Gestión de claves y control de acceso a un sistema web educativo basada en la norma ISO/IEC 27001:2005

Abstract

En este documento se reporta el trabajo realizado dentro de un proyecto de desarrollo de software Educativo a nivel básico, medio superior, superior y corporativo, en el cual colaboró la Facultad de Ingeniería de la Universidad Autónoma del Estado de México y una organización del sector privado con registro CONACYT PEI4-220949. El sistema web educativo es de carácter multidisciplinario, es decir, su desarrollo involucró a profesionales como diseñadores gráficos, especialistas en pedagogía e ingenieros en sistemas computacionales. El desarrollo del sistema web educativo se realizó en dos etapas, en la primera etapa se diseñaron e implementaron los perfiles correspondientes a la educación básica. En su segunda etapa, se implementaron los perfiles correspondientes a la educación media superior, educación superior y nivel corporativo. En los últimos años, la tecnología ha evolucionado considerablemente, en donde nosotros como usuarios, deseamos que nuestros dispositivos y nuestra información estén vinculados entre sí y disponible en cualquier momento para ser consultada o utilizada a través de los diversos medios de comunicación vía internet. Sin embargo, tanto los usuarios como los desarrolladores y diseñadores de la tecnología no consideran como un rubro importante la implementación de la seguridad de la información. Gran parte de la información considerada importante está a la vista de atacantes, quienes esperan que se presente la oportunidad mínima para obtener la información de usuarios y de las empresas, haciendo uso de ella de forma indebida y delictiva. Con el avance de la tecnología, se han desarrollado normas y metodologías para la seguridad de la información, como es el caso de la norma ISO/IEC 27001:2005 quien permite a los desarrolladores y empresas, analizar e implementar un Sistema de Gestión de Seguridad de la Información conocido por sus siglas SGSI, con la finalidad de proteger los activos o información que se consideren de gran valor en función del costo que podría representar su daño o pérdida. La información es considerada como el recurso más valioso de una empresa y del propio viii usuario, es por ello la necesidad de que sea protegida de cualquier atacante para evitar el mal uso de está. En el presente reporte de aplicación de conocimientos, se describen los conceptos básicos y mínimos requeridos para mantener la seguridad de la información. Se presentan las normas y metodologías de seguridad de información que son empleadas para la implementación de mecanismos y controles de seguridad en un sistema web, tomado como caso de estudio un sistema web educativo a nivel básico, medio superior, superior y corporativo. Además, se detallan las actividades que se realizaron durante el desarrollo del proyecto para la implementación de controles de seguridad para un sistema web educativo previamente diseñado y desarrollado por programadores pertenecientes al mismo proyecto y bajo la premisa de no afectar la funcionalidad del sistema web, empleando la menor cantidad de recursos posibles. Cumpliendo así el rol que desempeñé dentro del proyecto que se enfocó en la implementación de la seguridad en el sistema web educativo. El proyecto inició en el mes de abril de 2015 y finalizó en el mes de marzo de 2016.