Presentación Tesis Análisis de la Gestión de la Seguridad de TI

Gestión de la Seguridad de TI

República Dominicana UNIVERSIDAD AUTÓNOMA DE SANTO DOMINGO

UASDRecinto Universitario San Francisco De Macorís

FACULTAD DE CIENCIASUNIDAD DE POSTGRADO Y EDUCACIÓN PERMANENTE

TemaAnálisis de la Gestión de la Seguridad de TI en las Medianas y Pequeñas Empresas, en San

Francisco de Macorís, República Dominicana, año 2014.

Sustentantes

Mariano Rosario FríasRamón Alexander Paula Reynoso

AsesorEddy Brito

Noviembre 2015.

Contenido:CONTEXTO DEL ESTUDIO1

FORMULACION DEL PROBLEMA2

ALCANCE3

IMPORTANCIA DE LA INVESTIGACION4

OBJETIVOS5

MARCO CONCEPTUAL6

METODOLOGIA7

RESULTADOS8

RECOMENDACIONES10

RECOMENDACIONES FUTURAS11

CONCLUSIONES9

Contexto del Estudio

Esta investigación se realizó en el municipio de San Francisco de Macorís, que es la principal ciudad la Región Nordeste o Cibao Oriental de la República Dominicana, también capital de la Provincia Duarte.

Formulación del Problema.

La seguridad de la información se ha convertido en un aspecto crítico

para los negocios, en especial las Pymes, debido a que en la actualidad,

la información de la empresa es considerada como uno de los activos

más valiosos. La organización debe contar con un sistema de gestión

de seguridad de TI que le permita la confidencialidad, integridad y

disponibilidad de la información mediante la salvaguarda de sus

activos de TI a través de la implementación de políticas,

procedimientos, controles y metodologías de análisis de riesgos.

Dada esta realidad analizar la gestión de la seguridad de TI en las

medianas y pequeñas empresas de San Francisco de Macorís, para así

poder comprobar que tan seguros están los activos de información de

estas entidades comerciales, resulta muy importante porque ayudaría a

que esas entidades hagan una revisión a sus políticas de seguridad de la

información y así puedan mejorar los procesos y controles necesarios

para garantizar una mejor integridad, confidencialidad y disponibilidad

de su información.

Preguntas de la Investigación:

1. ¿Cuáles son las necesidades de protección de datos de las PyMES

de San Francisco de Macorís?

2. ¿Cuáles son las técnicas y procedimientos que utilizan las pymes

de San Francisco de Macorís para llevar a cabo la gestión de la

seguridad de TI en sus negocios?

3. ¿Qué tan importante es para las pymes de San Francisco de

Macorís las inversiones en la seguridad de TI de sus negocios?

4. ¿Qué presupuesto dedican las PyMES de San Francisco de

Macorís para los aspectos relacionados con la gestión de seguridad

en TI?

5. ¿Cuáles medidas sobre el manejo de contingencias están siendo

usadas por las PyMES de San Francisco de Macorís en sus

negocios?

Alcance:Esta investigación se centró en el estudio de 11 empresas

Pymes de San Francisco de Macorís, a las cuales se le aplico a

sus ejecutivos del área de cómputos un cuestionario donde

logramos obtener como dichas empresas gestionan la seguridad

de TI de sus instalaciones tecnológicas.

Importancia:La seguridad de la información se ha convertido en un aspecto crítico

para los negocios debido a que en la actualidad, la información de la

empresa es considerada como uno de sus activos más valiosos.

Pérdidas de datos importantes, robo de contraseñas o desvío de

información personal y privada, son sólo algunas de las consecuencias

que pueden darse si una empresa no tiene al día sus sistemas de

seguridad.

Las organizaciones deben contar con un sistema de Gestión de Seguridad de TI que le permita

garantizar la confidencialidad, integridad y disponibilidad de la información mediante la

salvaguarda de sus activos de TI a través de la implementación de políticas, procedimientos,

controles y metodologías de análisis de riesgos. En tal sentido analizar la gestión de la seguridad

de TI en las medianas y pequeñas empresas de San Francisco de Macorís, para poder verificar qué

tan seguros están los activos de información de estas entidades comerciales, resulta muy

importante porque ayudaría a que esas entidades hagan una revisión a sus políticas de seguridad de

la información y así puedan mejorar los procesos y controles necesarios para garantizar mejor la

integridad, confidencialidad y disponibilidad de su información.

Objetivos:1. Determinar las necesidades de protección de datos de las PyMES de San

Francisco de Macorís.

