empresa, lo cual permitió determinar el cumplimiento o no, de lo planteado en el objetivo de la investigación.
ANÁLISIS DE LOS RESULTADOS
Para la recolección de la información se aplicó la encuesta con la finalidad de poder identificar de mejor manera los factores que generan la congestión del internet, los cuales se categorizó en 4 segmentos (inseguridad de navegación, Saturación del servicio, Contenido Web sin restricciones, no existencia de perfiles de acceso), los mismos que afectan a la estabilidad del servicio (Martín, 2015).
De acuerdo con el análisis efectuado se pudo determinar que el 20.45% de los encuestados, las estaciones de trabajo se encontraban con amenazas de virus debido al ingreso a sitios contenedores de links para descargas de archivos contaminados de virus, por otro lado, el 40.91% representa a la saturación del servicio debido al acceso abierto a sitios de reproducción de video, descargas de música mp3.
Además, el 15.91% constituye a la navegación de categorías web sin restricciones permitiendo navegar a todos los sitios disponibles en el internet entre ellos YouTube, redes sociales e inclusive realizando descargas de software generando congestión del servicio, finalmente, el 22.73% corresponde a que no existía una configuración basada en perfiles de navegación, cuando una administración no se encuentra basada en usuarios, resulta muy complicado monitorear el consumo del internet generado por los usuarios. Es por estas razones la importancia de contar con una administración basada en perfiles de acceso y para esto nos apoyamos en la metodología COBIT5 de acuerdo con sus fases de trabajo el cual se describen a continuación:
Fase (I) Planeación y Organización
Se elaboró una planificación basada en buenas prácticas entorno a la navegación segura las cuales se conforman por las siguientes actividades:
1. Se diseñó la matriz de usuarios tomando en cuenta la estructura organizacional de la institución.
2. Se estableció los grupos de trabajo por departamentos.
3. Se definió los perfiles de acceso a los internet alineados a los grupos de trabajo.
4. Se categorizó el contenido web en función de los perfiles.
5. Se segmentó al ancho de banda del internet con las aplicaciones de mayor uso por los funcionarios.
6. Se determinó las reglas de navegación de acuerdo a los perfiles de usuario
7. Se estructuró las políticas de control para el acceso al internet
Las actividades fueron configuradas en la infraestructura de seguridad perimetral que dispone la institución, como es el caso del firewall de la marca UTM Sophos (Christian2017). El firewall UTM Sophos es un equipo hardware diseñado para brindar seguridad (Viteri, 2016), el cual incluye algunas funcionalidades las cuales aún no se encontraban configuradas en el equipo, con la finalidad de dar una solución a la problemática respecto del uso del internet se utilizó las ventajas que dispone dicho hardware alineadas a las políticas internas de la institución.
Al determinar los grupos de trabajo asignando los perfiles de acceso se minimizó el riesgo operativo, navegación sin controles, de allí que la necesidad radica en implementar una administración segura que permita dar uso al internet de forma fluida y estable. La implementación de políticas de acceso permitió mejorar la navegación del internet, administrando los accesos de mejor forma obteniendo como resultado una fluidez en el servicio, esto conllevo a que el uso del Core Financiero utilizado en la institución sea más eficiente en el procesamiento de las transacciones operativas que se ejecutan en la Cooperativa Tulcán.
La utilización de las listas blancas y negras ayudó a disponer de un mejor balanceo del ancho de banda del internet debido a que se configuraron los sitios permitidos y no permitidos para el acceso a los dominios, también permitió alinear el uso del servicio que realizan los funcionarios enfocados a la navegación de las páginas relacionadas con el ámbito laboral de la institución.
Con la aplicación de la metodología COBIT5 se mejorará administración de los accesos al internet estabilizando el servicio, además de ello se logró disponer de un monitoreo efectivo basado en categorías de contenido y accesos por usuario permitiendo visibilizar de mejor manera el uso del ancho de banda utilizado.
Con la finalidad de minimizar el riesgo operativo en función del uso del internet es importante concientizar a los funcionarios sobre el buen uso mediante charlas dirigidas en los ámbitos de seguridad cibernética, navegación en la nube y contenido web, por ello la importancia de crear una cultura de navegación en los funcionarios.
