UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDESdspace.uniandes.edu.ec/bitstream/123456789/8990/1/... ·...

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES

“UNIANDES”

FACULTAD DE SISTEMAS MERCANTILES

CARRERA DE SISTEMAS

PROYECTO DE INVESTIGACIÓN PREVIO A LA OBTENCIÓN DEL

TITULO DE INGENIERO EN SISTEMAS E INFORMÁTICA

TEMA: PLAN INFORMÁTICO 2018 – 2022, BASADO EN LA NORMA

ISO/IEC 27032:2012 PARA MEJORAR LA CIBERSEGURIDAD DE LOS

RECURSOS TECNOLÓGICOS DE INFORMACIÓN Y COMUNICACIÓN

(TIC’S) EN LA UNIDAD EDUCATIVA ALFREDO PAREJA DIEZCANSECO

DE LA CIUDAD DE SANTO DOMINGO.

AUTOR: TIBAN LAGUA BRAYAN PAUL

TUTOR: DR. CAÑIZARES GALARZA FREDY PABLO, MG.

SANTO DOMINGO - ECUADOR

2018

APROBACIÓN DEL TUTOR DEL TRABAJO DE TITULACIÓN

CERTIFICACIÓN:

Quien suscribe, legalmente CERTIFICA QUE: El presente Trabajo de Titulación

realizado por el señor Brayan Paul Tiban Lagua, estudiante de la Carrera de

Sistemas, Facultad de Sistemas Mercantiles, con el tema “PLAN INFORMÁTICO

2018 – 2022, BASADO EN LA NORMA ISO/IEC 27032:2012 PARA

MEJORAR LA CIBERSEGURIDAD DE LOS RECURSOS

TECNOLÓGICOS DE INFORMACIÓN Y COMUNICACIÓN (TIC’S) EN

LA UNIDAD EDUCATIVA ALFREDO PAREJA DIEZCANSECO DE LA

CIUDAD DE SANTO DOMINGO”, ha sido prolijamente revisado, y cumple con

todos los requisitos establecidos en la normativa pertinente de la Universidad

Regional Autónoma de los Andes “UNIANDES”, por lo que apruebo su

presentación.

Santo Domingo, abril del 2018

_______________________________

Dr. Fredy Pablo Cañizares Galarza, Mg.

TUTOR

DECLARACIÓN DE AUTENTICIDAD

Yo, Brayan Paul Tiban Lagua, estudiante de la Carrera de Sistemas, Facultad de

Sistemas Mercantiles, declaro que todos los resultados obtenidos en el presente trabajo

de investigación, previo a la obtención del título de INGENIERO EN SISTEMAS E

INFORMÁTICA, son absolutamente originales, auténticos y personales; a excepción

de las citas, por lo que son de mi exclusiva responsabilidad.


_______________________________

Sr. Brayan Paul Tiban Lagua

CI. 2300380900

AUTOR

DERECHOS DE AUTOR

Yo, Brayan Paul Tiban Lagua, declaro que conozco y acepto la disposición constante

en el literal d) del Art. 85 del Estatuto de la Universidad Regional Autónoma de Los

Andes, que en su parte pertinente textualmente dice: El Patrimonio de la UNIANDES,

está constituido por: La propiedad intelectual sobre las Investigaciones, trabajos

científicos o técnicos, proyectos profesionales y consultaría que se realicen en la

Universidad o por cuenta de ella;


_______________________________

Sr. Brayan Paul Tiban Lagua

CI. 2300380900

AUTOR

CERTIFICACIÓN DEL LECTOR DEL TRABAJO DE TITULACIÓN

Yo, CARLOS ROBERTO SAMPEDRO GUAMÁN. En calidad de Lector del

Trabajo de Investigación.

CERTIFICO:

Que el presente trabajo de investigación realizado por el Señor BRAYAN PAUL

TIBAN LAGUA, sobre el tema: “PLAN INFORMÁTICO 2018 – 2022, BASADO

EN LA NORMA ISO/IEC 27032:2012 PARA MEJORAR LA

CIBERSEGURIDAD DE LOS RECURSOS TECNOLÓGICOS DE

INFORMACIÓN Y COMUNICACIÓN (TIC’S) EN LA UNIDAD EDUCATIVA

ALFREDO PAREJA DIEZCANSECO DE LA CIUDAD DE SANTO

DOMINGO”, ha sido cuidadosamente revisado por el suscrito, por lo que he podido

constatar que cumple con todos los requisitos de fondo y forma establecidos por la

Universidad Regional Autónoma de los Andes, para esta clase de trabajos, por lo que

autorizo su presentación.

Santo Domingo, junio del 2018

______________________________

Ing. Carlos Roberto Sampedro Guamán. Mgs.

LECTOR

DEDICATORIA

Este Proyecto de Investigación quiero dedicarlo a Dios, que es mi guía en todo

momento, siempre está a mi lado guiándome por el camino de la vida, fortaleciendo

cada uno de mis pasos día a día para salir adelante.

A mi madre Olga Lagua, por brindarme en todo momento el apoyo que necesito para

salir adelante y esos valores que me hacen único en mi forma de ser. A mi padre

Vicente Tiban, que siempre me ha dado esa fuerza, esa sabiduría para afrontar los

problemas de la vida.

A mi hermano y hermana, que siempre me apoyan y ayudan en todo el momento difícil

de mi vida.

BRAYAN PAUL TIBAN LAGUA

AGRADECIMIENTO

A mi familia que me dio su apoyo incondicional de manera permanente en todo lo que

anhelé y soñé.

A la Universidad Regional Autónoma de los Andes “UNIANDES”, que a través de sus

autoridades incentiva y apoya al aprendizaje académico a los que tienen el sueño de ser

profesionales.

A todos los docentes los cuales pasaron por mi vida estudiantil dándome su sabiduría y

consejos.

BRAYAN PAUL TIBAN LAGUA

RESUMEN

De acuerdo a lo investigado en la Unidad Educativa “Alfredo Pareja Diezcanseco” se

ha planteado resolver la deficiencia de seguridad en el Ciberespacio, siendo un plan

informático para mejorar la Ciberseguridad una de ellas, con el fin de proteger el activo

más valioso de cualquier institución “la información”.

Hoy en día la Institución Educativa no cuenta con ningún tipo de plan de seguridad

informática salvo sus consejos de uso de cada departamento o laboratorio que cuenta

con los recursos tecnológicos de información y comunicación (Tic). En el proceso de la

realización de la presente investigación se usó: entrevistas y encuestas tanto a los

administradores, docentes y alumnos con la finalidad de tener una muestra de las

falencias que tiene la institución en cuanto a Ciberseguridad, además se obtuvo

referencias bibliográficas en: libros, internet y otros medios de comunicación para su

familiarización en el presente tema.

En cuanto a los métodos de la investigación se ha orientado por el método analítico –

sistemático e inductivo - deductivo ya que permite conocer el origen del problema

partiendo de lo más general a lo específico para mejor compresión del tema y cada uno

de sus derivados.

La presente investigación se basa en la norma ISO/IEC 27032/2012 un nuevo estándar

que resguarda la información de riesgos existentes en el ciberespacio. Se ha optado para

la creación de políticas de seguridad y planes de contingencias capaces de ayudar en la

tarea de proteger de manera física y lógica los recursos informáticos de la Unidad

Educativa.

ABSTRACT

According to what has been researched in "Alfredo Pareja Diezcanseco" Educational

Unit, it has been proposed to solve the security deficiency in Cyberspace, being a

computerized plan to increase Cybersecurity one of them, in order to protect the most

valuable asset about any "Information" institution.

Nowadays, the Educational Institution without any type of computer security plan can

use its advice to use for each department or laboratory that has the technological

information and communication resources (Tic). In the process of carrying out the

present investigation, interviews and surveys were used to administrators, teachers and

students in order to have a sample about shortcomings that the institution has in terms

from cybersecurity. Bibliographic references were also obtained in: books, internet and

other means of communication for your familiarization in the present topic.

Regarding the methods of research has been guided by the analytical method -

systematic and inductive - deductive because it allows to know the problem origin from

the more general to specific for better understanding of the subject and each of its

derivatives.

The present investigation is based on ISO / IEC 27032/2012 a new standard that

safeguards the information of existing risks in cyberspace. We have opted for security

policies creation and contingency plans capable of helping in the mission of physically

and logically protecting the IT resources of the Educational Unit.

ÍNDICE GENERAL

APROBACIÓN DEL TUTOR DEL TRABAJO DE TITULACIÓN

DECLARACIÓN DE AUTENTICIDAD

DERECHOS DE AUTOR

CERTIFICACION DEL LECTOR DEL TRABAJO DE TITULACIÓN

DEDICATORIA

AGRADECIMIENTO

RESUMEN

ABSTRACT

ÍNDICE GENERAL

ÍNDICE DE TABLAS

ÍNDICE DE ILUSTRACIONES

ÍNDICE DE ANEXOS

INTRODUCCIÓN ............................................................................................................ 1

ACTUALIDAD E IMPORTANCIA ................................................................................ 1

MACRO-OBJETIVO DEL PLAN NACIONAL DE TELECOMUNICACIONES Y

TECNOLOGÍAS DE LA INFORMACIÓN DEL ECUADOR 2016-2021 ..................... 1

IMPORTANCIA DEL MACRO-OBJETIVO EN EL PLAN NACIONAL DE

TELECOMUNICACIONES Y TECNOLOGÍAS DE LA INFORMACIÓN DEL

ECUADOR 2016-2021 ..................................................................................................... 1

OBJETIVO DE MACRO-OBJETIVO EN EL PLAN NACIONAL DE


ECUADOR 2016-2021 ..................................................................................................... 1

POLÍTICA DEL MACRO-OBJETIVO EN EL PLAN NACIONAL DE


ECUADOR 2016-2021 ..................................................................................................... 2

DESCRIPCION DE LA ACTUALIDAD ........................................................................ 2

IMPORTANCIA DEL TEMA .......................................................................................... 3

PROBLEMA DE INVESTIGACIÓN .............................................................................. 3

FORMULACIÓN DEL PROBLEMA A INVESTIGAR ................................................. 3

OBJETIVOS DE INVESTIGACIÓN ............................................................................... 5

OBJETIVO GENERAL .................................................................................................... 5

OBJETIVOS ESPECÍFICOS ........................................................................................... 5

CAPÍTULO I. ................................................................................................................... 6

FUNDAMENTACIÓN TEÓRICA .................................................................................. 6

ANTECEDENTES DE LA INVESTIGACIÓN ............................................................... 6

ACTUALIDAD DEL OBJETO DE ESTUDIO DE LA INVESTIGACIÓN .................. 7

Definición Seguridad ........................................................................................................ 7

Definición de Informática ................................................................................................. 7

Seguridad Informática ....................................................................................................... 8

Tipos de seguridad ............................................................................................................ 9

Activa ................................................................................................................................ 9

Pasiva ................................................................................................................................ 9

Física ............................................................................................................................... 10

Lógica ............................................................................................................................. 10

Propiedades de un sistema de información seguro ......................................................... 11

Integridad ........................................................................................................................ 11

Confidencialidad ............................................................................................................. 11

Disponibilidad ................................................................................................................. 11

Sistemas de Información ................................................................................................. 12

Vulnerabilidad ................................................................................................................ 13

Riesgos ............................................................................................................................ 14

Internet ............................................................................................................................ 14

Historia ............................................................................................................................ 14

Definición ....................................................................................................................... 16

Ciberseguridad ................................................................................................................ 17

Definición ....................................................................................................................... 17

ISO/IEC 27032/2012 ...................................................................................................... 17

ACTUALIDAD ECUATORIANA DEL SECTOR DONDE DESARROLLA EL

PROYECTO ................................................................................................................... 18

CAPÍTULO II. ................................................................................................................ 21

DISEÑO METODOLÓGICO Y DIAGNÓSTICO ........................................................ 21

PARADIGMA Y TIPO DE INVESTIGACIÓN ............................................................ 21

Paradigma asumido ......................................................................................................... 21

Tipos de investigación .................................................................................................... 21

POBLACIÓN Y MUESTRA PROCEDIMIENTOS PARA LA BÚSQUEDA Y

PROCESAMIENTO DE LOS DATOS .......................................................................... 22

Población ........................................................................................................................ 22

Muestra ........................................................................................................................... 22

Plan de recolección de la información ............................................................................ 23

Métodos .......................................................................................................................... 23

RESULTADOS DEL DIAGNÓSTICO DE LA SITUACIÓN ACTUAL ..................... 26

RESUMEN DE LAS PRINCIPALES INSUFICIENCIAS DETECTADAS CON LA

APLICACIÓN DE LOS MÉTODOS. ............................................................................ 38

CAPÍTULO III ................................................................................................................ 39

PROPUESTA DE SOLUCIÓN AL PROBLEMA ......................................................... 39

ESQUEMA DE LA PROPUESTA................................................................................. 39

Nombre de la propuesta .................................................................................................. 39

Objetivo General ............................................................................................................. 39

Objetivos Específicos ..................................................................................................... 39

Elementos que la conforman ........................................................................................... 40

Justificación de la propuesta ........................................................................................... 41

APLICACIÓN PRÁCTICA PARCIAL O TOTAL DE LA PROPUESTA ................... 41

Estado de situación actual de la institución .................................................................... 41

Organigrama institucional ............................................................................................... 42

Funciones de las partes interesadas en el ciberespacio ................................................... 43

Activos en el ciberespacio. ............................................................................................. 46

Amenazas en el ciberespacio. ......................................................................................... 48

Vulnerabilidades en el ciberespacio ............................................................................... 50

Análisis FODA ............................................................................................................... 53

Creación de Documentación Regulatoria. ...................................................................... 54

CONCLUSIONES Y RECOMENDACIONES ............................................................. 98

CONCLUSIONES .......................................................................................................... 98

RECOMENDACIONES ................................................................................................. 99

BIBLIOGRAFÍA

ANEXOS

ÍNDICE DE TABLAS

Tabla 1 Población ........................................................................................................... 22

Tabla 2 Muestra de resultados ........................................................................................ 26








Tabla 10 Muestra de resultados ...................................................................................... 34

Tabla 11 Muestra de resultados ...................................................................................... 35

Tabla 12 Funciones de las partes interesadas ................................................................. 43

Tabla 13 Activos en el ciberespacio ............................................................................... 47

Tabla 14 Amenazas en el ciberespacio ........................................................................... 49

Tabla 15 Vulnerabilidades en el ciberespacio ................................................................ 50

Tabla 16 Administración de red ...................................................................................... 74

Tabla 17 Administrador de software .............................................................................. 75

Tabla 18 Copia de seguridad .......................................................................................... 77

Tabla 19 Instalaciones de equipos .................................................................................. 78

Tabla 20 Baja de equipos de cómputo ............................................................................ 80

Tabla 21 Mantenimiento de equipos ............................................................................... 82

Tabla 22 Asignación y cambio de computadoras ........................................................... 84

Tabla 23 Elaboración del presupuesto ............................................................................ 94

ÍNDICE DE ILUSTRACIONES

Ilustración 1 Diagrama Causa Efecto ............................................................................... 4

Ilustración 2 Muestra de resultados ................................................................................ 26

Ilustración 3Muestra de resultados ................................................................................. 27







Ilustración 10 Muestra de resultados .............................................................................. 34

Ilustración 11 Muestra de resultados .............................................................................. 35

Ilustración 12 Elementos que la conforman ................................................................... 40

Ilustración 13 Organigrama de la institución .................................................................. 42

Ilustración 14 Análisis Foda ........................................................................................... 53

ÍNDICE DE ANEXOS

Anexo 1. Lugar donde se diseñó el Proyecto de Investigación.

