DOI 10.35381/cm.v8i4.913
Sistemas de información para la seguridad de datos de los socios de una cooperativa
Information systems for the security of cooperative members' data
Universidad Regional Autónoma de los Andes, Ambato, Tungurahua
Ecuador
https://orcid.org/0000-0001-9880-5445
Ariel José Romero-Fernández
ua.arielromero@uniandes.edu.ec
Universidad Regional Autónoma de los Andes, Ambato, Tungurahua
Ecuador
https://orcid.org/0000-0002-1464-2587
Gustavo Eduardo Fernández-Villacrés
ua.eduardofernandez@uniandes.edu.ec
Universidad Regional Autónoma de los Andes, Ambato, Tungurahua
Ecuador
https://orcid.org/0000-0003-1028-1224
Luis Rafael Freire-Lescano
Universidad Regional Autónoma de los Andes, Ambato, Tungurahua
Ecuador
https://orcid.org/0000-0002-6527-6417
Recibido: 01 de mayo 2022
Revisado: 25 de junio 2022
Aprobado: 01 de agosto 2022
Publicado: 15 de agosto 2022
RESUMEN
El objetivo de este estudio pretende asegurar los datos de la información sensible y confidencial de los socios y clientes en entornos de producción y desarrollo de la Cooperativa Cacpeco. Se detectaron ciertas deficiencias en el proceso de aseguramiento de la información como son: información en texto plano, información en ficheros sin seguridad mediante un análisis de riesgo y por disposiciones del Organismo de Control SEPS, por lo que se propuso como solución la implementación de un sistema que permita asegurar la información de los socios de la Cooperativa Cacpeco. La utilidad del sistema de seguridad de la información, fomenta la confidencialidad, integridad, disponibilidad y sobre todo generaría confianza de ahorro en los socios y clientes de la Cooperativa Cacpeco.
Descriptores: Protección de datos; derecho de la informática; derecho del ciberespacio. (Tesauro UNESCO).
ABSTRACT
The objective of this study is to secure the data of sensitive and confidential information of members and customers in production and development environments of the Cacpeco Cooperative. Certain deficiencies were detected in the information security process such as: information in plain text, information in unsecured files through a risk analysis and by provisions of the SEPS Control Agency, so it was proposed as a solution the implementation of a system to secure the information of the members of the Cooperative Cacpeco. The usefulness of the information security system promotes confidentiality, integrity, availability and, above all, would generate savings confidence in the members and clients of Cooperativa Cacpeco.
Descriptors: Data protection; computer law; cyberspace law. (UNESCO Thesaurus).
INTRODUCCIÓN
En la actualidad se ha tomado conciencia en la importancia de la información y de la correcta gestión de todo tipo de datos, por la cual los sistemas de información se encuentran presentes en la mayoría de las empresas, siendo una parte fundamental e importante en la forma en la que operan las organizaciones actuales. Actualmente a través de su uso se ha logrado importantes mejoras pues permite automatizar varios procesos operativos siendo una plataforma necesaria para la toma de decisiones, de tal manera que las organizaciones exitosas se han concientizado de la importancia del manejo de los sistemas de información (Croke, 2022).
La seguridad de la información contempla en la actualidad un importante número de disciplinas y especialidades que se han convertido en una pieza fundamental e importante en el entramado empresarial, industrial y administrativo ya que permite prevenir, resguardar y proteger los datos buscando mantener la confidencialidad, la disponibilidad e integridad de la información (Gottlieb, 2014).
La información en la actualidad se manifiesta como un factor de incidencia para las organizaciones, pero en los últimos años se han visto amenazadas por los niveles de inseguridad, los sistemas de información y de comunicación conllevan transformaciones y reestructuraciones que dan lugar a la creación e intercambio del conocimiento, así como los nuevos métodos de adquirir y organizar el proceso de formación y aseguramiento de la información (Mony & Nagaraj, 2007).
Durante los últimos años los sistemas de información han ido evolucionando y se han constituido uno de los principales ámbitos de estudio en el área de organización de las empresas, por la cual los sistemas de información son uno de los componentes más relevantes del entorno actual de los negocios, los sistemas de información cuentan con la capacidad de reunir, procesar, distribuir y compartir datos de forma oportuna y de una manera integrada (Thallinger et al. 2002).
Los sistemas de información y la innovación se transforman en factor de desarrollo de las organizaciones por ello se han ido fomentando y potenciando la interrelación de los SIG con su entorno permitiendo que los elementos de la seguridad y confiabilidad formen parte del proceso. La información forma parte de un proceso en la toma de decisiones estratégicas con el propósito de identificar el uso de la información, esto permite conocer la relación de los datos con lo estratégico de la información de una empresa, basado en normas y reglamentos que rigen el buen uso de la información dentro y fuera de las instituciones (Beesley et al. 2020).