CONCLUSIONES
La saturación del servicio del internet es uno de los inconvenientes que la mayor parte de las empresas tienen en el día a día de sus operaciones, para nuestro caso se logró mitigar este problema con la implementación de las políticas y controles en el acceso eliminando los factores que causaban la congestión del servicio tales como descargas masivas de aplicativos, accesos a plataformas de video, redes sociales, aplicaciones tipo cloud, permitiendo disponer de esta forma de una administración más efectiva en función de la organización de los accesos ,perfiles de usuarios y el monitoreo adecuado del canal del internet.
La segmentación de los perfiles de usuario fue un punto clave porque permitió categorizar el contenido web de navegación de acuerdo con los grupos de trabajo prestablecidos, esto ayudo a que el acceso sea delimitado y parametrizado tomando en cuenta las actividades que ejercen los funcionarios en la institución.
La aplicación de reglas de control para la descarga y actualización de software permitió descongestionar en gran medida el canal del internet debido a que este factor era una de las causas principales para que el servicio se sature y se encuentre por sobre los límites de navegación.
FINANCIAMIENTO
No monetario.
AGRADECIMIENTO
A la Universidad Regional Autónoma de los Andes; por motivar el desarrollo de la investigación.
REFERENCIAS CONSULTADAS
Amaro-López, J, & Rodríguez-Rodríguez, C. (2017). Seguridad en internet [Internet security]. PAAKAT: revista de tecnología y sociedad, 6(11), 00006.
Anastacio, M. (2016). Análisis de la Seguridad en los Sistemas de e-Gobierno mediante el Problema SAT [Security Analysis of e-Government Systems using the SAT Problem]. INGE CUC, 75.
Christian, A. (2017). Open Source Solutions For Perimeter Safety For Small Businesses. Revista de congestión del conocimiento, 4.
Díaz, J. (2019). Riesgos y vulnerabilidades de la denegación de servicio distribuidos en internet de las cosas [Risks and vulnerabilities of distributed denial of service in the internet of things]. Revista de Bioética y Derecho, 90.
Esquivel-Rodríguez, C. (2021). Una mirada desde la gestión del riesgo de desastres, el cambio climático y los efectos por la COVID-19, entrevista a Allan Lave [A look from disaster risk management, climate change and the effects by COVID-19, interview with Allan Lave]. Estudios De La Gestión: Revista Internacional De Administración, (10), 253–260. Recuperado a partir de https://revistas.uasb.edu.ec/index.php/eg/article/view/2865
Martín, P. (2015). Inseguridad cibernética en América Latina [Cyber insecurity in Latin America]. Líneas de reflexión para la evaluación de riesgos, 7.
Reynaldo-Argüelles, C. L.., Guardado Lacaba, R. M., Sorhegui Ortega, R. A.., & Rojas de la Cruz, R. (2019). Importancia de la gestión de riesgos para el desarrollo local. Caso de estudio Consejo Popular Caribe, Cuba [Importance of risk management for local development. Case study Consejo Popular Caribe, Cuba]. REVISTA CIENTÍFICA ECOCIENCIA,6(5), 1–23. https://doi.org/10.21855/ecociencia.65.224
Ríos, J. (2018). Comparación de metodologías en aplicaciones web [Comparison of methodologies in web applications]. 3C Tecnología glosas de innovación aplicadas a la pyme, 3.
San Miguel, J. (2015). Implantación de aplicaciones web en entorno internet, intranet y extranet [Implementation of web applications in internet, intranet and extranet environments]. Ediciones Paraninfo, SA.
Viteri, J. (2016). Análisis y Evaluación del Riesgo de la Información: Caso de Estudio Universidad Técnica de Babahoyo [Information Risk Analysis and Assessment: Case Study Universidad Técnica de Babahoyo]. Revista Uniandes Episteme, 229.
©2022 por los autores. Este artículo es de acceso abierto y distribuido según los términos y condiciones de la licencia Creative Commons Atribución-NoComercial-CompartirIgual 4.0 Internacional (CC BY-NC-SA 4.0) (https://creativecommons.org/licenses/by-nc-sa/4.0/