Anexo 2. Banco de preguntas

Anexo 3. Encuesta dirigida al Rector de la Unidad Educativa

Anexo 4. Evidencia de las entrevistas y encuestas

Anexo 5. Formato de registro de inventarios de equipos de cómputo

Anexo 6. Formato para uso de laboratorio

Anexo 7. Reporte de daño de equipo

Anexo 8. Solicitud para instalación de software

Anexo 9. Perfil del Proyecto de Investigación

Anexo 10. Cotización sistema de alarma

Anexo 11. Cronograma de Actividades

Anexo 12. Registro de inventarios preventivo de equipos

Anexo 13. Carta para la aceptación del Proyecto de Investigación

Anexo 14. Respuesta de la carta de aceptación del Proyecto de Investigación

Anexo 15. Aprobación del Perfil del Proyecto de Investigación

1

INTRODUCCIÓN

ACTUALIDAD E IMPORTANCIA

De acuerdo a la investigación realizada se llegó a la conclusión que en el Plan Nacional

de Desarrollo 2017-2021 ninguno de los objetivos que lo conforman tiene relación al

tema propuesto, por lo cual se ha hecho uso del Plan Nacional de Telecomunicaciones y

Tecnologías de la Información del Ecuador 2016-2021 el cual dispone de un objetivo

acorde al tema que se ha propuesto.

MACRO-OBJETIVO DEL PLAN NACIONAL DE TELECOMUNICACIONES

Y TECNOLOGÍAS DE LA INFORMACIÓN DEL ECUADOR 2016-2021

3.4. Macro-Objetivo 3. Asegurar el uso de las TIC para el desarrollo económico y

social del país.

IMPORTANCIA DEL MACRO-OBJETIVO EN EL PLAN NACIONAL DE


ECUADOR 2016-2021

3.4.1. Importancia de asegurar el uso de las TIC para el desarrollo económico y social

del país.

En el ámbito social, la incorporación de TIC en sectores como salud, educación o

justicia, permite aumentar la eficiencia en la provisión de estos servicios reduciendo el

gasto público, mejorar la calidad de los servicios utilizando análisis de datos (analytics)

que permiten generar conocimientos (insights) clave, y por último brindar una mejor

experiencia al cliente a través del uso de herramientas digitales.

El macro-objetivo 3 contempla varios objetivos de los cuales el que tiene relación con

el tema es el siguiente:

OBJETIVO DE MACRO-OBJETIVO EN EL PLAN NACIONAL DE


ECUADOR 2016-2021

3.4.1.2. Potenciar el desempeño de los procesos digitalizados del sector público de alto

impacto social (educación, salud, justicia y seguridad).

Este objetivo es importante para el Ecuador, ya que los sectores de salud, educación y

justicia están directamente relacionados con el bienestar de las personas. Como se

puede, estos tres son los sectores donde la digitalización de procesos tiene el mayor

2

potencial de generación de valor. La digitalización de procesos le permite a los sectores

públicos alcanzar un mayor grado de eficiencia, ampliar su cobertura y mejorar sus

sistemas de comunicación, fomenta el desarrollo de conocimiento y disminuye el

impacto negativo sobre el medio ambiente. A continuación se analizan estos beneficios

en detalle.

Conocimiento

El uso de sistemas digitales que almacenan la información de las interacciones con los

usuarios genera grandes cantidades de datos. Su análisis permite identificar patrones y

facilita la investigación y la generación de conocimiento. La creación de plataformas

que agrupan recursos aportados por los usuarios permite acelerar el aprendizaje y la

adopción de las mejores prácticas.

POLÍTICA DEL MACRO-OBJETIVO EN EL PLAN NACIONAL DE


ECUADOR 2016-2021

3.4.2. Política sectorial Nro. 3

Favorecer la apropiación de las TIC en la población y en los sectores productivos, como

herramienta de desarrollo económico y de acercamiento de las instituciones del Estado

a la población.

DESCRIPCION DE LA ACTUALIDAD

Hoy en día el incremento de nuevas tecnologías de información para el mejor desarrollo

del aprendizaje en las entidades educativas, ha logrado grandes beneficios en la

juventud para su conocimiento además de ser una herramienta importante para el

desenvolvimiento de las partes administrativas de las mismas.

En el Ecuador aunque exista varias formas de control y seguridad de los equipos

informáticos ante el incremento del uso descomunal del internet, no seda mayor

importancia a la Ciberseguridad la cual se introduce más allá de la seguridad física sino

a la red en general para así hacer uso de los beneficios de las tecnologías de

información, para reducir gastos y mejorar los tiempos de uso en la población

educativa.

3

IMPORTANCIA DEL TEMA

La realización de un plan informático 2018 – 2022, basado en la norma ISO/IEC

27032:2012, permite mejorar la Ciberseguridad de los recursos de información y

comunicación mediante procesos previamente planteados para resguardad la integridad

y confidencialidad de los usuarios que interactúen en el gran mundo del internet

muchos riesgos están totalmente fuera del control en muchos Unidades Educativas. Es

por eso que normas que rigen la seguridad de los recursos tecnológicos de información

y comunicación siempre es importante.

PROBLEMA DE INVESTIGACIÓN

La Unidad Educativa “ALFREDO PAREJA DIEZCANSECO” es uno de los primeros

establecimientos en darle conocimiento a la juventud santodomingueña en mucho de los

ámbitos académicos una de ellas en el área tecnológica. Sus funciones como Unidad

Educativa la realizan en su establecimiento ubicada en la Av. Abraham Calazacón entre

la primera y tercera etapa de Los Rosales, en las visitas realizadas a la institución se ha

podido observar en el departamento técnico (laboratorios de computación) que los

usuarios (estudiantes, docentes y rectorado) de la entidad al no tener el debido control

para la seguridad en redes del internet de los recursos tecnológicos, las principales

deficiencia se podrá determinar a continuación:

Bajo control de la Ciberseguridad de los equipos informáticos.

Inexistencia de procedimientos para la accesibilidad a la red.

Alto grado de perdida de información por descargas realizadas en el internet.

Inexistencia de políticas de seguridad relacionadas a la Ciberseguridad.

Alto grado de vulnerabilidad en la seguridad de los equipos.

FORMULACIÓN DEL PROBLEMA A INVESTIGAR

¿Cómo mejorar la Ciberseguridad de los Recursos Tecnológicos de Información y

Comunicación (TIC’S) en la Unidad Educativa Alfredo Pareja Diezcanseco de la

ciudad de Santo Domingo?

4

DIAGRAMA CAUSA – EFECTO

Ilustración 1 Diagrama Causa Efecto

Autor: Brayan Tiban

Fuente: La investigación

5

OBJETIVOS DE INVESTIGACIÓN

OBJETIVO GENERAL

Desarrollar un Plan Informático 2018 -2022, basado en la norma ISO/IEC 27032:2012

para mejorar la Ciberseguridad de los recursos tecnológicos de información y

comunicación (TIC´S) en la Unidad Educativa Alfredo Pareja Diezcanseco de la ciudad

de Santo Domingo.

OBJETIVOS ESPECÍFICOS

Fundamentar bibliográficamente la parte teórica referente a la norma ISO/IEC

27032:2012, Ciberseguridad, políticas de seguridad, planes de contingencia etc.

Realizar investigación de campo para conocer las deficiencias de la

Ciberseguridad, en la cual permita identificar el problema mediante análisis en el

establecimiento.

Desarrollar un Plan informático para mejorar la Ciberseguridad con la finalidad

de crear una cultura de seguridad informática en la Unidad Educativa “Alfredo

Pareja Diezcanseco” de la ciudad de Santo Domingo.

6

CAPÍTULO I.

FUNDAMENTACIÓN TEÓRICA

ANTECEDENTES DE LA INVESTIGACIÓN

La investigación a realizarse es referente a un Plan informático 2018 – 2022, basado en

la norma ISO/IEC 27032:2012 para mejorar la Ciberseguridad, tiene en cuenta la

seguridad de los recursos Tecnológicos de Información y Comunicación (TIC), tiene un

enfoque el abordar la seguridad del Ciberespacio o cuestiones de Ciberseguridad que se

concentran en tender puentes entre los diferentes vacíos del Ciberespacio. En particular,

esta norma proporciona una guía técnica para abordar riesgos de Ciberseguridad

comunes.

Al realizar una investigación en el Centro de Documentación e Investigación Científica

“CDIC” de UNIANDES, no se ha encontrado un plan informático similar a la ISO/IEC

27032/2012, pero si algunos que se enfocan a lo que se desea plantear en los que se

puede destacar los siguientes:

El autor Ing. Guallpa Zatán Luis Gustavo de la Universidad Regional Autónoma de los

Andes “Uniandes” en la matriz Ambato, realizo un plan de seguridad informática

basada en la norma ISO 27002 para el control de accesos indebidos a la red de

Uniandes Puyo, para La seguridad informática enfocada a la protección de los bienes

informáticos de toda organización, siendo la red interna de datos una parte fundamental

para la preservación de la información. (Guallpa Luis, 2017)

En su proyecto de examen complexivo el autor Johnny Justin Silva Parra con el tema

Los derechos humanos de los niños, niñas, adolescentes y adultos frente a la

cibercriminalidad de los delitos del (ciberacoso o ciberbullyng, grooming y el phishing)

de la Universidad

Regional Autónoma de los Andes “Uniandes” en la extensión Quevedo, en la cual

considera la necesidad de controlar y prever por qué tantos delitos informáticos que

existen en el ecuador de manera radical se puede controlar un poco más el eufemismo

de las redes sociales. (Silva Justin, 2017)

7

ACTUALIDAD DEL OBJETO DE ESTUDIO DE LA INVESTIGACIÓN

Definición Seguridad

“La palabra seguridad tiene muchos connotaciones y significados, pero conllevan un

fondo unitario para todas ellas. Siempre ha destacado el hombre su lucha permanente

para obtener Cotas satisfactorias de seguridad personal, tanto en los aspectos tangibles

como intangibles. La seguridad es un estado o situación del ser humano y su entorno es

variable desde el punto de vista subjetivo, De ahí los diferentes criterios a la hora de

adoptar medias que nos deben conducir al objetivo”. (Adolofo Rodeller, 1988, pág. 22)

“La connotación habitual de seguridad es la de estar libre de peligro o en términos más

amplios, de acuerdo con el diccionario Webster, libre de ansiedad, preocupaciones o

temor. Su significado en el debate público y en la investigación social depende del

adjetivo que lo modifique. Así, hablar de “seguridad personal” implica estar libre de

temor al asalto; de “seguridad alimentaria”, estar a salvo de temor de asalto

malnutrición o inanición; y de “seguridad económica” no tener preocupaciones por el

bienestar económico individual o colectivo”. (Quezada & Bruce, 2002, pág. 44)

La seguridad tiene que ver con el hecho de permanecer con la tranquilidad sin

preocupaciones, aunque exista diversos tipos de seguridad lo que realmente conlleva el

concepto es la “seguridad personal” de ahí abarca todo lo demás.

Definición de Informática

“La informática es entendida por otros especialistas como una ciencia encargada del

estudio y desarrollo de máquinas para tratar y trasmitir información, así como, de los

métodos para procesarlas. Aunque también podríamos decir de ella que es un conjunto

de conocimientos, tanto teóricos como prácticos, sobre cómo se construyen, como

funcionan y como se utilizan los ordenadores (computers o computadoras)

electrónicos”. (Pablos, López, Romo, & Medina, 2004, pág. 14)

“La informática es el conjunto de conocimientos que actualmente tenemos respecto un

artilugio tecnológico al que llamamos ordenador. En la historia de los grandes hallazgos

técnicos de la humanidad el ordenador es un invento relativamente reciente. Estamos

hablando de un invento de hacia mediados del siglo xx, es decir, de hace poco más de

unos cincuenta años. Pero a pesar de su juventud el conjunto de conocimientos nos

8

referimos a conceptos como ciencias, tecnología, negocio e implicaciones de todo tipo

para el individuo y la sociedad, como son los aspectos orgánicos, étnicos y políticos,

por ejemplo, podemos decir que en torno al ordenador se ha construido un entretejido

de conocimientos que, según los teóricos de la técnica, constituyen lo que ellos un

sistema técnico”. (Pablos, López, Romo, & Medina, 2004, pág. 23)

Con referencia a los dos autores la informática es una disciplina que aborda la teoría y

la práctica se necesita pensar en términos abstractos y en términos específicos. La

parte práctica de la computación puede observarse por todas partes. Actualmente, todo

el mundo es usuario de un pc, ya además muchas personas han hecho de la informática

un estilo de vida.

Seguridad Informática

“Preservar la información y la integridad de un sistema informático es algo muy

importante para una empresa u organización, por lo que en pérdidas económicas y de

tiempo podría suponer, sin olvidarnos del peligro que podría acarrear el acceso al

sistema de un usuario no autorizado. Igualmente, es también importante para un usuario

que emplee su ordenador en el ámbito doméstico, por lo que le podría suponer el perder

documentos o fotos personales, sin olvidarnos del inconveniente que supondría el no

poder disponer de su equipo durante tiempo determinado o el coste de intentar la

información perdida” (Alfonso, Cervigón, & María, 2011, pág. 2)

“La seguridad informática engloba el conjunto de técnicas y procedimientos que

garantizan:

La disponibilidad de la información.

La operatividad del sistema en todo momento, evitándose las pérdidas de datos

y la imposibilidad de procesarlos.

La integridad del sistema.

Que la información utilizada sea la última, exacta, autorizada y completa (para

ello se evitaran las modificaciones no requeridas y los errores).

La privacidad y confidencialidad de los datos.

9

Que cada persona accederá únicamente a la información que le corresponde, y la

manipulará según restricciones preestablecidas”. (Fernando, Manuel, Juan, &

José, 2004, pág. 488)

Según lo investigado la seguridad informática es el proceso de prevenir y detectar el

uso no autorizado de un sistema informático. Esto también conlleva al proceso de

proteger contra intrusos el uso de nuestros recursos informáticos con intenciones

maliciosas o con intención de obtener algún beneficio económico, o incluso la

posibilidad de acceder a ellos por accidente.

Tipos de seguridad

Activa

Esta tiene relación con las defensas o medidas cuya meta es evadir o simplificar los

riesgos que amenazan al sistema.

“Ejemplo impedir el acceso a la información a usuarios no autorizados mediante

introducción de nombres de usuario y contraseñas; evitar la entrada de virus instalando

un antivirus; impedir, mediante encriptación, la lectura no autorizada de mensajes”.

(Purificación, 2010)

Pasiva

“Está formada por las medidas que se implantan para, una vez producido el incidente de

seguridad, minimizar su repercusión y facilitar la recuperación del sistema, por

ejemplo, teniendo siempre al día copias de seguridad de los datos”. (Purificación,

2010, pág. 10)

Referente a los temas citados del autor queda claro que los dos tipos de seguridad

tienen como objetivo la protección del equipo mencionando que la activa busca evadir

el riesgo en el cual se encuentra por otra parte, la seguridad pasiva actúa una vez se

ha producido el incidente.

10

Física

Según los autores (Alfonso, Cervigón, & María, 2011), “Se utiliza para proteger el

sistema informático utilizando barreras físicas y mecanismos de control. Se emplea

para proteger físicamente el sistema informático.”

Las amenazas físicas se pueden producir provocadas por el hombre, de forma

accidental o voluntaria, o bien por factores naturales. (pág. 6)

Dentro de las provocadas por el ser humano, encontramos amenazas de tipo:

Accidentales, como borrado accidental, olvido de la clave.

Deliberadas: como robo de la clave, borrado deliberado de la información, robo

de datos confidenciales”.

Lógica

“La seguridad lógica se encarga de asegurar la parte del software de un sistema

informático, que se compone de todo lo que no es físico, es decir, los programas y los

datos.

La seguridad lógica se encarga de controlar que el acceso al sistema informático, desde

el punto de vista software, se realice correctamente y por usuarios autorizados, ya sea

dentro del Sistema informático, como desde fuera, es decir, desde una red externa,

usando una VPN (Protocolos PPP, PPTP.), la web (protocolos http, htpps), trasmisión

de ficheros(ftp), conexión remota (ssh, telnet)”. (Alfonso, Cervigón, & María, 2011,

pág. 8)

Tomando en cuenta las dos referencias planteadas en la presente investigación se

afirma que la seguridad física es todo aquello que ayuda a la seguridad de los equipos

por medio de métodos previamente planteados es decir de forma en la que se pueda

proteger de manera personalizada estas pueden ser provocadas por la misma persona

o por razones naturales mientras que la seguridad lógica busca la protección de los

equipo por medio de métodos intangibles o por software que ayuden al equipo su

funcionamiento correcto.