En la actualidad la información es un activo sustancial en todas las organizaciones por lo que debe ser protegido como un activo valioso, una de las mejores maneras de abordar los problemas de seguridad de la información en el mundo es a través de un enfoque basado en el riesgo (Massoudi & Sobolevskaia, 2021).
Las Tecnologías de Información dentro de las organizaciones ha creado nuevos dominios de interés, surgiendo nuevas necesidades de conocimiento como controles de seguridad, seguridad perimetral, seguridad de la información esto ha permitido que se generen nuevas necesidades que permitan identificar vulnerabilidades para luego ejecutar los controles de seguridad en cada información (Freundlich & Ehrenfeld, 2017).
La seguridad de la información forma una parte fundamental en el cambio de la estructura de una empresa implementando un sistema de gestión de seguridad de la información basado en reglas, normas y políticas que permiten controlar la información relevante de mejor manera dando un nivel de importancia en el contexto actual de las organizaciones basado en estándares internacionales (Davis et al. 2017).
La gestión de la Seguridad de la Información debe ser observado e implementado de una manera bien definida, con la capacidad de mejorar de una forma continua, esto implica un gran esfuerzo al momento de asegurar la información, mientras aumenta la información en el ámbito empresarial las amenazas siguen aumentado de una manera agresiva, poniendo en riesgo la confidencialidad, Integridad y disponibilidad de los datos (Labarga et al. 2017), (Šendelj, 2020).
La Cooperativa Cacpeco actualmente tiene una población de 283 socios y clientes de la Agencia Eloy Alfaro de acuerdo a datos reales proporcionados por la Unidad de Riesgos Financieros, durante este tiempo se ha evidenciado algunas deficiencias en niveles de seguridad de la información, por la cual se mantiene datos en texto plano esto da lugar a que la información tenga un grado de inseguridad al momento de manejarla, obteniendo ciertas vulnerabilidades en el proceso de transaccional, esto determina colocar un sistema de información que asegure los datos.
Para el desarrollo del trabajo investigativo, se toma en cuenta la normativa RESOLUCIÓN JB-2012-2148 de la Superintendencia de Bancos del Ecuador, Articulo 2, numeral 4.3.8.16 en donde se indica que se debe incorporar sistemas de seguridad de la información con controles para impedir el acceso a consultar información confidencial de clientes en ambiente de producción, en el caso de información contenida en ambiente de desarrollo o pruebas está deberá ser enmascarada o codificada. Por lo expuesto, el objetivo de este estudio pretende asegurar los datos de la información sensible y confidencial de los socios y clientes en entornos de producción y desarrollo de la Cooperativa Cacpeco.
PROCESO DE ASEGURAMIENTO DE LA INFORMACIÓN
Con la finalidad de obtener evidencia de calidad es con el objetivo de contar con información clara, precisa y con sus respectivas seguridades para que sea útil a la hora de tomas decisiones económicas y estratégicas dentro del marco Cooperativista y específicamente en el área financiera, para la toma de decisiones efectivas es necesario actuar bajo la regulación de normas de aseguramiento de información SGSI
Durante este proceso se verificó la información sensible y sus diferentes vulnerabilidades dentro del entorno de aseguramiento de información, una vez detectado la información crítica, se procede con la verificación del sistema en donde se determinará que todos sus componentes se encuentren estrictamente instalados, como parte de la seguridad informática se proporcionó los accesos para el uso del sistema esto fue ejecutado por el administrador del BD.
Una vez identificada la base de datos se verifica que la información a encriptar o enmascarar sea la correcta como son los datos personales y valores que fueron las respuestas con mayor porcentaje asegurar a su vez se crean carpetas que permitirán guardar información de los cambios realizados a nivel del ambiente de prueba y de producción.
Para poder ejecutar el proceso de encripción se verificó la versión del sistema que debería estar ejecutándose en la 11g y con una opción JDBC detallando claramente el Host, el Puerto y el archivo Jar que formara parte del directorio de enmascaramiento.
La Encriptación tiene varios procesos uno de ellos es el de generar un tipo de carácter que puede ser Uncode, Single Byte, Multi Byte el cual para el enmascaramiento de la información se escogió Uncode, para lo cual se crea un paquete especifico, dicho dato es autenticado por un ID publico previo al nombre del esquema. Para finalizar el proceso se debe aplicar de la siguiente manera:
Las evidencias en el Análisis de riesgo y Auditorías internas realizadas a la información son un aporte importante durante esta investigación, el cual tuvo como propósito identificar posibles amenazas o falta de aseguramiento en la información o datos de los socios de la Cooperativa Cacpeco, se pretendió examinar que tipo de sistemas de información permitiría asegurar los datos esto con el fin de obtener la confidencialidad, integridad y disponibilidad.
