Construcción de directrices para el cumplimiento normativo en infraestructuras críticas de tecnologías de la información para instancias educativas autónomas
Barra lateral del artículo
Contenido principal del artículo
Resumen
El inminente incremento en el uso de la tecnología al interior de las instituciones educativas conlleva riesgos latentes que deben ser considerados dentro del marco legislativo y normativo institucional. Intentar llevar a cabo esta implementación de manera íntegra puede resultar excesivamente complejo y costoso, ya que estos marcos suelen ser extensos y puntualizan actividades que sobrepasan las capacidades, procesos y requerimientos de la institución. Además, estas funciones adicionales pueden generar desorganización al interior y repercutir en la productividad operativa, perdiendo de vista el objetivo central de la seguridad de la información. Por lo anterior, fue necesario el desarrollo inicial de un instrumento de cumplimiento para la gobernanza en tecnologías de la información y seguridad de la información que permitiera integrar la legislación vigente y emergente, contemplando la heterogeneidad tecnológica al interior de la Universidad Nacional Autónoma de México. Este instrumento busca promover la coherencia institucional mediante la implementación de directrices que permitan converger a todas las entidades universitarias hacia objetivos comunes y cumplir con la función principal de la Dirección General de Cómputo y de Tecnologías de Información y Comunicación: normar y supervisar la gobernanza institucional de las tecnologías de la información y la comunicación. Este esfuerzo sólo representa la base de un marco normativo más amplio para el manejo y supervisión de las tecnologías de la información y la comunicación, y debe ser perfeccionado acorde a su tiempo, así como acotado ante los procesos de digitalización y transformaciones inminentes al interior de la universidad.
Descargas
Detalles del artículo
Esta obra está bajo una licencia internacional Creative Commons Atribución-NoComercial-SinDerivadas 4.0.
Este trabajo tiene la licencia CC BY-NC-ND 4.0
Citas
Angraini, R., Alias, R. A., & Okfalisa. (2019). Information security policy compliance: Systematic literature review. Procedia Computer Science, 161, 1216–1224. https://doi.org/10.1016/j.procs.2019.11.235 DOI: https://doi.org/10.1016/j.procs.2019.11.235
Bejarano, F., & Martín, J. L. (2021). La ciberseguridad no es un problema de TI, nunca lo fue. Harvard Deusto Management & Innovation, (39). https://www.harvard-deusto.com/la-ciberseguridad-no-es-un-problema-de-ti-nunca-lo-fue
Benavides, L. M. C., Tamayo Arias, J. A., Arango Serna, M. D., Branch Bedoya, J. W., & Burgos, D. (2020). Digital transformation in higher education institutions: A systematic literature review. Sensors, 20(11), 3291. https://doi.org/10.3390/s20113291 DOI: https://doi.org/10.3390/s20113291
Center for Internet Security. (2023). CIS Critical Security Controls Version 8.1. https://www.cisecurity.org/controls/v8-1csf.tools+2
Cordero Guzmán, D., & Bribiesca Correa, G. (2018). Model for information technology governance (GTI) in a university environment. Computación y Sistemas, 22(4), 1503–1518. https://doi.org/10.13053/cys-22-4-2797 DOI: https://doi.org/10.13053/cys-22-4-2797
CSRC Content Editor. (n.d.-c). Asset – Glossary. National Institute of Standards and Technology. https://csrc.nist.gov/glossary/term/asset
CSRC Content Editor. (n.d.-c). Defense-in-depth – Glossary. National Institute of Standards and Technology. https://csrc.nist.gov/glossary/term/defense_in_depth
Dirección General de Cómputo y de Tecnologías de Información y Comunicación. (2023). Directrices generales en torno a la seguridad de la información que obra en los sistemas informáticos de la UNAM. Universidad Nacional Autónoma de México. https://www.red-tic.unam.mx/directrices-seguridad-informacion
Dunsin, D. (2024). Evaluating cybersecurity frameworks for protecting consumer IoT devices from emerging phishing and ransomware threats. Journal of Cybersecurity and Privacy, 3(4), 327–350. https://doi.org/10.3390/jcp3040017
Franco Reboreda, C. (2024). Gobierno de las Tecnologías de Información. En J.L. Ponce-López, L.M. Castañeda-De León y H. Valles-Baca (Coords.), Estado actual de las tecnologías de la información y las comunicaciones en las instituciones de educación superior en México. Estudio 2024. México: Asociación Nacional de Universidades e Instituciones de Educación Superior.
International Organization for Standardization & International Electrotechnical Commission. (2013). ISO/IEC 27001:2013 – Information security, cybersecurity and privacy protection – Information security management systems – Requirements.
International Organization for Standardization & International Electrotechnical Commission. (2016). ISO/IEC 27004:2016 – Information technology — Security techniques — Information security management — Monitoring, measurement, analysis and evaluationls. https://www.iso.org/standard/64120.html
Jorm, A. (2025). Specifying “Experts” and “Consensus”. In: Expert Consensus in Science. Palgrave Macmillan, Singapore. https://doi.org/10.1007/978-981-97-9222-1_7 DOI: https://doi.org/10.1007/978-981-97-9222-1_7
Kure, H.I., Islam, S. & Mouratidis, H. (2022). An integrated cyber security risk management framework and risk predication for critical infrastructure protection. Neural Comput & Applic. 34 (15241). https://doi.org/10.1007/s00521-022-06959-2 DOI: https://doi.org/10.1007/s00521-022-06959-2
Melaku, H. M. (2023). A dynamic and adaptive cybersecurity governance framework. Journal of Cybersecurity and Privacy, 3(3), 327–350. https://doi.org/10.3390/jcp3030017 DOI: https://doi.org/10.3390/jcp3030017
National Institute of Standards and Technology. (2020). Security and Privacy Controls for Information Systems and Organizations (NIST Special Publication 800-53 Revision 5). https://doi.org/10.6028/NIST.SP.800-53r5 DOI: https://doi.org/10.6028/NIST.SP.800-53r5
National Institute of Standards and Technology. (2024). Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations (NIST Special Publication 800-171 Revision 3). https://csrc.nist.gov/pubs/sp/800/171/r3/final
National Institute of Standards and Technology. (2024). The NIST Cybersecurity Framework (CSF) 2.0 (NIST Cybersecurity White Paper No. 29). https://doi.org/10.6028/NIST.CSWP.29 DOI: https://doi.org/10.6028/NIST.CSWP.29
Subsecretaría de la Función Pública. (2011). Guía para emitir documentos normativos. Secretaría de la Función Pública. https://www.gob.mx/cms/uploads/attachment/file/914320/guia-emitir-documentos-normativos-sfp-07052024.pdf
Sullivan, G. (2022). Law, technology and data-driven security: Infra-legalities as method assemblage. Journal of Law and Society, 49(S1), 31–50. https://doi.org/10.1111/jols.12352 DOI: https://doi.org/10.1111/jols.12352
Taherdoost, H. (2022). Understanding cybersecurity frameworks and information security standards—A review and comprehensive overview. Electronics, 11(14), 2181. https://doi.org/10.3390/electronics11142181 DOI: https://doi.org/10.3390/electronics11142181
Zhong, X., Vatanasakdakul, S., & Aoun, C. (2012). It Governance In China: Cultral Fit And It Governance Capabilities. PACIS 2012 Proceedings. (55). https://aisel.aisnet.org/pacis2012/55