11

Propiedades de un sistema de información seguro

Para mantener un verdadero sistema seguro se debe cumplir obligatoriamente con las

tres propiedades fundamentales. Cada una de estos requisitos conlleva a la mejora

constante de la seguridad informática.

Integridad

Según (Purificación, 2010) “Este principio garantiza la autenticidad y precisión de la

información sin importar el momento en que esta se solicita, o, dicho de otra manera,

una garantía de que los datos no han sido alterados ni destruidos de modo no autorizado

para evadir este tipo de riesgo se deben dotar al sistema de mecanismos que prevengan

y detecten cuando se produce un fallo de integridad y que puedan tratar y resolver los

errores que se han descubierto” (pág. 10)

Confidencialidad

“La OCDE (Organización para la Cooperación y el Desarrollo Económico), en sus

directrices para la seguridad de los sistemas de información define la confidencialidad

como “el hecho de que los datos o informaciones estén únicamente al alcance del

conocimiento de las personas, entidades o mecanismos autorizados, en los momentos

autorizados y de una manera autorizada.”

Para prevenir errores de confidencialidad debe diseñar un control de acceso al sistema:

quien pueda acceder, a que parte del sistema, en que momento y para realizar qué tipo

de operaciones” (Purificación, 2010, pág.11)

Disponibilidad

“La información ha de estar disponible para los usuarios autorizados cuando la

necesiten.

El programa MAGERIT define la disponibilidad como “grado en el que un dato está en

el lugar, momento y forma en que es requerido por el usuario autorizado. Situación que

se produce cuando se puede acceder a un sistema de información en un periodo de

tiempo considerado aceptable. La disponibilidad está asociada a la fiabilidad técnica de

los componentes del sistema de información.” (Purificación, 2010, pág. 11)

12

Las propiedades que le da la razón a seguridad informática son la Integridad,

confidencialidad y disponibilidad, ya que plantea normas y reglas para que el sistema

sea seguro y fiable. Cuando hablamos de integridad quiere decir que se garantiza la

autenticidad de la información que se maneja. La confidencialidad por otro lado es la

que va destinada a una o a varias personas en concreto por último la disponibilidad es

la que siempre debe estar disponible para el usuario cuando sea necesario.

Sistemas de Información

“Se define como el conjunto formal de procesos que, operando sobre la colección de

datos estructurada, de acuerdo con la necesidad de la empresa, recopila, elabora y

destruye parte de la información necesaria para la operación de dicha empresa y para las

actividades de dirección y control, apoyando en parte los procesos de decisión

necesarios para desempeñar las funciones de negocio de la empresa de acuerdo a su

estrategia” (Alberto & Nicolás, 1997, pág. 12)

Conjunto coordinado de contenidos y servicios, basados en tecnologías y en la red, que

una organización pone a disposición de sus stakeholders (persona con interés en la

misma) internos y externos, para facilitarles la producción y el consumo de conjuntos

estructurados y selectos de datos, orientado a convertirse en información de valor para

la actividad de la organización. (Josep, 2013)

Los sistemas de información permiten manejar la información ya sea almacenada,

procesada, distribuida, y de esa forma apoyar en la toma de decisiones, siendo así el

núcleo de la empresa para llevar los resultados de forma rápida y en un mínimo

margen de error.

Amenazas

“Se puede definir como amenaza a todo elemento o acción capaz de atentar contra la

seguridad de la información.

Las amenazas surgen a partir de la existencia de vulnerabilidades, es decir que una

amenaza sólo puede existir si existe una vulnerabilidad que pueda ser aprovechada, e

independientemente de que se comprometa o no la seguridad de un sistema de

información.

13

Diversas situaciones, tales como el incremento y el perfeccionamiento de las técnicas

de ingeniería social, la falta de capacitación y concientización a los usuarios en el uso

de la tecnología, y sobre todo la creciente rentabilidad de los ataques, han provocado en

los últimos años el aumento de amenazas intencionales.” (Purificación, 2010)

“Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o acción que

puede producir un daño (material o inmaterial) sobre los elementos de un sistema, en el

caso de la Seguridad Informática, los Elementos de Información. Debido a que la

Seguridad Informática tiene como propósitos de garantizar la confidencialidad,

integridad, disponibilidad y autenticidad de los datos e informaciones, las amenazas y

los consecuentes daños que puede causar un evento exitoso, también hay que ver en

relación con la confidencialidad, integridad, disponibilidad y autenticidad de los datos e

informaciones”. (Baca, 2016)

Según los dos autores definen a una amenaza informática todo aquello que causa un

daño temporal o permanente al equipo por medio de distintos factores que ponen en

riesgo la información

Vulnerabilidad

“Una vulnerabilidad es un estado de insuficiencia en un sistema informático (o conjunto

de sistemas) que permite la materialización de una amenaza afectando las propiedades

de disponibilidad, confidencialidad, integridad, autenticidad, trazabilidad o no-repudio”.

(Medina, 2014, pág. 12)

“Para proteger los sistemas informáticos de las amenazas actuales los administradores

de TI (Tecnología de la información) deben evaluar la posibilidad de implementar una

estrategia integral este tipo de estrategia se centra en eliminar factores que aumentan el

riesgo e incorporar controles para reducirlo. No importa cuán buenos sean el software,

el hardware, los procesos y el personal, los piratas informáticos pueden encontrar

siempre una vía para traspasar un único nivel de protección. El modelo de seguridad de

defensa integral protege los activos clave mediante el uso de varios niveles de

seguridad.

Contar con varios niveles de seguridad en el sistema obliga al pirata informático a

incrementar sus esfuerzos para penetrar en un sistema de información, lo que reduce la

14

exposición a riesgos globales y la probabilidad de estar en peligro” (Illescas & D, 2014,

pág. 36)

Una vulnerabilidad con respectos al autor citado quiere decir que es una debilidad del

sistema informático muchas veces utilizado para causar un daño temporal o

permanente. Las debilidades pueden ser adquiridas en cualquiera de los elementos de

una computadora, tanto en el hardware, el sistema operativo, cómo en el software.

Riesgos

“En términos generales, el riesgo se define como la posibilidad de que no se obtengan

los resultados deseados. En informática, las empresas nunca desean sufrir un ataque

externo o interno a sus sistemas de información, pero los ataques siempre suceden, de

manera que esa posibilidad o probabilidad se materializa. La empresa siempre está

amenazada de sufrir algún daño en su sistema informático, daño que puede provocar

pérdidas de muchos tipos, y las amenazas son mayores cuando los sistemas

informáticos presentan ciertos puntos débiles llamados “vulnerabilidades”, de manera

que se tiene mayor o menor riesgo dependiendo de la cantidad y numero de

vulnerabilidades que se tengan”. (Baca, 2016, pág.23)

Por otro lado, el autor (Álvaro, 2014) menciona que el riesgo “es la probabilidad de que

una amenaza se materialice sobre una vulnerabilidad del sistema informático, causando

un determinado impacto en la organización”

Los dos autores citados concuerdan que un riesgo es una estancia provocado por

vulnerabilidades previas ya que para que exista el riesgo informático de cualquier tipo

los piratas informáticos buscan las falencias de cualquier institución pública o privada.

Internet

Historia

“Todo empezó en 1957 cuando lo que antes era la Unión Soviética envió al espacio el

primer satélite, llamado Sputnik. Esa superioridad tecnológica despertó los temores de

los norteamericanos: ¡el enemigo de la “guerra fría” se había adelantado en la carrera

espacial! Las alarmas empezaron a sonar en el Pentágono. La RAND Corporation,

fábrica de ideas número uno durante la guerra fría, tuvo que vérselas ante un insólito

15

problema estratégico. ¿Cómo podía el gobierno de Estados Unidos llevar a cabo con

éxito las comunicaciones en caso de un ataque nuclear? Un centro informático con los

ordenadores de alta tecnología de la época no estaba lo bastante bien protegido y las

líneas podrían ser destruidas durante un ataque nuclear.

Los trabajadores de RAND estuvieron ideando toda serie de soluciones hasta encontrar

la clave; en primer lugar, ninguna red debía tener una autoridad central. Es decir, no

debía haber ningún centro informático que moviera los hilos. El nuevo tipo de red,

según la concepción RAND, debía ser operativo aun en caso de destrucción. El

principio era muy sencillo: cada ordenador de la red repartida por Estados Unidos debía

tener el mismo status a la hora de enviar, reproducir y recibir mensajes.” (Lackerbauer,

2000, pág. 13)

Por otro lado, el autor (Guzmayán, 2004) menciona: “Los orígenes de Internet hay que

situarlos en ARPANET, una red de ordenadores establecidos por ARPA en septiembre

de 1969. El departamento de Defensa de Estados Unidos fundo esta agencia de

proyectos de investigación Avanzada (Advanced Research Projects Agency) en 1958

para movilizar recursos procedentes del mundo universitario principalmente, a fin de

alcanzar la superioridad tecnológica militar sobre la Unión Soviética, que acababa de

lanzar su primer Sputnik en 1957. ARPANET era una proforma menor surgido de uno

de los departamentos de agencia ARPA la denominación de Oficina de Técnicas de

Procesamiento de Información (IPTO: Information Processing Enchiques Office),

fundada en 1962, sobre la base de una unidad preexistente. El objeto de este

departamento, según definición de su primer director. Joseph Licklider, un psicólogo

reconvertido en informático en MIT era estimular la investigación en el campo de la

informática interactiva. La construcción de ARPANET se justificó como un medio de

compartir el tiempo de computación online de los ordenadores entre varios centros de

informática y grupos de investigación de la agencia. Para establecer una red informática

interactiva, IPTO se basó en una revolucionaria tecnología de transmisión de

telecomunicaciones, la comunicación de paquetes (packet switching), desarrollada de

manera independiente por Paul Baran en Rand Corporation (un think californiano,

colaborador asiduo del Pentágono) y por Donald Davies, en el laboratorio Nacional de

Física (National Physical Laboratory) de Gran Bretaña. El diseño de una red de

comunicaciones flexible y descentralizada era una propuesta de la Rad Corporation al

16

departamento de Defensa para construir un sistema de comunicaciones militar, capaz de

sobrevivir a un ataque nuclear, aunque este, en realidad, no fue nunca el objetivo que se

esconde tras la creación de ARPANET. IPTO uso esta tecnología de conmutación de

paquetes en el diseño de ARPANET. En 1969, los primeros nodos de la red se

encontraban en la Universidad de California en Ángeles, el SRI (Stanford Research

Institute), La Universidad de California en Santa Bárbara y la Universidad de Utah. En

1971 había, en total, quince nodos, la mayor parte de los cuales eran centros de

investigación universitarios.” (pág. 21, 22)

Aunque el primero autor nos dice que el origen del internet se crea por los soviéticos al

mandar un satélite llamado Sputnik, esto despertó los temores de los norteamericanos.

En plena guerra fría, Estados Unidos elabora una red exclusivamente militar, con el

objetivo de que, en el hipotético caso de un ataque ruso, se pudiera tener acceso a la

información militar desde cualquier punto del país.

Definición

“Internet es la Red de redes. Nace como un experimento del Ministerio de Defensa

americano, pero su mayor difusión se da en el ámbito científico. Se conoce

popularmente “la superautopista de la información” porque un usuario, desde su PC,

tiene acceso a la mayor fuente de información que existe. Desde el punto de vista

técnico es un conjunto de redes de ordenadores interconectados. Cada red mantiene su

independencia u se una cooperativamente al resto, respetando una serie de normas de

interconexión. La familia de protocolos TCP/IP es la encargada de aglutinar esta

diversidad de redes. En cuanto al funcionamiento interno, Internet no se ajusta a ningún

tipo de ordenador, tipo de red, tecnología de conexión o medios físicos empleados.

Tampoco no tiene una autoridad central, es descentralizada”. (Guzmayán, 2004)

“Internet es el conjunto de redes: redes de ordenadores y equipos físicamente unidos

mediante cables que conectan puntos de todo el mundo. Estos cables se presentan de

muchas formas, desde cables de red local (varias máquinas conectadas en una oficina o

campus) a cables telefónicos convencionales, digitales y canales de fibra óptica que

forman las “carreteras” principales. Esta gigantesca red se difumina en ocasiones

porque los datos pueden transmitirse vía satélite o a través de servicios como la

17

telefonía celular, o bien porque no se sepa con exactitud dónde está conectada”.

(Carmona, 2012)

El internet es una autopista en el que circula millones y millones de información

mediante cables que unen a todo el mundo, a pesar de ser una herramienta muy útil es

unos de los inventos más recientes en la humanidad cualquier persona puede acceder a

ella ya que no tiene autoridad central en otras palabras es descentralizada.

Ciberseguridad

Definición

Es la protección de los servicios e infraestructura criticas frente a cualquier irrupción,

así como la protección de la información contra accesos no autorizados. La privacidad

es el derecho que todo individuo tiene a controlar el acceso a su información personal y

el uso de la misma. La normativa sobre privacidad funciona en aquellas circunstancias

en las que las empresas y los individuos acatan el estado de derecho. La normativa y

acciones necesarias para proteger la privacidad no son adecuadas para la

ciberseguridad, pues no se ocupan de la protección de las infraestructuras críticas ni de

la existencia de agentes maliciosos. De manera similar, el hecho de que las redes sean

seguras no implica una adecuada protección de la privacidad. (Telefónica, 2012, pág.

52)

Es el conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de

seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas

idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la

organización y los usuarios en el ciberentorno.

ISO/IEC 27032/2012

ISO es una entidad enfocada al desarrollo de normas internacionales que permiten un

uso común de todo tipo de herramientas. Su participación en Internet es fundamental,

sobre todo en el campo de la seguridad. Disponer de estándares que garanticen la

calidad y protección de operaciones y actividades online es una forma de mejorar la

seguridad, por lo que los desarrollos y actividades de ISO son fundamentales.

18

Con esos objetivos, ISO ha presentado un nuevo estándar para mejorar la seguridad

online. En concreto, desde la organización han explicado que actualmente el

“ciberespacio es un entorno complejo que consta de interacciones entre personas,

software y servicios destinados a la distribución mundial de información y

comunicación”. Se trata de un contexto muy grande en el que “la colaboración es

esencial para garantizar un entorno seguro”. (Carmona, 2012)

Para intentar cubrir lagunas de otros estándares ha nacido ISO/IEC 27032, según

explican desde ISO. Se trata de un estándar que garantiza directrices de seguridad que

desde la organización han asegurado que “proporcionará una colaboración general entre

las múltiples partes interesadas para reducir riesgos en Internet”. Más concretamente,

ISO/IEC 27032 proporciona un marco seguro para el intercambio de información, el

manejo de incidentes y la coordinación para hacer más seguros los procesos. (Digital,

2012)

Este nuevo estándar trata de completar lo que las demás normas han venido haciendo

enfocándose más aun en la parte intangible de cualquier organización resguardando

unos de los activos intangibles más importantes “la información”.