Del Análisis de los resultados de esta investigación se puede afirmar que la probabilidad de exposición de la información es media y puede oscilar entre el 45 y 50% del total de la muestra, ya que al tener información en texto plano el riesgo aumenta por la cual se propone la implementación de un sistema de información de las siguientes características IBM INFOSPHERE OPTIM DESIGNER con una base Oracle 11gR2 que permitirá codificar y asegurar la información.
Uno de los Hallazgos principales de esta investigación tiene un alto porcentaje ya que se evidencio varias vulnerabilidades en lo referente al aseguramiento de información, a pesar de que se tiene un alto aseguramiento a nivel perimetral y en la infraestructura es necesario codificar la información sensible de la cooperativa, esto implica un gran aporte en comparación con otras investigaciones.
Esto nos plantea la necesidad de buscar posibles soluciones que permitan obtener un aseguramiento de la información con un proceso que impida que los datos de nuestros socios sean vulnerables y de esta manera obtener la confidencialidad, integridad y disponibilidad de la información, de esta misma investigación se desprenden varias alternativas que representan posibles explicaciones sobre los sistemas de información y aseguramiento de datos.
CONCLUSIÓN
Se detectaron ciertas deficiencias en el proceso de aseguramiento de la información como son: información en texto plano, información en ficheros sin seguridad mediante un análisis de riesgo y por disposiciones del Organismo de Control SEPS, por lo que se propuso como solución la implementación de un sistema que permita asegurar la información de los socios de la Cooperativa Cacpeco. La utilidad del sistema de seguridad de la información, fomenta la confidencialidad, integridad, disponibilidad y sobre todo generaría confianza de ahorro en los socios y clientes de la Cooperativa Cacpeco.
FINANCIAMIENTO
No monetario.
AGRADECIMIENTO
A la Universidad Regional Autónoma de los Andes; por motivar el desarrollo de la investigación.
REFERENCIAS CONSULTADAS
Beesley, K., McLeod, A., Hewitt, B., & Moczygemba, J. (2020). Health Information Management Reimagined: Assessing Current Professional Skills and Industry Demand. Perspectives in health information management, 18(Winter), 1b.
Croke L. (2022). Guideline for patient information management. AORN journal, 115(4), P4–P6. https://doi.org/10.1002/aorn.13657
Davis, J., Morgans, A., & Burgess, S. (2017). Information management in the Australian aged care setting. Health information management : journal of the Health Information Management Association of Australia, 46(1), 3–14. https://doi.org/10.1177/1833358316639434
Freundlich, R. E., & Ehrenfeld, J. M. (2017). Anesthesia information management: clinical decision support. Current opinion in anaesthesiology, 30(6), 705–709. https://doi.org/10.1097/ACO.0000000000000526
Gottlieb O. (2014). Anesthesia information management systems in the ambulatory setting: benefits and challenges. Anesthesiology clinics, 32(2), 559–576. https://doi.org/10.1016/j.anclin.2014.02.019
Labarga, A., Beloqui, I., & Martin, A. G. (2017). Information Management. Methods in molecular biology (Clifton, N.J.), 1590, 29–39. https://doi.org/10.1007/978-1-4939-6921-0_4
Massoudi, B. L., & Sobolevskaia, D. (2021). Keep Moving Forward: Health Informatics and Information Management beyond the COVID-19 Pandemic. Yearbook of medical informatics, 30(1), 75–83. https://doi.org/10.1055/s-0041-1726499
Mony, P. K., & Nagaraj, C. (2007). Health information management: an introduction to disease classification and coding. The National medical journal of India, 20(6), 307–310.
Šendelj R. (2020). Information Technology and Information Management in Healthcare. Studies in health technology and informatics, 274, 139–158. https://doi.org/10.3233/SHTI200674
Thallinger, G. G., Trajanoski, S., Stocker, G., & Trajanoski, Z. (2002). Information management systems for pharmacogenomics. Pharmacogenomics, 3(5), 651–667. https://doi.org/10.1517/14622416.3.5.651
©2022 por los autores. Este artículo es de acceso abierto y distribuido según los términos y condiciones de la licencia Creative Commons Atribución-NoComercial-CompartirIgual 4.0 Internacional (CC BY-NC-SA 4.0) (https://creativecommons.org/licenses/by-nc-sa/4.0/