2. Verificar las técnicas y procedimientos que utilizan las pymes de San Francisco de

Macorís para llevar a cabo la gestión de la seguridad de TI en sus negocios.

3. Indagar la importancia que dan las PyMES de San Francisco de Macorís a las

inversiones en la seguridad de TI.

4. Determinar el presupuesto dedican las PyMES de San Francisco de

Macorís para los aspectos relacionados con la gestión de seguridad en TI.

5. Verificar las medidas sobre el manejo de contingencias que están siendo

usadas por las PyMES de San Francisco de Macorís en sus negocios.

Marco Conceptual:Gestión de la seguridad de TI

Asegurar la confidencialidad, la integridad y la disponibilidad de las

informaciones, datos y servicios de TI de una organización. Normalmente,

la Gestión de la Seguridad de TI forma parte del acercamiento de una

organización a la gestión de seguridad, cuyo alcance es más amplio que el

del proveedor de Servicios de TI. (ITIL V3, 2011).

TI: Tecnologías de Información

El conjunto de procesos y productos derivados de las nuevas

herramientas (hardware y software), soportes de la información y

canales de comunicación relacionados con el almacenamiento,

procesamiento y transmisión digitalizados de la información.

(González, 2007)

PyMES: Pequeñas y Medianas Empresas

El portal de internet Definicion.de, define las PyMES como el

acrónimo de pequeña y mediana empresa. Se trata de la empresa

mercantil, industrial o de otro tipo que tiene un número reducido

de trabajadores y que registra ingresos moderados.

En República Dominicana las pequeñas empresas que poseen de

10-50 empleados y sus ventas anuales desde 1,000,000 de pesos

hasta los 7,000,000 de pesos.

Políticas de Seguridad de la información

Según Portantier (2011), es el documento que muestra el interés de la

gerencia por la seguridad de la información de su empresa. Debe estar

redactado en conjunto con la gerencia o, por lo menos, avalado por la

misma, y explicar cómo la seguridad informática se alinea con los

objetivos de la organización. No tiene que ser un documento extenso,

pero sí debe explicar, a grandes rasgos, qué es lo que la empresa espera

de la seguridad de su información y cuáles son los datos más importantes

a proteger. Por ejemplo: datos de clientes, proveedores, empleados, etc.

Análisis de Riesgo

Según Aguilera (2010), es analizar los riesgos de un sistema de

información requiere un proceso secuencial de análisis de activos,

sus vulnerabilidades, amenazas que existen, medidas de seguridad

existentes, impacto que causaría un determinado ataque sobre

cualquiera de los activos, objetivos de seguridad de la empresa y

selección de medidas de protección que cubran los objetivos.

El Plan de Gestión de Riesgos, según ISO/IEC 27001:2005.

Es un documento que define claramente cómo se va a actuar en el

control de los riesgos. Para ello deberemos identificar los recursos

necesarios para implantar los controles seleccionados y determinar

cómo se va a medir su eficacia. Este plan establece claramente los

recursos, las responsabilidades y las prioridades establecidas derivadas

de la evaluación de riesgos (ISO/IEC 27001:2005).

Auditoria de Seguridad de Sistemas de Información

Según Costas (2011), una auditoria de seguridad informática o

auditoria de seguridad de sistemas de información (SI) es el estudio

que comprende el análisis y gestión de sistema para identificar y

posteriormente corregir las diversas vulnerabilidades que pudieran

presentarse en una revisión exhaustiva de las estaciones de trabajo,

redes de comunicaciones o servidores.

MetodologíaDebido a que los datos que se recolectaron durante la investigación y se buscaron

de manera que puedan ser medibles, los resultados fueron expuestos en forma

numérica ya que así se pudo llevar a cabo el análisis estadístico, el enfoque

utilizado en nuestra investigación fue el cuantitativo, según Sampieri, (2006) el

enfoque cuantitativo parte de una visión objetiva del fenómeno a estudiar, en

dónde no se toma en cuenta la manera de pensar del investigador, para éste se

toman en cuanta estudios estadísticos hechos con anterioridad.

POBLACION Y MUESTRA

La población de este estudio la constituyen 703 empresas Pymes registradas en San

Francisco de Macorís, de acuerdo a datos suministrados por la administración local de la

Dirección General de Impuestos Internos (DGII) en la Provincia Duarte. Del total de

empresas Pymes de San Francisco de Macorís que cumplían con los requisitos para la

investigación se tomó como muestra unas 11 empresas, a las cuales se le aplicó el

instrumento de investigación, estas fueron las siguientes: 2 Supermercados, 1 Ferreterías, 2

Centros de Salud Privados, 2 entidades de Ahorros y Préstamos, 1 empresa Servicio de

Televisión por Cable, 1 empresa dedicada al desarrollo de Soluciones Informáticas, 1

empresa de Distribución de artículos al por mayor, 1 empresa destinada a la

comercialización y distribución de empaques flexibles.