ACTUALIDAD ECUATORIANA DEL SECTOR DONDE DESARROLLA EL

PROYECTO

En Ecuador, el acceso al internet ha registrado un elevado incremento durante los

últimos 5 años. Por ejemplo, los datos muestran que en el año 2012 la población

ecuatoriana alcanzaba el 22,5% y que en el 2015 se alcanzó el 32,8%, según estadísticas

del Instituto Nacional de Estadísticas y Censo (INEC 2016). Estos valores son

palpables, cuando observamos que las organizaciones financieras y comerciales (ej.

bancos, industrias, turismo, entre otros) han aumentado sus servicios en línea (ej. banca

electrónica, transacciones electrónicas, entre otros). Incluso, en las entidades públicas

han automatizado sus servicios (ej. pago predial, pago de impuestos, entre otros) y han

aumentado la oferta de servicios y productos por Internet (ej. facturación electrónica,

sitios de compras, entre otros). Analizando el incremento mencionado, suponemos que

podría deberse a varios motivos, tales como: la creación del plan de gobierno

electrónico 2014- 2017 (COSEDE 2014), el incremento de controles de calidad a las

empresas que prestan servicios de internet por la extinta Supertel10 (Delgado 2014), la

19

creación de redes comunitarias en zonas rurales (Ministerio Coordinador de Seguridad

2014), las políticas de Gobierno para la transformación productiva y el desarrollo del

Ecuador, entre otros. (Telecomunicaciones, 2017)

El ministerio de (Telecomunicaciones, 2017) y de la sociedad de la información, señala

“que la Unión Internacional de las Telecomunicaciones (UIT) maneja una clasificación

por etapas a escala mundial en cuanto a los avances en seguridades en la red que son:

iniciación, 96 países; maduración, 77 naciones, y, 21 estados que lideran este rango.

Los países, de acuerdo con esta organización, vienen trabajando en cinco pilares

fundamentales que se los denominan medidas jurídicas, técnicas, organizativas,

creación de capacidades y operación.

Según el Índice Global de Ciberseguridad 2017 (IGC), de la UIT, del 6 de julio de

2017, Ecuador se encuentra en la etapa de maduración, pues está desarrollando

compromisos complejos, en favor de la prevención de este tipo de delitos, que incluyen

la participación en iniciativas y programas de seguridad cibernética. El país, está

ubicado en el puesto 66 del ranking mundial de Ciberseguridad; noveno en el

continente americano y sexto en Latinoamérica. (Telecomunicaciones, 2017)

Por otro lado, la Organización de Estados Americanos (OEA), en su informe de

Ciberseguridad de 2016, precisó que Ecuador ha avanzado en los últimos años en el

fortalecimiento de su capacidad de prevención y actuación para el manejo de amenazas

Informáticas. Entre las gestiones ejecutadas se destacan el Código Integral

Penal (COIP), para el combate de la delincuencia cibernética; y, el funcionamiento del

Centro de Respuesta a incidentes Informáticos del Ecuador (EcuCERT), que se

constituye como un Equipo de Respuesta ante Incidencias de Seguridad a nivel

nacional (CSIRT por sus siglas en inglés). (Telecomunicaciones, 2017)

Además, en un artículo (Telecomunicaciones, 2015) señala “Hasta el 2006, 0 escuelas

fueron atendidas con Internet, hasta el 2014, se atendieron 7.117 escuelas fiscales con

servicios de Internet, lo que ha aportado significativamente en el mejoramiento de los

procesos de aprendizaje de los estudiantes y docentes de estos centros educativos.

1´323.726 personas fueron beneficiados con conectividad y 682.401 con equipamiento.

Además, se implementaron 1.240 laboratorios de computación y se dotó de

conectividad a 2.360.

20

Como Mintel estamos convencidos que la educación es el mejor vehículo para lograr un

pleno desarrollo de los pueblos. La educación no es un gasto sino una inversión, es así

que los países más avanzados y modernos, son los que le han apostado a este rubro.

(Telecomunicaciones, 2015)

Mediante el uso de Internet en establecimientos educativos se ha facilitado la

realización de consultas, tareas, se promueve el aprendizaje interactivo, se fortalecen

procesos de comunicación, entre otras actividades que posibilitan a los estudiantes

beneficiarse con esta herramienta de alto contenido social. (Telecomunicaciones, 2015)

Nuestro compromiso continuar dotando de equipamiento y conectividad a escuelas y

colegios fiscales, para reducir las desigualdades del futuro, para potenciar todos los

talentos de los estudiantes, para consolidar el Ecuador Digital. (Telecomunicaciones,

2015)

A través del Plan Nacional de Conectividad Escolar se propone proveer de aulas

informáticas con acceso a Internet al 100% de los establecimientos educativos urbanos

y rurales fiscales (educación básica y media), para que así puedan utilizar herramientas

modernas que posibiliten alcanzar mejores niveles de desempeño académico y mayores

niveles de competitividad. (Telecomunicaciones, 2015)

Dentro de las herramientas tecnológicas que se utilizan para mejorar la calidad del

proceso de Enseñanza-Aprendizaje, están: computadores, impresoras, pizarras

interactivas digitales, proyectores, sistemas de audio y por su puesto la conectividad a

Internet. Es indispensable la capacitación de los docentes y maestros para aprovechar al

máximo la tecnología; pues se debe acortar la brecha digital desde las aulas de clase.”

(Telecomunicaciones, 2015)

Por ser un tema relativamente nuevo en la educación ecuatoriano no se cuenta con

cifras reales con la ciberseguridad en unidades educativas, aunque si de varias ramas

que tiene que ver de igual manera con la presente investigación la seguridad

informática se ha vuelto una parte fundamental en la seguridad de cualesquiera

instituciones ya sea privada o públicos ya que permite resguardar el actico más

importante de cualquier institución la información.

21

CAPÍTULO II.

DISEÑO METODOLÓGICO Y DIAGNÓSTICO

PARADIGMA Y TIPO DE INVESTIGACIÓN

Paradigma asumido

Al momento de obtener información referente al comportamiento del fenómeno a

estudiar es necesario acompañar el uso de métodos, de esta forma determinar en qué se

va a realizar la investigación, por ello se hará uso de los métodos inductivo- deductivo

además del método analítico – sistemático, ya que nos permitirá comprender la

problemática de manera más general para sus posibles soluciones de forma particular y

especifica.

Tipos de investigación

Bibliográfica

“El diseño bibliográfico, se fundamenta en la revisión sistemática, rigurosa y profunda

del material documental de cualquier clase. Se procura el análisis de los fenómenos o el

establecimiento de la relación entre dos o más variables. Cuando opta por este tipo de

estudio, el investigador utiliza documentos, los recolecta, selecciona, analiza y presenta

resultados coherentes” (Stracuzzi & Pestana, 2012, pág. 87).

Mucha de la información recolectada en la presente investigación se rige

exclusivamente de libros, revistas y otras fuentes confiables, esta será muy útil para la

elaboración del marco teórico ya que logra fundamentar lo expuesto en la problemática

del presente proyecto de investigación.

De campo

“La investigación de campo consiste en la recolección de datos directamente de la

realidad donde ocurren los hechos, sin manipular o controlar variables. Estudia los

fenómenos sociales en su ambiente natural. El investigador no manipula variables

debido a que esto hace perder el ambiente de naturalidad en el cual se manifiesta y

desenvuelve el hecho. Permite indagar los efectos de la interrelación entre los diferentes

tipos de variables en el lugar de los hechos.” (Stracuzzi & Pestana, 2012, pág. 88).

22

Llevada a cabo en la zona de la problemática planteada, para este caso será la Unidad

Educativa “Alfredo Pareja Diezcanseco” de Santo Domingo.

POBLACIÓN Y MUESTRA PROCEDIMIENTOS PARA LA BÚSQUEDA Y

PROCESAMIENTO DE LOS DATOS

Población

“La población en una investigación es el conjunto de unidades de las que se desea

obtener información y sobre las que se van a generar conclusiones. La población

puede ser definida como el conjunto finito o infinito de elementos, personas o cosas

pertinentes a una investigación y que generalmente suele ser inaccesible.” (Bernal

Torres, 2010, pág. 105)

De acuerdo a la investigación la población de la Unidad Educativa “Alfredo Pareja

Diezcanseco” es finito y se la detalla a continuación:

Tabla 1 Población

Muestra

“La muestra es la porción, parte o subconjunto que representa a toda una población. Se

determina mediante un procedimiento llamado muestreo. Cuando el investigador

selecciona una muestra, está obligado a describir los mecanismos que aplicará para

obtenerla. A este proceso se le denomina muestreo.” (Bernal Torres, 2010, pág. 110).

La muestra se encuentra conformada por estudiantes, docentes, y rectorado de la

Unidad Educativa Alfredo Pareja Diezcanseco, estas personas fueron escogidos

aleatoriamente mediante una fórmula estadística con un 5% de error.

N Población Total

1 Rector 1

2 Vicerrectores 2

1 Talento Humano 1

20 Docentes 20

1790 Estudiantes 1790


Autor: Brayan Tiban

23

En donde:

n= Tamaño de la muestra. N= Tamaño de la población. E= Error.

1814

(0.1) 2 (1814 - 1) + 1 n=95

Plan de recolección de la información

Métodos

Método analítico-sintético

“El método analítico-sintético, estudia los hechos, partiendo de la descomposición del

objeto de estudio en cada una de sus partes para estudiarlas en forma individual

(análisis), y luego se integran esas partes para estudiarlas de manera holística e integral

(síntesis).” (Bernal Torres, 2010, pág. 60)

Analítico-sintético para descomponer y estudiar más minuciosamente el problema.

Método inductivo-deductivo

“El método inductivo-deductivo, Este método de inferencia se basa en la lógica y

estudia hechos particulares, aunque es deductivo en un sentido (parte de lo general a lo

particular) inductivo en sentido contrario (va de lo particular a lo general).” (Bernal

Torres, 2010, pág. 60)

El método inductivo deductivo para analizar de situaciones particulares a hechos

generales.

Técnicas e instrumentos

Las técnicas a utilizar son:

24

La Observación

“La observación permite obtener información directa y confiable, siempre y cuando se

haga mediante un procedimiento sistematizado y muy controlado.” (Bernal Torres,

2010, pág. 194)

La presente técnica permitirá observar cómo se lleva a cabo cada proceso y cuáles son

las deficiencias en relación a los pedidos en la Unidad Educativa para mejorar su

ciberseguridad.

La Entrevista

La entrevista, es la comunicación interpersonal establecida entre el investigador y el

sujeto de estudio a fin de obtener respuestas verbales a los interrogantes planteados

sobre el problema propuesto. A través de ella el investigador puede explicar el

propósito del estudio y especificar claramente la información que necesite; si hay

interpretaciones erróneas de las preguntas, la entrevista permite aclararla, asegurando

una mejor respuesta.

Encuesta

“Es una de las técnicas de recolección de información más usadas, a pesar de que cada

vez pierde mayor credibilidad por el sesgo de las personas encuestadas. La encuesta se

fundamenta en un cuestionario o conjunto de preguntas que se preparan con el

propósito de obtener información de las personas.” (Bernal Torres, 2010, pág. 194)

En la presente investigación se ha optado por realizar un formulario en la cual existen

10 preguntas dirigida a las partes interesadas en la ciberseguridad con el fin de conocer

de manera específica las deficiencias con forme a la problemática y al tema específico

de la presente investigación. Ver Anexo 2

Los instrumentos a usar son:

Guía de entrevista

La guía de entrevista es un instrumento de investigación utilizado por el entrevistador

como fuente de ayuda durante el proceso de la entrevista. Contiene un listado de

25

posibles preguntas que se le pueden realizar de una manera factible y organizada. Se

utilizará una guía de entrevista ya que es necesario obtener la información relevante e ir

directamente al punto del problema formulando cuestiones claras y comprensibles para

el entrevistado.

Cuestionario

“El cuestionario es un instrumento de investigación que forma parte de la técnica de la

encuesta. Es fácil de usar, popular y con resultados directos. El cuestionario, tanto en su

forma como en su contenido, debe ser sencillo de contestar. Las preguntas han de estar

formuladas de manera clara y concisa; pueden ser cerradas, abiertas o semiabiertas,

procurando que la respuesta no sea ambigua. Como parte integrante del cuestionario o

en documento separado, se recomienda incluir unas instrucciones breves, claras y

precisas, para facilitar su solución. Seguidamente se presenta y resumen de las

dificultades más frecuentes en la elab1oración de cuestionarios.” (Stracuzzi & Pestana,

2012, pág. 131)

26

67%

33%

Pregunta 1

Si No

RESULTADOS DEL DIAGNÓSTICO DE LA SITUACIÓN ACTUAL

Encuesta a estudiantes.

1. ¿Es consciente de los diferentes servicios que ofrece la Unidad Educativa para su

enseñanza?

Tabla 2 Muestra de resultados


Autor: Brayan Tiban

Análisis:

En la encuesta los estudiantes revelaron que en su mayoría si conocen los servicios que

ofrece la Unidad de Tics de la Unidad Educativa “Alfredo Pareja Diezcanseco”, ya que

los docentes les informan de todo lo que el plantel puede ofrecerles en cuanto a

tecnología.

PARAMETROS FRECUENCIA PORCENTAJE

Sí

No

64

31

67%

33%

TOTAL 95 100%

Ilustración 2 Muestra de resultados


Autor: Brayan Tiban

27

2. ¿Con que frecuencia utiliza usted los servicios tecnológicos de la Unidad Educativa

“Alfredo Pareja Diezcanseco para su enseñanza”.´



Diario

Semanal

Quincenal

Mensual

24

46

5

20

25%

49%

5%

21%

TOTAL 95 100%


Autor: Brayan Tiban

Análisis:

De acuerdo a la encuesta los estudiantes indicaron en su mayoría utilizan semanal y

diario los servicios tecnológicos que ofrece la Unidad de Tics de la Unidad Educativa

“Alfredo Pareja Diezcanseco”, para su conocimiento académico.

25%

49%

5%

21%

Pregunta 2

Diario Semanal Quincenal Mensual

Ilustración 3Muestra de resultados

Autor: Brayan Tiban


28

3. ¿La prestación de servicios de los recursos tecnológicos de la Unidad Educativa

“Alfredo Pareja Diezcanseco” es?:



Muy bueno

Bueno

Regular

Malo

7

27

51

10

7%

28%

54%

11%

TOTAL 95 100%


Autor: Brayan Tiban

Análisis:

Los estudiantes en la encuesta expresaron que los servicios tecnológicos de la Unidad

Educativa “Alfredo Pareja Diezcanseco”, son regular y bueno en su mayoría, a pesar

otro grupo de encuestados indicaron que es muy bueno y malo por deficiente por

razones de comunicación entre docentes y alumnos.

7%

28%

54%

11%

Pregunta 3

Muy bueno Bueno Regular malo



Autor: Brayan Tiban

29

4. ¿ Los servicios tecnológicos que usted ha solicitado a los encargados de los

diferentes departamentos de la Unidad de Tics de la Unidad Educativa “Alfredo

Pareja Diezcanseco” son



Muy bueno

Bueno

Regular

Nada conveniente

4

41

44

6

4%

43%

47%

6%

TOTAL 95 100%


Autor: Brayan Tiban

Análisis:

Los alumnos de la institución en la encuesta expresaron que los servicios tecnológico

que se solicita a la Unidad de Tics de la Unidad Educativa “Alfredo Pareja

Diezcanseco”, son regular y bueno en su mayoría, a pesar otro grupo de encuestados

indicaron que es muy bueno y malo por deficiente comunicación entre encargado de los

laboratorios, docente y estudiantes.

4%

43%

47%

6%

Pregunta 4

Muy bueno Bueno Regular Nada conveniente



Autor: Brayan Tiban

30

68%

32%

Pregunta 5

Si No

5. ¿Tiene conocimientos de los normas de uso de los recursos tecnológicos de

información (Tics) comunicación en la Unidad Educativa?



Autor: Brayan Tiban

Análisis:

Los estudiantes encuestados en su mayoría expresaron que a pesar que conocen las

normas de uso de los recursos tecnológico es necesario mejorar las estrategias y

políticas de la Unidad de tics de la Unidad Educativa “Alfredo Pareja Diezcanseco”,

mediante la socialización de sus servicios, mejoramiento de los equipos de cómputo y la

comunicación entre los alumnos y la persona encargado de los dos laboratorios.


Sí

No

65

30

68%

32%

TOTAL 95 100%



Autor: Brayan Tiban

31

6. La frecuencia que utiliza Internet de la Unidad Educativa “Alfredo Pareja

Diezcanseco:



Autor: Brayan Tiban

Análisis:

Los estudiantes respondieron en su mayoría que usan el servicio del internet de manera

frecuente ya sea para su enseñanza u otros casos. Sin embargo un porcentaje menor

respondió que lo usa constante confirmando que el uso de internet es indispensable en

la Unidad Educativa.

20%

57%

23%

Pregunta 6

Constante Frecuente Nunca


Constante

Frecuente

Nunca

19

54

22

20%

57%

23%

TOTAL 95 100%



Autor: Brayan Tiban

32

87%

13%

Pregunta 7

Si No

7. Según su propia opinión cree usted que es conveniente mejorar las estrategias y

políticas de la Unidad de tics de la Unidad Educativa “Alfredo Pareja Diezcanseco?



Autor: Brayan Tiban

Análisis.

Los estudiantes expresaron que es conveniente mejorar las estrategias y políticas de

seguridad en la Unidad Educativa “Alfredo Pareja Diezcanseco” para mejorar de

manera eficaz los peligros que rodea el amplio mundo del internet mediante políticas de

seguridad.

PARÁMETROS FRECUENCIA PORCENTAJE

Sí

No

83

12

87%

13%

TOTAL 95 100%



Autor: Brayan Tiban

33

8. ¿Conoce el proceso para solicitar algún servicio de la Unidad de Tics de la Unidad

Educativa “Alfredo Pareja Diezcanseco”?.



Autor: Brayan Tiban

Análisis:

De acuerdo a los estudiantes encuestados la mayoría indicaron que no conocen el

proceso para solicitar algún servicio de la Unidad de Tics de la Unidad Educativa

“Alfredo Pareja Diezcanseco”, porque siempre lo han hecho de manera verbal cuando

lo necesita, sin seguir algún protocolo mientras que una minoría indico que sí.

25%

75%

Pregunta 8

Si No

PARÁMETROS FRECUENCIA PORCENTAJE

Sí

No

24

71

25%

75%

TOTAL 95 100%



Autor: Brayan Tiban

34

9. ¿Para la realización de sus tareas utiliza los computadores de los laboratorios de la

Unidad de Tics de la Unidad Educativa “Alfredo Pareja Diezcanseco?



Autor: Brayan Tiban

Análisis:

Los estudiantes encuestados expresaron en su mayoría que no utilizan los laboratorios

para hacer sus tareas ya sea por su estado o por falta de cobertura o rapidez de las

mismas, sin embargo una gran cantidad manifestó que lo utiliza a veces ya sea por su

falta de tiempo o por el simple hecho de no tener un equipo de cómputo en casa.

2%

42%

56%

Pregunta 9

Siempre A veces Nunca


Siempre

A veces

Nunca

2

40

53

2%

42%

56%

TOTAL 95 100%



Autor: Brayan Tiban

35

10. ¿Cree Ud. que diseñando un Plan Informático mejoraría la ciberseguridad de los

recursos de información y comunicación en el plantel?



Autor: Brayan Tiban

Análisis:

De acuerdo a los estudiantes encuestados expresaron que tal vez diseñando un plan

informático se mejoraría la ciberseguridad de los recursos tecnológicos de información

y comunicación más de uno por desconocer los procesos y como está diseñado dicho

plan pero el interés por un plan informático siempre será útil se supieron expresar.

26%

13%61%

Pregunta 10

Si No Tal vez


Si

No

Tal vez

25

12

58

26%

13%

61%

TOTAL 95 100%



Autor: Brayan Tiban

36

Resultado de la entrevista al encargado de la Unidad Educativa

1. ¿En la Unidad Educativa se encuentra algún encargado para responder por algunas

fallas requeridas?

Por el momento un docente se encarga de esos requerimientos, el Licenciado Cesar

Miguez.

2. ¿Existe reglamentos para el uso de los equipos de cómputo en los laboratorios de

computación?

Si hay unos manuales pero no reglamentos oficiales para el uso de los equipos salvo

recomendaciones de uso verbales.

3. Existen políticas de seguridad para proteger la ciberseguridad de la institución?

Por ahora no pero sería una buena alternativa para el mejoramiento del plantel.

4. ¿En la Unidad Educativa tienen alguna planificación para los mantenimientos tanto

preventivo como correctivo. ?

En la actualidad poseemos esos cronogramas para los mantenimientos.

5. ¿En caso de que un equipo presentara daños a quien acude?

Se las entrega al docente encargado si el problema es mayor se lo envía a un tercero

para su reparación.

6. ¿En la institución el servicio de Internet satisface las necesidades de quienes la

utilizan?

Actualmente poseemos buena banda de internet pero no están respectivamente

distribuidas.

7. ¿Existen planes de contingencias en caso de alguna emergencia ya sea humana o

natural?

Como es habitual en las Instituciones Educativas existen solo para la protección de los

estudiantes más no de los equipos de manera más específica.

37

8. ¿A contando con algún plan informático en todo el tiempo que ha estado de

encargado de los laboratorios? Explique.

Existe proyecto que son asignados a la institución pero para mejorar la seguridad de la

información no.

9. ¿La institución cuenta con procesos de respaldos de información en caso de fallas de

los equipos de cómputo?

Si existen pero sería de mucho más ayuda si hubiera procesos más detallados.

10. ¿Qué opinión tiene sobre la implementación de un plan informático en la

institución?

En esta pregunta el Rector manifestó que la implementación de un plan informático

favorece en la seriedad como Institución Educativa y mejorar la seguridad por bien de

del prestigio estudiantil otro de los motivos seria para racionalizar el uso del internet.

38

RESUMEN DE LAS PRINCIPALES INSUFICIENCIAS DETECTADAS CON

LA APLICACIÓN DE LOS MÉTODOS.

Mediante la aplicación de los métodos establecidos en la presente investigación se ha

determinado que la institución no cuenta con seguridad en el ciberespacio por lo cual

está expuesto a cualquier ataque de cualquier índole.

Al no contar con políticas de seguridad interna, manejo de claves de acceso y

autentificación a los usuarios de la red, genera un alto riesgo de que se presenten

ingresos anónimos a la red, lo que podría ocasionar el robo de información

institucional, inhabilitación de servicios, otros.

La navegación por internet en la Unidad Educativa “Alfredo Pareja Diezcanseco” se

encuentra segmentada para laboratorios, docentes, administrativo y red inalámbrica.

Para cada caso existe un ancho de banda asignado, haciendo eficiente el uso de este

servicio. Pero, en el caso de la red inalámbrica, su contraseña de acceso se renueva

pocas veces lo que causa que personas ajenas de la institución cuenten con este

servicio de manera anónima convirtiendo este punto en una gran oportunidad de

acceso no autorizado.

En los laboratorios y en el área del rectorado los usuarios de la red institucional no

cuentan con contraseñas de acceso y peor aún con restricciones de uso de los

equipos. Esta falencia puede permitir que se instalen programas no adecuados que

pueden poner en riesgo la integridad de la información institucional.

39

CAPÍTULO III

PROPUESTA DE SOLUCIÓN AL PROBLEMA

ESQUEMA DE LA PROPUESTA

Nombre de la propuesta

Plan informático 2018 – 2022, basado en la norma ISO/IEC 27032:2012 para mejorar la

Ciberseguridad de los recursos Tecnológicos de Información y Comunicación (TIC’S)

en la Unidad Educativa Alfredo Pareja Diezcanseco de la ciudad de Santo Domingo.

Objetivo General


para mejorar la Ciberseguridad de los recursos tecnológicos de información y


de Santo Domingo.

Objetivos Específicos

Realizar un análisis de la situación actual de la institución y el ciberespacio de los

recursos tecnológicos, mediante técnicas de recolección y análisis de datos.

Desarrollar un análisis FODA tecnológico para identificar las principales falencias

de la institución.

Diseñar las estrategias tecnológicas que el establecimiento requiera para el plan de

ciberseguridad.

Crear documentación regulatoria como políticas, normas, procedimientos, formatos

y otros documentos que permitan establecer lineamientos claros para el recurso

humano interesado en el ciberespacio.

Realizar un presupuesto del plan de ciberseguridad.

40

Elementos que la conforman

En base el análisis previo realizado se puede interpretar que la solución a la

problemática planteada en la introducción, consiste en el desarrollo de un plan

informático para mejorar la ciberseguridad de los recursos tecnológicos de información

y comunicación (TIC’S) en la Unidad Educativa Alfredo Pareja Diezcanseco de la

ciudad de Santo Domingo. Para poder cumplir con las fases propuestas en el plan

informático se tomará en cuenta los puntos más importantes de la norma ISO/IEC

27032/2012 para la mejora de la ciberseguridad.

Esta solución estará estructurada de la siguiente manera:

Ilustración 12 Elementos que la conforman


Autor: Brayan Tiban

41

Justificación de la propuesta

Hoy en día, las tecnologías de información y comunicación (TIC) han dado un gran

cambio a la sociedad gracias a esto se han abierto las puertas a la información mediante

herramientas informáticas, el mundo entero a optado por compartir su información y

dar rapidez en sus procesos diarios con solo dar un clic, además de sus alcances en la

enseñanza de los jóvenes por lo cual es un instrumento esencial para la educación.

El plan informático actual de la propuesta de investigación se basa en la necesidad de

mejorar la Ciberseguridad de los recursos tecnológicos con el fin de evitar muchas de

las amenazas que existe en el amplio mundo del internet por medio de procesos, planes

y políticas de seguridad la cual fortalecerá la parte intangible de la institución y evitar

perdida de la información y por ende costos al establecimiento público, al contar con el

servicio del internet se vuelve un área con riesgos a la seguridad es por eso que se

realizara la presente propuesta de investigación referente a la Ciberseguridad.

En otras palabras la creación de un Plan informático basado en la norma ISO/IEC

27032/2012 busca que la institución tengas pautas y poderlas aplicar cuando la

administración la requiera para reducir procesos innecesarios y gastos a la institución

pública.

APLICACIÓN PRÁCTICA PARCIAL O TOTAL DE LA PROPUESTA

Estado de situación actual de la institución

La Unidad Educativa “ALFREDO PAREJA DIEZCANSECO” es de los primeros






usuarios (estudiantes, docentes y administradores) de la entidad al no tener el debido

control el manejo de la seguridad en el ciberespacio y con ella los recursos de

información y comunicación.

42

Visión

Ser referentes en la comunidad educativa nacional e internacional, brindando una

educación científica, humanista de calidad y calidez.

Misión

Formar personas proactivas, creativas, investigadoras, críticas y emprendedoras ávidas

de conocimientos para la vida, con excelente práctica de valores y mentalidad abierta al

mundo.

Organigrama institucional

Ilustración 13 Organigrama de la institución


Autor: Brayan Tiba

43

Funciones de las partes interesadas en el ciberespacio

Tabla 12 Funciones de las partes interesadas

Cargo

Funciones

Encargado de

equipos de

computo

Supervisar al personal que trabaja en los laboratorios.

Hacer que se cumplan los consejos de uso requeridos por el

colegio; y reportar al rectorado cualquier incumplimiento de

las mismas. Así como sugerir los cambios más relevantes.

Establecer los procedimientos para la solicitud y control de

uso del Laboratorio.

Evitar las defunciones no autorizadas del software de la

institución.

Presentar cada 5 meses a al rectorado, un informe escrito de

los aspectos académicos, administrativos y técnicos de las

actividades desarrolladas durante el período que culmina e

incluirá en él, un plan de desarrollo e inversiones para el año

siguiente.

Docentes

Asistir puntualmente al establecimiento educativo, llegar 20

minutos antes del inicio de la jornada.

Participar activamente en el proceso de enseñanza aprendizaje

en un ambiente de armonía.

Recrear un ambiente de calidez y compresión para el

desarrollo de la personalidad del educando y propender a la

práctica del civismo, de la moral, del correcto uso del idioma

español y de las buenas costumbres.

Preparar sus clases un día antes para no tener ni un

contratiempo a la hora de dar clases

Participar puntual y activamente en las juntas de curso, de

área, horarios de exámenes y todos los actos oficiales

convocados por las autoridades del plantel.

Promover y aplicar cambios pedagógicos y metodológicos

que tiendan a mejorar el rendimiento estudiantil. Usando

44

Docentes

adecuadamente al material didáctico y tecnológico existente

para despertar, estimular, fortalecer el aprendizaje y la

creatividad de los estudiantes.

Estimular de una manera afectiva, cálida, la cooperación y

participación de los estudiantes en los actos científicos,

artísticos, deportivos en los que intervenga el plantel.

Constituirnos en modelo, ejemplo de probidad, trabajo y

respeto para los estudiantes cuidando la presentación

personal, vocabulario y conducta en todo ámbito.

Comunicar y atender cordialmente a los padres de familia

sobre todo los logros y dificultades del aprendizaje de los

estudiantes.

Respetar en todo momento la dignidad, integridad, y

personalidad de los estudiantes, estimulando su autoestima.

Manteniendo el respeto, trato cordial y la consideración entre

todos los miembros de la comunidad educativa.

Desarrollar acciones permanentes para nuestro mejoramiento

profesional y personal.

Promover el respeto y reconocimiento a los estudiantes

adolescentes y a sus familias como ciudadanos (as) en sus

individualidades, expresiones culturales, religiosas, e

inclusivas.

Sujetarnos a los principios de honestidad académica, respetar

la autoría intelectual y someter el trabajo propio a procesos de

evaluación.

Informar a los estudiantes del rendimiento académico

permanentemente durante el año lectivo.

Velar por el bienestar estudiantil en caso de ser tutor y

responsabilizarse en todas las actividades del curso que le

asignen.

Informar al rectorado cualquier irregularidad en el plantel

para prevenir a futuro cualquier altercado con los estudiantes.

45

Estudiantes

Como miembros de la comunidad educativa aceptamos y nos

comprometemos a respetar, cumplir y acatar, todas las

normas, reglamentos y procedimientos regulatorios de la

Unidad Educativa Alfredo Pareja Diezcanseco, como medio

para lograr una formación más humana, comprometida en la

construcción de una sociedad más justa y solidaria.

Los integrantes del Consejo estudiantil, es nuestro

compromiso convertirnos en ejemplo de estudio, trabajo,

responsabilidad y de colaboración en cada acción tendiente a

mantener e incrementar el buen nombre del plantel.

Promover el compañerismo y la inclusión en especial de

compañeros con necesidades educativas especiales en nuestra

institución, mediante la práctica de valores.

Aumentar la comunicación académica con las autoridades

tales como el rectorado, inspectores, docentes y demás

miembros que conformen la Unidad Educativa para su mejor

rendimiento en el ámbito académico.

Contribuir con las tareas tendientes a evitar la contaminación

ambiental, como reciclaje, depositar la basura en los

recipientes indicados, cuidar los árboles.

Participar en todos los eventos de carácter democrático, elegir

y ser elegido, para dignidades de participación estudiantil y

defender a nuestros compañeros

Evitar a toda costa la discriminación por sexo, raza, religión,

tendencias personales entre compañeros, y fomentar la

equidad

Acatar disposiciones de las autoridades de la Institución; del

Distrito de educación y otras normas antes propuestas en la

Unidad Educativa “Alfredo Pareja Diezcanseco” de la ciudad

de Santo Domingo

Con respecto a la importancia de la honestidad académica,

respetar la autoría intelectual.

46

Administradores

Asistir a la institución con la mejor predisposición para el

desarrollo de nuestras actividades, ingresando 30 minutos

antes del inicio de las clases.

Desarrollar el trabajo de la mejor manera con ética

profesional y mantener una conducta ajustada a la moral y las

buenas costumbres.

Ser leal a los principios y valores establecidos por el plantel.

Atender con respeto, calidez, amabilidad y buena voluntad a

todos los miembros de la comunidad educativa y personas

particulares que requieran de nuestros servicios.

Permanecer atento por el buen uso y mantenimiento de

equipos, ambiente y materiales utilizados en el cumplimiento

las labores y responsabilizarnos por su daño o pérdida.

Mantener un elevado nivel de confidencialidad en el manejo

de la información requerida, demostrando prudencia y respeto

en todo momento.