TECNICAS E INSTRUMENTOS

La técnica utilizada en esta investigación fue el cuestionario tipo entrevista. El

cuestionario está compuesto de veintiuna (21) preguntas abiertas y de

selección múltiples que pretende determinar cómo las Pymes de San

Francisco de Macorís gestionan la seguridad de la tecnología de la

información (TI) en sus negocios. Estas preguntas están relacionadas con los

objetivos de esta investigación.

LIMITACIONES

Pocas facilidades para recolectar informaciones de algunas de

las empresas utilizadas al principio de la investigación.

DESCRIPCIÓN Y ANÁLISIS DE LOS RESULTADOS

En esta parte se presentaran los resultados obtenidos en la aplicación del cuestionario, para

evaluar la Gestión de la Seguridad de TI en las Medianas y Pequeñas Empresas, en San

Francisco de Macorís, periodo 2014. Estos resultados se presentan a través de tablas y graficas,

mediante el cual se puede observar el porcentaje y las respuestas gráficamente.

Se les preguntó a las Pymes a que se dedica la empresa, y estos fueron los resultados obtenidos:

Opciones Frecuencia Porcentaje

Supermercados 2 18%

Ferreterías 1 9%

Centros de Salud Privado 2 18%

Financieras, Ahorros y Prestamos 2 18%

Servicio TV por Cable 1 9%

Soluciones Informáticas 1 9%

Distribuidoras de Artículos 1 9%

Productos Desechables 1 9%

Total 11 100%

En la tabla anterior, el 18% de las empresas entrevistadas pertenece a supermercados,

el 9% pertenece a ferreterías, el 18% a empresas de centro de salud privados, el 18% a

empresas financieras y de ahorros y préstamos, el 9% a empresa de servicio de TV por

cable, el 9% a empresa de desarrollo de soluciones informáticas, el 9% a empresa

distribuidora de artículos masivos y el 9% a empresas de productos desechables.

Se les preguntó a las personas encargadas del área de tecnología de las Pymes como se vinculan los Recursos Tecnológicos Disponibles con las Operaciones del Negocio.


Ninguna 0 0%

Poca Vinculación 0 0%

Total Vinculación 11 100%

Total 11 100%

En la tabla anterior, el 100% de las empresas entrevistadas consideran que existe una total

vinculación de los recursos tecnológicos con las operaciones del negocio.

Se cuestiono sobre quienes Administran y Soportan los Recursos Tecnológicos (Personal Profesional de TI Interno o Externos).


Personal Interno 4 36%

Personal Externo 1 9%

Personal Mixto 6 55%

Ninguno 0 0%

Total 11 100%

En la tabla no. 3, el 36% de las empresas entrevistadas expresan que quienes administran y

soportan los recursos tecnológicos que ellos poseen es un personal interno, el 9% usan personal

externo y el 55% usan personal mixto.

Gráfico de quienes Administran y Soportan los Recursos Tecnológicos (Personal Profesional de TI Interno o Externos).

Se interrogo a los encargados del área de tecnología sobre la Dependencia que tiene la Empresa

de los Recursos Tecnológicos.


No depende 0 0%

Poca Dependencia 0 0%

40 a 60% Dependencia 2 18%

Muy Dependiente 4 36%

Total Dependencia 5 45%

Total 11 100%

En la tabla anterior, el 18% de las empresas entrevistadas consideran que tienen una dependencia de 40% a

60% de los recursos tecnológicos, el 36% la consideran muy dependiente y el 45% la consideran en total

dependencia.

Se les cuestiono a las Pymes con Relación a los Activos Generales de la Empresa, Qué porcentaje corresponde a Infraestructura Tecnológica.


Menos de 10% 1 9%

10% a 30% 2 18%

31% a 50% 3 27%

51% a 70% 4 36%

Más de un 70% 1 9%

Total 11 100%

En la tabla anterior, el 9% de las empresas entrevistadas consideran que con relación a sus activos generales

menos de un 10% corresponde a infraestructura tecnológica, el 18% consideran que están entre un 10% a 30%,

el 27% consideran que están entre un 31% a 50%, el 36% consideran que están entre un 51% a 70% y el 9%

consideran que es mas de un 70%.