Autor: Brayan Tiban


Activos en el ciberespacio.

El inventario de activos informático fue proporcionado por la unidad de Tics de la

Unidad Educativa. Se considera incompleto este inventario por lo que mediante una

visita a la institución se agregan activos de información puesto que es esencial

protegerla para la Unidad Educativa Alfredo Pareja Diezcanseco. La información puede

ser presentada:

Impresa o Escrita: Formularios, resoluciones, actas, informes, títulos, certificados,

oficios, solicitudes, otros.

Electrónica o Digital: Correo electrónico, archivos ofimáticos, bases de datos, otros.

47

Tabla 13 Activos en el ciberespacio

Clasificación Activos Custodio Localización Contenedor

Activos

Físicos

Servidor Cuarto de

Archivos

N/A N/A

Computadores Laboratorios Puesto determinado

por el rectorado

Archivos

ofimáticos

Teléfonos U.E.A.P.D. Puesto determinado

por el rectorado

N/A

Impresoras U.E.A.P.D. Puesto determinado

por el rectorado

N/A

Proyector

digital

U.E.A.P.D. Puesto determinado

por el rectorado

N/A

Switch U.E.A.P.D. Puesto determinado

por el rectorado

N/A

Router U.E.A.P.D. Puesto determinado

por el rectorado

N/A

Guías de envió Secretaria Equipos de

computo

Archivos,

email

Correo

electrónico

Usuario Equipos de

computo

Información

institucional

48

Activos

lógicos

Sistemas

operativos

U.E.A.P.D Equipos de

computo

Equipos de

computo

Información

institucional

Rector

/Vicerrector

Equipos de

computo

Archivos,

email

Software

instalador

N/A Equipos de

computo

Archivos

Talento

Humano

Rectorado N/A U.E.A.P.D N/A

Docentes N/A U.E.A.P.D N/A

Autor: Brayan Tiban


Amenazas en el ciberespacio.

Una amenaza es todo aquello que causa un daño a la organización en corto o largo

plazo. Las amenazas pueden clasificarse como:

Naturales

Tecnológica

Fallas Humanas intencionales

Fallas Humanas no intencionales

Con la opinión de los empleados de la Unidad Educativa se ha podido mencionar las

principales amenazas que enfrenta día a día la institución.

49

Tabla 14 Amenazas en el ciberespacio

Activos Amenazas

Servidor

Desconexión de la red

Código malicioso (virus, troyano, etc.)

Falla o daño del equipo

Acceso físico no autorizado

Falla de suministro de energía

Equipos de cómputo Desconexión de la red

Código malicioso (virus, troyano, etc.)




Switch Falla o daño del equipo



Información de estudiantes Pérdida de información

Baja seguridad de la información

Hurto de la información

Guías de envío Pérdida de la guía

Bajo cuidado del documento

Correo electrónico Imposibilidad de descargar o enviar mensaje

Corrupción de archivo.

Sistemas operativos Código malicioso (virus, troyano, etc.)

Pérdida de información

50

Información institucional Falta de seguridad de la información


Autor: Brayan Tiban


Vulnerabilidades en el ciberespacio

La vulnerabilidad es una debilidad en el sistema de seguridad de la información, la cual

es una entrada para que una amenaza pueda o no materializarse, es decir que la

vulnerabilidad en sí mismo no causa daño, es simplemente una condición o conjunto de

condiciones que pueden hacer que una amenaza se concrete y afecte o haga daño

Tabla 15 Vulnerabilidades en el ciberespacio

Activos

Amenazas

Vulnerabilidades

Servidor Desconexión de la red

Código malicioso (virus,

troyano, etc)


Acceso físico no

autorizado

Falla de suministro de

energía

Cableado estructurado

defectuoso

No existe antivirus

licenciado

Poco mantenimiento

Control de acceso

inadecuado

Inexistencia de sistema

de alimentación alterna

Equipos de cómputo Desconexión de la red


troyano, etc)


Acceso físico no

autorizado


energía


defectuoso

No existe antivirus

licenciado

Poco mantenimiento

Control de acceso

inadecuado

51


alimentación alterna

Switch Falla o daño del equipo

Acceso físico no

autorizado


energía

Poco mantenimiento

Control de acceso

inadecuado


alimentación alterna

Router Falla o daño del equipo

Acceso físico no

autorizado

Falla de suministro

energía

Poco mantenimiento

Control de acceso

inadecuado


de alimentación alterna

Sistemas académico Interrupción del servicio

Modificación

eliminación,

hurto de datos por

usuario no autorizado

Control de acceso

inadecuado

Control de acceso

inadecuado

Control de acceso

inadecuado

Información de

estudiantes


Corrupción de la

información

Ausencia de políticas de

respaldo

No existe antivirus

licenciado

Guías de envió

Pérdida de la guía

Corrupción del

documento

Correo electrónico

Imposibilidad de

descargar o enviar

mensaje

Desinformación de

normas y otros políticas

de seguridad

52

Corrupción de archivo

Sistema operativo


troyano, etc.)

Falta de aplicaciones

contra los diferentes

virus

Información institucional


Corrupción de la

información


Ausencia de políticas

Autor: Brayan Tiban


53

Análisis FODA

Ilustración 14 Análisis Foda

Autor: Brayan Tiban


54

Creación de Documentación Regulatoria.

Plan de Ciberseguridad de la Unidad Educativa “Alfredo Pareja Diezcanseco”

Antecedentes

El presente documento es el resultado del análisis de la situación actual en el tema de

Ciberseguridad de la Unidad Educativa “Alfredo Pareja Diezcanseco”

Objetivo

Elaborar un Plan de Seguridad Informática para la Unidad Educativa “Alfredo Pareja

Diezcanseco” basado en buenas prácticas, respaldadas en estándares de seguridad

internacionalmente aceptados (ISO 27032) fomentando así una cultura de

ciberseguridad robusta en la institución.

Alcance

El presente Plan de Seguridad Informática se enfoca en la protección informática de la

Unidad Educativa “Alfredo Pareja Diezcanseco” basado en los controles establecidos

en la norma ISO 27032:2012 y se aplica a todos los miembros de la comunidad

Educativa: personal administrativo, docente, alumnado en sus diversas modalidades de

estudio y terceros en general que brinden servicios o interactúen de alguna manera con

la institución.

Vale la pena aclarar que el presente documento, es una recomendación, obtenido tras

estudio de la situación actual de la institución en base a documentación suministrada y

debe estar sujeto al análisis para su aplicación por parte del Rector y encargado de la

unidad de Tics de la Unidad Educativa, por lo que será perfectible de acuerdo a la

realidad y requerimientos institucionales.

Políticas de seguridad

Las Políticas de Seguridad son un mecanismo de protección para la información, estas

garantizan la continuidad operacional de los sistemas informáticos para cumplir con los

objetivos de la Unidad Educativa “Alfredo Pareja Diezcanseco” y minimizar el riesgo a

daño de cualquier tipo. Es una declaración de la conducta, ética y responsabilidades

55

adoptada por la extensión y aceptada por sus colaboradores para proveer y procurar un

ambiente seguro en el manejo de la información propia, de estudiantes y de terceras

personas.

El objetivo principal de la Política de Seguridad de la Información es que la Unidad

Educativa “Alfredo Pareja Diezcanseco” vele para que la información que maneja, bien

sea propia, dejada en custodia o compartida con terceros, se encuentre protegida contra

modificaciones no autorizadas, realizadas con o sin intención.

Definición de políticas de control de acceso

Para la definición de las políticas de control de acceso para la red de datos de la Unidad

Educativa “Alfredo Pareja Diezcanseco”, utilizamos la norma ISO 27032:2012. Estas

políticas de basan las falencias que cuenta la institución, por considerar que el

cumplimiento de estos robustece la seguridad de la información en la red de datos y

controla la ciberseguridad.

Generalidades

Uno de los recursos más importantes dentro de cualquier organización es la

información, por lo que resguardar su seguridad es primordial para el correcto

desarrollo de cualquier actividad.

Las Políticas de Seguridad de la Información son un mecanismo de protección para la

información, estas garantizan la continuidad operacional de los sistemas informáticos

para cumplir con los objetivos de la Unidad Educativa “Alfredo Pareja Diezcanseco” y

minimizar el riesgo a daño de cualquier tipo se debe establecer un compromiso

manifestó del Rector de la Unidad Educativa “Alfredo Pareja Diezcanseco” para la

difusión, consolidación y cumplimiento de la presente Política.

Objetivos

Salvaguardar la información que genera la Unidad Educativa “Alfredo Pareja

Diezcanseco” y los recursos físicos de TI que se utilizan para su procesamiento, frente a

amenazas de cualquier tipo, para de esta manera asegurar la confidencialidad,

integridad, disponibilidad y confiabilidad de la información.

56

Instaurar las directrices, procedimientos y requisitos necesarios para controlar los

accesos indebidos a la red LAN de la Unidad Educativa “Alfredo Pareja Diezcanseco”.

Alcance

El documento está dirigido al personal de la Unidad Educativa “Alfredo Pareja

Diezcanseco”, ya que ellos deben cumplir con las políticas, normas y procedimientos

que se presentan, y de esta manera resguardar la información que se genera en la

Unidad Educativa “Alfredo Pareja Diezcanseco”, protegiendo la confidencialidad,

disponibilidad y seguridad de la información de los servicios tecnológicos que se

utilizan. El no cumplir con dichas políticas tendrá como resultado medidas

disciplinarias.

SEGURIDAD LÓGICA

Identificación

En casa de que un usuario quiera ingresar a la información academica, debe

establecerse un procedimiento formal y por escrito que normalice y exija el ingreso de

los siguientes requerimientos:

ID de usuario, valor alfanumérico único.

Contraseña, la cual debe ser personal del usuario en intransferible.

Nombres y Apellidos completos.

Grupo de usuario al que pertenece.

Tiempo de expiración de la contraseña.

Contador de intentos fallidos.

Autorización de ingreso al área de usuarios.

Los permisos asignados deben ser mínimos y necesarios para que el usuario realice de

manera correcta su labor diaria dentro de la Unidad Educativa “Alfredo Pareja

Diezcanseco”. El acceso al sistema y la utilización de recursos de la Unidad Educativa

57

“Alfredo Pareja Diezcanseco” deben tener horarios para su utilización, tomando en

cuenta lo siguiente:

En caso de no haber clases no se puede ingresar a la información académica salvo

con autorización.

En la época de vacaciones los dueños de las cuentas estarán desactivados y las

contraseña asociada al Id de usuario para el acceso a un computador es la primera

verificación de su identidad, lo que permitirá en primera instancia al computador

y a la información. Para resguardo de los recursos de la Unidad Educativa

“Alfredo Pareja Diezcanseco” la contraseña debe ser secreta e intransferible a

ninguna persona.

El área encargada de las contrataciones y cambios de personal deberá comunicar

los mismos; luego de esta notificación el administrador del sistema debe revocar

los permisos de la cuenta o su desactivación.

Los computadores deben tener configurado en su sistema operativo que después

de cinco minutos de inactividad estas deben cerrar sesión de los usuarios, cabe

recalcar que cada empleado contará con su ID y contraseña para acceso a las

computadoras. Se debe imposibilitar en los sistemas operativos de los

computadores los usuarios genéricos. Se prohíbe el uso de cuentas invitado; todos

los usuarios deben acceder a las computadoras.

Los usuarios que poseen estas cuentas tendrán los más altos privilegios de uso.

Estos privilegios, tal como la posibilidad de modificar o borrar los archivos de

otros usuarios, sólo deben otorgarse a aquellos directamente responsable de la

administración o de la seguridad de los sistemas.

Los usuarios que tengan permisos de crear nuevas cuentas, estas deben hacerse

por escrito, el cual debe ser firmado por el usuario a quien se le entrega la ID, con

el fin de que declara conocer las políticas y procedimientos de seguridad, y acepta

sus responsabilidades con relación al uso de esa cuenta.

58

Contraseñas

Existen requerimientos y estándares internacionales a los cuales las contraseñas deben

cumplir. La contraseña de verificación de identidad no debe ser común o fácil de

adivinar, esta debe cumplir con:

Ser de al menos 8 caracteres de longitud.

Contener una combinación de caracteres alfabéticos y no alfabéticos (números,

signos de puntuación o caracteres especiales) o una combinación de al menos dos

tipos de caracteres no alfabéticos.

No contener su user ID como parte la contraseña.

Sistemas y aplicaciones de la Unidad Educativa “Alfredo Pareja Diezcanseco”

que contengan información crítica requieren cambio de contraseña al menos cada

tres meses (90 días).

Cuando se cambie de contraseña debe ser diferente a las tres utilizadas con

anterioridad.

Bloquear el perfil de todo usuario que haya intentado acceder al sistema en forma

fallida por más de cinco veces consecutivas

La contraseñada asignada por primera vez a un usuario solo debe ser válida para

el primer inicio de sesión, en ese momento el usuario debe cambiar su contraseña

cumpliendo con los requisitos establecidos.

La persona que cambie la clave no deberá guardarla en forma digital o escrita,

guardarla en contenedores físicos ni digitales para evitar el robo de información

confidencial.

Las contraseñas que vienen de fábrica en algunos equipos de tecnología como

routers, switches, etc., deben ser cambiados inmediatamente antes de ponerlos en

producción.

59

SEGURIDAD EN LAS TELECOMUNICACIONES

Topología de red

Deberá existir documentación detallada sobre los diagramas topológicos de la red.

Deberán existir medios alternativos de transmisión en caso de que alguna

contingencia afecte al medio primario de comunicación.

Red de datos

La Red de los datos es muy importante para la comunicación de las partes interesadas

por lo cual se debe tomar en cuenta:

Recursos de los servidores que utilizan las aplicaciones.

El estado de cada aplicación.

Intentos de intrusión.

Uso de los protocolos.

Ancho de banda utilizado.

Tráfico generado por las aplicaciones.

Si se presentan cambios en los servidores o software, y equipos de red, así

también el cambio de direcciones IP, reconfiguraciones de Switches, routers

deben ser documentados y aprobados, excepto si se trata de una situación de

emergencia.

Propiedad de la Información

Los sistemas de comunicación y los mensajes generados y procesados por tales

sistemas, incluyendo las copias de respaldo, se deben considerar como propiedad de la

Unidad Educativa “Alfredo Pareja Diezcanseco” por lo tanto ni un usuario podrá

apropiarse de estos datos.

60

Uso de los sistemas de comunicación

Los recursos de los sistemas de comunicación de la Unidad Educativa “Alfredo Pareja

Diezcanseco” sólo deben utilizarse para actividades de trabajo. El uso personal en

forma ocasional es permisible siempre y cuando se consuma una cantidad mínima de

tiempo y recursos, y estos no interfiera con la productividad del empleado ni con las

actividades de la Unidad Educativa.

Conexiones Externas

Se debe poner énfasis en el tráfico entrante y saliente de la red interna, debe ser filtrado

y controlado por un firewall prohibiendo el pasaje de todo el tráfico que no se encuentre

expresamente autorizado.

De vez en cuando la utilización del internet deber ser monitoreada; si se cree que la

seguridad está siendo vulnerada.

Configuración lógica de red

Cuando sea necesario conectar a la red algún equipo de terceros o que no

pertenezcan a la Unidad Educativa “Alfredo Pareja Diezcanseco”., se debe

considerar lo siguiente:

No identificarse como un usuario establecido de la red ya que ingresaría a la red

como usuario anónimo y se podría violar la seguridad de la institución.

No ejecutar programas de monitoreo de tráfico (Ej. "sniffer" o similares) sin la

debida autorización explícita de la Dirección y la aprobación del administrador o

el departamento de Tics

No agregar cualquier dispositivo que amplíe la infraestructura de la red de la

Unidad Educativa “Alfredo Pareja Diezcanseco”. sin previa autorización al

departamento de tics o a al rectorado.

Asegurar que la dirección IP de la Unidad Educativa sea un número variable y

confidencial.