Indagamos sobre si tiene o no la Empresa Planes de Inversión en Infraestructura Tecnológica,

los resultados fueron los siguientes:


Si 10 91%

No 1 9%

Total 11 100%

La tabla refleja que el 91% de las empresas entrevistadas consideran que si tienen planes de

inversión de infraestructura tecnológica y el 9% no consideran hacer inversión en infraestructura

tecnológica.

A las empresas entrevistadas cuestionamos sobre Qué Importancia le da la Alta Gerencia a los Recursos de Infraestructura Tecnológica, los resultados fueron los siguientes:


Ninguna 0 0%

Poca Importancia 0 0%

Importante 1 9%

Muy Importante 4 36%

Total Importancia 6 55%

Total 11 100%

En la tabla podemos notar que el 9% de la alta gerencia de las empresas entrevistadas consideran que

es importante los recursos de infraestructura tecnológica, el 36% consideran que es muy importante y el

55% consideran que tienen una total importancia.

En las empresas Pymes entrevistadas indagamos sobre Qué Importancia le da la Alta Gerencia a los Recursos de Humanos de TI, y los resultados fueron los siguientes:


Ninguna 0 0%

Poca Importancia 0 0%

Importante 3 27%


Total Importancia 4 36%

Total 11 100%

En la tabla se logra ver que el 27% de la alta gerencia de las empresas entrevistadas consideran que son

importantes los recursos humanos de TI, el 36% consideran que son muy importante y el 36% consideran que tienen

una total importancia.

Resultados obtenidos al aplicar la cuestionar a los ejecutivos de las Pymes sobre qué tipo de Información manejan los Recursos Tecnológicos de la Empresa.


Nada Importante 0 0%

Poco Importante 0 0%

Importante 0 0%


De Alta Importancia 9 82%

Total 11 100%

En la tabla anterior, el 18% de las empresas entrevistadas aseguran que el tipo de información que manejan sus

recursos tecnológicos es muy importante y el 82% la consideran de alta importancia.

Preguntamos a los directivos de las Pymes de si Invierte o no en Seguridad General la Empresa, y los resultados fueron los siguientes:


Si 11 100%

No 0 0%

Total 11 100%

En la tabla se observa que el 100% de las empresas entrevistadas expresaron que si invierten en seguridad en sentido general.

A continuación mostramos los resultados de la pregunta aplicada a los directivos de las Pymes de si Invierte o no en Seguridad de la Información la Empresa, estos fueron los siguientes:


Si 9 82%

No 2 18%

Total 11 100%

La tabla muestra que el 82% de las empresas entrevistadas expresaron que si invierten en seguridad de la

información y el 18% no invierten.

En la entrevista a los ejecutivos de las Pymes preguntamos de cómo Evalúa la Empresa los costos de los Recursos de Seguridad [Gastos o Inversión], y obtuvimos los siguientes resultados:


Gastos 0 0%

Inversión 10 91%

No Contestaron 1 9%

Total 11 100%

La tabla muestra que el 91% de las empresas entrevistadas expresaron que evalúan los costos de la seguridad como

inversión y el 9% no contestaron la pregunta.

Al indagar sobre si Tiene o no la Empresa Ideas del Nivel de Riesgo Tecnológico al que están expuestos, obtuvimos los siguientes resultados:


Si 10 91%

No 1 9%

Total 11 100%

En la tabla se muestra que el 91% de las empresas entrevistadas afirmaron que si tienen ideas del nivel de

riesgo tecnológico al que están expuestas y el 9% no tiene ideas del nivel de riesgo tecnológico al que están

expuestas.

Al cuestionar a los ejecutivos de las Pymes sobre si Tienen o no Estimado o Identificado el posible Impacto ante la Ocurrencia de un Evento de Seguridad de la Información, obtuvimos los siguientes resultados:


Si 6 55%

No 5 45%

Total 11 100%

En la tabla podemos observar que el 55% de las empresas entrevistadas si tienen estimado o identificado el posible

impacto ante la ocurrencia de un evento de la seguridad de la información y el 45% no tiene nada estimado ni

identificado.

En la investigación cuestionamos a los directivos de las Pymes sobre si Han Tenido o no Eventos de Seguridad de la Información, y los resultados fueron los siguientes:


Si 6 55%

No 4 36%

No Contestaron 1 9%

Total 11 100%

La tabla refleja que el 55% de las empresas entrevistadas si han tenido eventos de seguridad de la información, el

36% no ha tenido ningún evento y el 9% no contestaron la pregunta.

CONCLUSIONES Y

RECOMENDACIONES

Presentación Tesis Análisis de la Gestión de la Seguridad de TI

Technology

Transcript of Presentación Tesis Análisis de la Gestión de la Seguridad de TI