61

Antivirus

En todos los equipos de cómputo de la Unidad Educativa “Alfredo Pareja Diezcanseco”

se debe instalar y ejecutar un antivirus corporativo actualizado, el mismo que debe

cumplir con los siguientes requerimientos para el mejor desempeño de los recursos de

las T.I:

Detectar y controlar cualquier acción intentada por un software malicioso en tiempo

real.

Ejecutar periódicamente un escaneo de todas las unidades de almacenamiento

para revisar y detectar software malicioso almacenado en la estación de trabajo.

Actualizar su base de datos de virus diariamente.

Debe ser un producto totalmente legal (con licencia o software libre).

Los dispositivos externos no deben ser utilizados en las computadoras de la

Unidad Educativa “Alfredo Pareja Diezcanseco”, a menos que sea absolutamente

necesario y hayan sido previamente escaneados y estén libres de virus u otros

agentes dañinos.

Firewall

El firewall de la Unidad Educativa “Alfredo Pareja Diezcanseco” debe presentar una

postura de negación preestablecida, configurado de manera que se prohíban todos los

protocolos y servicios, habilitando los necesarios. El encargado de mantenimiento debe

controlar periódicamente la configuración del firewall y los servicios de red,

documentando los resultados de dichas pruebas.

Ataques de red

Toda la información que se transmita por la red deberá encriptarse o viajar en formato

no legible.

La red debe estar monitoreada con alguna herramienta para evitar el ataque de

denegación de servicio (DoS).

62

La red deberá estar segmentada física o lógicamente para disminuir el riego de sniffing.

Para poder disminuir la posibilidad de spoofing el firewall deberá denegar el acceso a

cualquier tráfico de red externo que posea una dirección fuente que debería estar en el

interior de la red interna.

SEGURIDAD DE LAS APLICACIONES

Software

No se debe utilizar aplicaciones descargadas de internet, ya que estas pueden ser

bajadas de fuentes no confiables, a menos que dicho software sea aprobado por el

Departamento de Tics una vez que ellos lo hayan comprobado de manera rigurosa.

la Unidad Educativa “Alfredo Pareja Diezcanseco” debe contar con software legal, es

decir que cuenten con licencia adquirida para el uso de las labores diarias dentro de la

institución para prevenir sanciones por parte de las instituciones que la regulan o la

introducción de virus informáticos, se prohíbe estrictamente la instalación de software

no autorizado. El uso se software libre debe ser previamente analizado por el

Departamento de la unidad de Tics de la Unidad Educativa “Alfredo Pareja

Diezcanseco” antes de su instalación en los equipos.

Control de aplicaciones en las computadoras

Se creara un los respectivos pasos donde se especifique qué aplicaciones deben

instalarse de acuerdo al perfil de cada usuario y con qué frecuencia se harán las

actualizaciones de dichas aplicaciones

En caso que se solicite instalar una aplicación se debe entregar una solicitud de

instalación al encargado del departamento de Tics. Ver Anexo 6

Antes de hacer un cambio en la configuración de los servidores se deberá hacer

un respaldo de la configuración existente con el fin de evitar problemas con las

configuraciones previamente adaptadas.

Los cambios satisfactorios realizados en los servidores deberán almacenarse.

63

Se deberán documentar no solo el procedimiento de instalación y reparación de

equipos, sino además cada uno de los mantenimientos que se les realicen.

En el momento en que un nuevo usuario ingrese a la empresa, se lo deberá

notificar y deberá aceptar que tiene prohibida la instalación de cualquier producto

de software en los equipos.

Control de datos en las aplicaciones

Se deberán proteger con controles de acceso las carpetas que almacenen los archivos de

las aplicaciones, y solo el administrador de sistemas tendrá acceso a ellas.

SEGURIDAD FÍSICA

Los recursos de TI tanto físicos como lógicos de la Unidad Educativa “Alfredo Pareja

Diezcanseco” sólo deben usarse en un ambiente seguro.

Debe respetarse y no modificar la configuración de hardware y software

establecida por el Departamento de Tics.

Es prohibido comer o fumar en las estaciones de trabajo.

Deben protegerse los equipos de riesgos del medioambiente (por ejemplo, polvo,

incendio y agua).

No pueden moverse los equipos o reubicarlos sin permiso. Para llevar un equipo

fuera del campus universitario se requiere una autorización escrita.

La pérdida o robo de cualquier componente de hardware o programa de software

debe ser reportada inmediatamente al departamento de Tics o la autoridad del

plantel más cercano.

Cualquier inconveniente en las computadoras o en la red debe reportarse

rápidamente para evitar problemas serios como pérdida de la información o

indisponibilidad de los servicios .Ver Anexo 5

64

Control de acceso físico al data center

Se deberá asegurar que todos los individuos que ingresen a áreas restringidas se

identifiquen, sean autenticados y autorizados para ingresar.

El área del cuarto de datos donde se encuentran los servidores, el switch central y

demás equipamiento crítico solo debe tener permitido el acceso a los

administradores.

Los servidores de red y los equipos de comunicación deben estar ubicados en

sitios apropiados, protegidos contra daños y robo. Debe restringirse estrictamente

el acceso a estos sitios y a los cuartos de cableado a personas no autorizadas

mediante el uso de cerraduras y otros sistemas de acceso.

Control de acceso a equipos

Los siguientes controles de seguridad deben ser activados en todas las estaciones de

trabajo (workstation) con el fin de protegerlas contra el robo de la información:

Configurar el uso de contraseña para proteger el teclado y la pantalla, esto se debe

activar automáticamente luego de un período de inactividad. El intervalo de inactividad

no debe ser mayor a 15 minutos.

Dispositivos de soporte

En la Unidad Educativa “Alfredo Pareja Diezcanseco” deben existir los siguientes

dispositivos de soporte:

Aire acondicionado en el cuarto de datos para que se mantenga a una temperatura

oscilada entre 19º C y 20º C.

Extintor de incendios: deberán ser dispositivos químicos y manuales que cumplan

las especificaciones para extinguir incendios en equipos eléctricos de

computación. En el cuarto de datos debe existir uno exclusivamente.

Alarmas contra intrusos: estas deberán ser activadas en horarios no laborales. Ésta

deberá poder activarse manualmente en horarios laborales ante una emergencia.

65

UPS: Deberá existir al menos un UPS en el cuarto de datos que atienda a los

servidores, con tiempo suficiente para que se apaguen de forma segura.

Luz de emergencia: deberá existir una luz de emergencia que se active

automáticamente ante una contingencia.


Se deberá documentar en planos los canales de tendidos de cables y las bocas de

red existentes.

Deberá medirse periódicamente nivel de ancho de banda de red ocupado. Si este

nivel excede un mínimo permitido, deberán tomarse las acciones correctivas

necesarias.

Ante un corte del suministro de energía eléctrica deberán apagarse los equipos del

centro de cómputos de forma segura, como medida de prevención.

SEGURIDAD FÍSICA Y DEL ENTORNO

Las vulnerabilidades con respecto a la seguridad física tienen relación con destrucción

física, intrusos, problemas del ambiente y los empleados que han perdido sus privilegios

causen daños inesperados de datos o sistemas.

Instalaciones

Solo el personal del Departamento de la unidad de Tics cuenta con la llave para abrir la

puerta de acceso al data center. La seguridad física debería ser complementada con la

seguridad contra fuego. En la Unidad Educativa “Alfredo Pareja Diezcanseco” se

utilizan detectores de fuego activados por el humo, ya que son dispositivos que dan

señales de alerta tempranamente.

Perímetro de Seguridad

La primera línea de defensa trata el control del perímetro para prevenir acceso no

autorizado a la Unidad Educativa “Alfredo Pareja Diezcanseco”. Actualmente la

66

Unidad Educativa “Alfredo Pareja Diezcanseco” de la siguiente forma: El ingreso a la

Institución es por una sola puerta custodiada por un guardia de seguridad.

Controles Físicos de Entradas

Es importante contar con controles de acceso físico para resguardar todos los activos de

la Unidad Educativa “Alfredo Pareja Diezcanseco”, estos deben:

Supervisar a los visitantes de la Unidad Educativa “Alfredo Pareja Diezcanseco”

y registrar la fecha y horario de su ingreso y egreso

Mantenimiento de Equipos

Se realizará el mantenimiento del equipamiento para asegurar su disponibilidad e

integridad permanentes. Para ello se debe considerar:

El responsable del Departamento de unidad de Tics de la Unidad Educativa

“Alfredo Pareja Diezcanseco”, debe realizar un cronograma de mantenimiento de

los equipos y llevar un registro de la frecuencia del mantenimiento preventivo y el

detalle de los equipos. Ver Anexo 9

Establecer que sólo el personal de mantenimiento autorizado puede brindar

mantenimiento y llevar a cabo reparaciones en el equipamiento.

Registrar todas las fallas supuestas o reales y todo el mantenimiento preventivo y

correctivo realizado.

PROTECCIÓN CONTRA SOFTWARE MALICIOSO

Controles contra software malicioso

Estos controles deberán considerar las siguientes acciones:

Prohibir el uso de software no autorizado.

Instalar y actualizar periódicamente software de detección y reparación de virus,

examinado computadoras y medios informáticos.

67

Mantener los sistemas operativos al día con las últimas actualizaciones de

seguridad disponibles.

Revisar periódicamente el contenido de software y datos de los equipos de

procesamiento que sustentan procesos críticos de la Institución, investigando

formalmente la presencia de archivos no aprobados o modificaciones no

autorizadas.

Verificar antes de su uso, la presencia de virus en archivos de medios electrónicos

de origen incierto, o en archivos recibidos a través de redes no confiables.

Concientizar al personal acerca del problema de los virus y sus posibles

consecuencias.

GESTIÓN DE LA SEGURIDAD DE RED.

Controles de Red

El responsable del Departamento de la unidad de Tics definirá controles para

garantizar la seguridad de los datos contra el acceso no autorizado, considerando

la ejecución de las siguientes acciones:

Para establecer controles especiales para salvaguardar la confidencialidad e

integridad del procesamiento de los datos.

Implementación de controles especiales para mantener la disponibilidad de los

servicios de red y computadoras conectadas.

Garantizar mediante actividades de supervisión, que los controles se aplican

uniformemente en toda la infraestructura de procesamiento de información.

Gestión De Medios Removibles

Se deberán considerar las siguientes acciones para la administración de los medios

informáticos removibles:

Eliminar de forma segura los contenidos, si ya no son requeridos, de cualquier

medio reutilizable que ha de ser retirado o reutilizado por la Institución.

68

Almacenar todos los medios en un ambiente seguro y protegido, de acuerdo con

las especificaciones de los fabricantes o proveedores.

Intercambio de información.

Mensajería electrónica

Se debe documentar normas claras con respecto al uso de correo electrónico:

Todo empleado de la Unidad Educativa “Alfredo Pareja Diezcanseco” puede

solicitar y disponer de una cuenta de correo electrónica institucional.

El personal de la unidad de Tics hará la configuración de la cuenta de correo en la

computadora asignada al empleado solicitante.

Para activar el correo electrónico, se deberá enviar dicha solicitud por escrito y

debe ser debidamente aprobada.

Cuando un usuario recibe una nueva cuenta, debe firmar un documento donde

declara conocer las políticas y procedimientos de seguridad, y acepta sus

responsabilidades con relación al uso de esa cuenta.

Cuando un empleado es despedido o renuncia a la Unidad Educativa “Alfredo

Pareja Diezcanseco”, debe desactivarse la cuenta de correo correspondiente, para

lo cual se requerirá la notificación respectiva por parte del área administrativa.

Entender al correo electrónico como una herramienta más de trabajo provista al

empleado a fin de ser utilizada conforme el uso al cual está destinada, faculta al

empleador a implementar sistemas de controles destinados a velar por la

protección y el buen uso de sus recursos.

Esta Institución, sin embargo, deberá ejercerse salvaguardando la dignidad del

trabajador y su derecho a la intimidad. Por tal motivo, la Unidad Educativa

“Alfredo Pareja Diezcanseco” debe informar claramente a sus empleados: a) cuál

es el uso que la Unidad Educativa espera que los empleados hagan del correo

electrónico provisto; y b) bajo qué condiciones los mensajes pueden ser objeto de

control y monitoreo.

69

UTILIZACIÓN DE LOS SERVICIOS DE RED

Las conexiones no seguras a los servicios de red pueden afectar la

seguridad de toda la Unidad Educativa “Alfredo Pareja Diezcanseco”, por lo tanto,

se controlará el acceso a los servicios de red tanto internos como externos. Esto es

necesario para garantizar que los usuarios que tengan acceso a las redes y a sus

servicios, no comprometan la seguridad de los mismos.

El administrador de la red es el responsable de otorgar los permisos tanto a servicios

como recursos de la red, únicamente de acuerdo al pedido formal del solicitante.

Este control es particularmente importante para las conexiones de red a aplicaciones

que procesen información clasificada o aplicaciones críticas, o a usuarios que utilicen el

acceso desde sitios de alto riesgo, por ejemplo, áreas públicas o externas que están fuera

de la administración y del control de seguridad de la Unidad Educativa “Alfredo Pareja

Diezcanseco”.

Para ello, se desarrollarán procedimientos para la activación y desactivación de

derechos de acceso a las redes, los cuales comprenderán:

Identificar las redes y servicios de red a los cuales se permite el acceso.

Realizar normas y procedimientos de autorización para determinar las personas y

las redes y servicios de red a los cuales se les otorgará el acceso.

Monitorear de manera permanente el tráfico que se genere en la red para poder

detectar anomalías y amenazas en la misma.

En encargado del departamento de cómputo deberá obtener estadísticas del tráfico

de red, con el fin de mejorar la distribución del ancho de banda.

Se deberá garantizar que todos los equipos de cómputo de la unidad educativa

tengan acceso a internet.

Verificar al menos dos meses en el año todos los recursos de la red como

cableada, routers, entre otros.

70

Políticas del Departamento de Cómputo.

Objetivo.- Mantener al día la documentación regulatoria y procedimental del

Departamento de Cómputo, con la finalidad que las partes involucradas conozcan los

pasos a seguir para mejor rendimiento.

El responsable del departamento de cómputo deberá almacenar, difundir y garantizar el

cumplimiento de los protocolos y reglamentación.

Proponer mejoras de la reglamentación existente.

Manejo de Personal

Para que el departamento de cómputo funcione de la manera más adecuada deberá

contar con personal capacitado que podrán ocupar el cargo de jefe y otro que sería el

técnico del departamento de cómputo.

Funciones del Jefe del Departamento

Es el responsable principal de la administración y máxima autoridad dentro del

departamento de cómputo.

Asignar funciones y responsabilidades al técnico del departamento de cómputo.

Controlar las actividades realizadas por su equipo de trabajo.

Velar por el correcto funcionamiento de los equipos de cómputo de la Unidad

Educativa.

Realizar asesorías técnicas al personal de la Unidad Educativa.

Realizar instalaciones de equipos de cómputo y demás dispositivos tecnológicos

Administrar todos los recursos informáticos y garantizar el buen funcionamiento

de los mismos.

Realizar informes sobre requerimientos de equipos, suministros y repuestos que

sean necesarios para cumplir con sus funciones.

71

Realizar inventarios de todos los equipos de cómputos y demás dispositivos

tecnológicos de la Unidad Educativa. Ver Anexo 3

Emitir criterios sobre mejoras y cambios en la documentación y manuales de

procesos en los que intervengan infraestructura tecnológica.

Supervisar planes de contingencia de caso de incidentes en áreas asignados en sus

funciones.

Dar prioridad a tareas asignadas por la máxima autoridad.

Realizar respaldos de información.

Llevar un control del trabajo realizados en equipos y dispositivos de los

departamentos.

Capacitar a sus subordinados.

Socializar las políticas, normas, reglamentos y planes de contingencia a todos los

usuarios de equipos de cómputo de la Unidad Educativa.

Asistir a capacitaciones programadas por la máxima autoridad.

Cumplir con el código de ética y manual de convivencia que promulga la

Unidad Educativa.

Realizar informes mensuales de sus actividades y presentarlas a la máxima

autoridad.

Realizar capacitaciones continuas en el área técnica que involucre mejoras en el

desempeño de sus funciones.

Garantizar el cuidado y seguridad de la infraestructura tecnológica de la Unidad

Educativa.

72

Funciones del Técnico del Departamento de Tics

Para que el departamento de cómputo no tenga dificultades a la hora de responder con

los servicios que requiera la institución deberá contar con personal capacitado que

podrán ocupar el cargo de jefe y otro que sería el asistente técnico del departamento de

cómputo.

Una vez seleccionado el personal capacitado se tomara en cuenta los siguientes puntos:

Realizar las tareas encomendadas por el jefe del departamento de cómputo.

Realizar mantenimientos preventivos y correctivos de los equipos de cómputo de


Cumplir con el código de ética y manual de convivencia que promulga la Unidad

Educativa.

Realizar informes mensuales de sus actividades y presentarlas al jefe del

departamento de cómputo.

Realizar el seguimiento y monitorear las cámaras de seguridad de la Unidad

Educativa.

Brindar soporte técnico a todos los usuarios de la Unidad Educativa.

Registrar las actividades realizadas y presentarlas al jefe del departamento de

cómputo.

Realizar inventarios de equipos de cómputo y demás dispositivos tecnológicos de


Garantizar el cuidado y seguridad de la infraestructura tecnológica de la Unidad

Educativa

Mantener el orden y la limpieza en los Laboratorios de cómputo. o Apoyar en la

planificación y ejecución de planes de contingencia en los que intervenga su

inmediato superior.

73

Cumplir con todas las tareas asignadas por las autoridades de la Unidad

Educativa.

MANUAL DE PROCEDIMIENTO DEL DEPARTAMENTO DE CÓMPUTO.

Objetivo

El Manual de Procesos es su calidad de instrumento administrativo, tiene los siguientes

objetivos:

Describir los procesos sustantivos de las dependencias especificando los

procedimientos que lo conforman.

Extractar de forma ordenada, secuencial y detallada las operaciones que se

desarrollan en los procesos y los diferentes procedimientos que lo integran.

Delimitar las responsabilidades operativas para la ejecución, control y evaluación

del proceso.

Definir los estándares de calidad de los procesos de trabajo.

Establecer las políticas y lineamientos generales que deberán observarse en el

desarrollo de los procesos.

Apoyar en la inducción, adiestramiento y capacitación del personal responsable

de los procesos.

Servir de medio inductivo y orientación al personal de nuevo ingreso para facilitar

su incorporación en el área.

Alcance

Este documento es de aplicación exclusiva para el Proceso de Tecnologías de

Información de la Unidad Educativa “Alfredo Pareja Diezcanseco” y por ningún motivo

podrá proporcionarse a personal ajeno a esta entidad, su difusión y reproducción es

responsabilidad del Departamento de TIC’S.

74

Es obligatoria su observación para todo el personal de la entidad que interviene en las

actividades que este procedimiento establecido. Todas las actualizaciones deberán ser

efectuadas a través del Departamento de TIC’S.

A continuación, detallaremos los procedimientos informáticos a realizar para el correcto

funcionamiento de la Unidad Educativa:

Proceso: administración de red

Objetivos:

Brindar a la Institución una plataforma de red ágil y eficiente.

Mejorar la continuidad en la operación de la red con mecanismos adecuados de

control y monitoreo, de solución de problemas y suministro de recursos.

Hacer uso eficiente de la red utilizar mejor el recurso, como, por ejemplo, el

ancho de banda.

Alcance

Comienza con una verificación de los equipos activos de red y finaliza con un

mejoramiento o una solución previamente analizada.

Tabla 16 Administración de red

ACTIVIDADES

Nº Responsable Descripción

1 Jefe de TIC’S Análisis del estado físico y de software de los

equipos activos de red de la Unidad Educativa.

2 Jefe de TICS Envía a realizar inspección directa sobre el

funcionamiento de la administración de red.

3 Asistente de TICS

Realiza inspección a los puntos de red en las

75

distintas áreas administrativas. (soporte)

4 Asistente de TICS Verifica los centros de cableado y verifica

funciones ubicando posibles fallas.

5 Asistente de TICS Observación de los equipos verificando la

configuración en red, dirección de I.P., máscara

y puertos de enlace.

6 Asistente de TICS Chequeo completo y/o problema solucionado.

Autor: Brayan Tiban


Proceso: Administrador de software/licencias

Objetivo

Realizar la administración de las licencias de software, en los momentos de instalación

y conservación de estas.

Alcance

Este procedimiento puede ser utilizado para todas las áreas administrativas de la

Institución.

Tabla 17 Administrador de software

ACTIVIDADES


1 Jefe de TIC’S Recibo y verificación de las licencias

remitidas por el almacén.

76

2 Jefe de TIC’S Guarda en almacenamiento de seguridad a las

licencias dentro del departamento de TICS.

3 Jefe de TIC’S Actualización del inventario de licencias y de

computadores con el software adquirido.

4 Asistente de TICS Verificar instalación del software por parte del

proveedor o realización de la instalación del

mismo en los equipos correspondientes

5 Asistente de TICS Vistas a dependencias para verificar software

instalado.

6 Asistente de TICS Presenta al jefe de TIC’S informe de software

licenciado y no licenciado de toda la Unidad

Educativa para control y administración

general, si es el caso el jefe de oficina solicita a

los jefes de área tomar correctivos necesarios a

la hora de trabajar los softwares no legalizados.

7 Asistente de TICS Vistas a dependencias para eliminación de

software no licenciado.

8

Jefe de TIC’S

Verificación periódica del lugar de

almacenamiento de seguridad de las licencias,

registrar en cuadro de seguimiento.

Autor: Brayan Tiban


77

Proceso: copia de seguridad

Objetivo

Este procedimiento tiene por objeto garantizar la salvaguarda y restauración de la

información de las diferentes bases de datos archivados en medios magnéticos de los

servidores de la entidad, así como la información de los equipos de cómputo.

Alcance

Este procedimiento aplica para la generación de copias de seguridad en todas las

dependencias Administrativas de la Unidad Educativa.

Tabla 18 Copia de seguridad

FUNCIONES


1 Jefe de TIC’S Establecer la necesidad de hacer copias de

seguridad de la información de la Unidad

Educativa.

2 Asistente de TICS Generar la copia de seguridad de la información

de los usuarios y sistemas de información desde

los equipos cliente y servidores.

3 Asistente de TICS Examinar las cintas para determinar la

información contenida.

4 Asistente de TICS Archivar la copia en el depósito de asignado.

Autor: Brayan Tiban


78

Proceso: instalación de equipos

Objetivo

Integrar a la red de la Unidad Educativa el equipo de cómputo de nueva adquisición, así

como la actualización, sustitución o instalación de diferentes componentes de software

o hardware.

Alcance

Aplica en todas las áreas administrativas de la Unidad Educativa, Iniciando así con la

solicitud de necesidades de instalación del equipo y finaliza con la aprobación de

instalación dando así respuesta a las necesidades.

Tabla 19 Instalaciones de equipos

FUNCIONES


1 Jefe de TICS Recoge del almacenista equipo de cómputo y/o

impresoras.

2 Jefe de TIC’S Asigna al analista de soporte técnico responsable de

realizar la instalación y/o configuración del equipo.

3 Asistente de TICS Registra y actualiza en el sistema de inventarios de

TIC’S el equipo instalado.

4 Asistente de TICS Crea un documento de asignación especificando las

características del equipo e imprime.

5 Asistente de TICS Configura el equipo de cómputo y/o impresoras.

6 Asistente de TICS Instala equipo o componente en el lugar del usuario.

79

7 Asistente de TICS Solicita firma del usuario en el documento de

asignación de equipo.

8 Usuario Firma documento de asignación de equipo y entrega

al jefe del departamento de TIC’S.

9 Asistente de TICS Recibe y entrega copia al departamento de TIC’S

10 Asistente de TICS Archivar documento de asignación debidamente

firmado en expediente.

Autor: Brayan Tiban


Proceso: baja de equipo de cómputo

Objetivos

Establecer los lineamientos y actividades para el reintegro de bienes que se encuentran

en con falta de uso por su estado de obsolescencia o inservibles, con el fin de darlos de

baja, donarlos o destruirlos.

Verificar que el equipo de cómputo obsoleto y/o con daño físico de hardware o software

que no cumpla con el objetivo de su adquisición y asignación sea desincorporado de la

Red de Comunicaciones.

Alcance

Identificación del activo que se encuentre en desuso, obsolescencia, daño o inservible

en la Unidad Educativa.

80

Tabla 20 Baja de equipos de cómputo

FUNCIONES


1 Jefe de TICS Recoge el equipo de cómputo del usuario y lo

traslada al departamento de TIC’S.

2 Jefe de TICS Asigna computadora para el respectivo

análisis al asistente.

3 Asistente de TICS Elabora un diagnostico técnico en original del

equipo de cómputo determinando las

situaciones la que se encuentra y considera la

factibilidad de extraer piezas reutilizables.

4 Asistente de TICS En caso de contar con piezas reutilizables:

extraer la pieza reutilizable del equipo de

cómputo.

5 Asistente de TICS Realiza un inventario de las piezas para llevar

el control de equipo de piezas extraídas y

equipo al que se las extrajo.

6 Asistente de TIC’S Elabora un dictamen técnico en original del

equipo de cómputo especificando la falla y

piezas que fueron extraídas para su

reutilización.

81

7 Jefe de TIC’S Enviar dictamen técnico del equipo de cómputo

en original al jefe del departamento

Administrativo de la Unidad Educativa para la

autorización de baja del equipo por parte del

departamento de TIC’S.

8 Jefe de TICS Acata del departamento de TIC’S el dictamen

técnico en copia y lo archiva de manera

cronológica permanente en el expediente de

dictámenes técnicos.

9 Asistente de TICS Si al caso de no contar con piezas reutilizables:

realizar un informe de la baja de equipo de

cómputo y obtiene una fotocopia, envía al jefe

del área administrativa y archivar en el

expediente de bajas de equipos.

10 Asistente de TICS Elabora pase de salida detallando los equipos

que serán, dados de baja.

11 Usuario Administrativo

Entrega en original el equipo de cómputo al

departamento para su baja definitiva.

Autor: Brayan Tiban


Proceso: mantenimiento de equipo

Objetivos

Conocer la forma correcta de mantener las Pc´s en buen estado de acuerdo a los

mantenimientos Preventivos y Correctivos tanto en Software como en Hardware, para

su óptimo desempeño, evitar problemas o fallas y corregirlas a tiempo.

82

Verificar que el equipo de cómputo en general, este en óptimas condiciones de

operatividad, verificar que los periféricos y dispositivos electrónicos existentes en la

Unidad Educativa se encuentren en condiciones adecuadas de operación y

funcionamiento.

Alcance

El procedimiento de mantenimiento hacia un equipo informático aplicara para todos

equipos de la Unidad Educativa antes o después de algún daño existente tomando en

cuenta la gravedad del equipo.

Tabla 21 Mantenimiento de equipos

FUNCIONES


1 Usuario Solicita Mantenimiento por medio de

solicitud al departamento de TICS.

2 Jefe de TICS Atiende solicitud, determina un diagnóstico

y se evalúa el posible tipo de mantenimiento

que se le realizara.

3 Jefe de TICS Si es mantenimiento preventivo, se procede

a revisar el equipo según lo solicitado, una

vez revisado el equipo se procederá a

entregar el equipo

4 Jefe de TICS Si el mantenimiento es correctivo, se

procede a realizar la respectiva revisión, en

caso de existir fallas se procede a verificar

las posibles fallas

83

5 Jefe de TICS Si la falla es de hardware se procederá a

realizar el Mantenimiento utilizando los

recursos a su alcance.

6 Jefe de TIC’S Si requiere de un cambio de piezas, solicita

pedido al rectorado.

7 Rectorado Recibe solicitud de pedido, verifica

disponibilidad de recursos financieros. Si

existen recursos, responde solicitud de

disponibilidad de recursos.

8

Jefe de TICS

El departamento de TICS procede a realizar

compra al proveedor de alguna pieza.

9 Jefe de TICS Si la falla es de software se procederá a

realizar el mantenimiento utilizando los

recursos a su alcance

10 Jefe de TICS Entrega de equipo en buen funcionamiento y

firma de solicitud de realizar mantenimiento

al usuario.

Autor: Brayan Tiban


Proceso: asignación y cambio de computadora

Objetivo

Verificar oportunamente los equipos de cómputo autorizados a las partes interesadas en

el ciberespacio y áreas administrativas llevando el registro y control de los mismos

84

Alcance

Inicia solicitud pidiendo asignación o cambio del equipo y finaliza con su respectivo

cambio o asignación esto será aplicable a todas las áreas administrativas del colegio.

Tabla 22 Asignación y cambio de computadoras

FUNCIONES


1

Jefe de TIC’S

Recibe petición del usuario del área

administrativa en la que solicita equipo de

cómputo para asignación o cambio del que ya se

tiene.

2 Jefe de TIC’S Si es asignación de equipo, instruye al asistente

de Tics para que Verifique en la bodega la

existencia y disponibilidad

3 Asistente de TICS Recibe indicación y procede a verificar la

disponibilidad de equipo de cómputo, ya sea

usado o nuevo, existente en la bodega.

4 Asistente de TICS Proporciona un equipo usado con mayor o igual

capacidad que satisfaga las necesidades

operativas que requiere el usuario, realiza

pruebas de arranque del equipo y lo deja

funcionando con normalidad.

85

5 Asistente de TICS Proporciona equipo nuevo, instala, realiza

prueba de arranque y lo deja funcionando

adecuadamente.

6

Asistente de TICS Instala equipo y realiza pruebas de arranque,

dejándolo en óptimas condiciones de

funcionamiento para satisfacer las necesidades

operativas que requiere el usuario.

7 Jefe de TIC’S Si la petición del usuario es por cambio de

equipo del que ya se tiene, entonces instruye al

técnico para evaluar las condiciones del equipo

en uso y las necesidades que se requiere para la

sustitución.

8 Asistente de TICS Recibe indicación y procede a verificar la

disponibilidad de equipos de cómputo, ya sean

usados o nuevos existentes en la bodega.

9 Asistente de TICS Confirma la existencia de equipo y acude al área

solicitante para evaluar el equipo de cómputo del

usuario y asignar equipo nuevo o usado de

acuerdo a sus requerimientos.

10 Asistente de TICS Realiza inspección y verificación del

funcionamiento del equipo y determina la

necesidad de cambiarse por uno de mayor

capacidad (usado), o bien, por uno nuevo.

86

11 Asistente de TICS Proporciona un equipo usado con mayor

capacidad que satisfaga las necesidades

operativas que requiere el usuario, y lo deja

funcionando.

12 Asistente de TICS Proporciona equipo nuevo, instala, realiza

pruebas de arranque y lo deja funcionando

adecuadamente.

13 Asistente de TICS Solicita al usuario firma de conformidad la

entrega del equipo.

14 Rectorado /Vicerrectorado Firma oficio de recibido y espera a que el

departamento de TIC’S le haga llegar el

resguardo correspondiente.

15 Asistente de TICS Obtiene acuse de recibido e informa al jefe del

departamento de TIC’S que la petición del

usuario ha sido atendida adecuadamente.

16 Jefe de Tic’s Recibe el respectivo reporte de servicio atendido

y envía copia del oficio de asignación o cambio,

firmado por el usuario al departamento de TIC’S

y a la dirección de informática.

Autor: Brayan Tiban


Identificación de riesgos y creación de plan de contingencia

Una vez realizado el respectivo análisis en la unidad educativa, se ha llegado a la

conclusión de que los principales riesgos a los que está expuesta la infraestructura

tecnológica son:

87

Robo o pérdida de equipos de cómputo

Incendios

Inundaciones

Sismos y Terremoto

Plan de contingencia en caso de robo o pérdida de equipos de cómputo

El robo o pérdida de equipos es el principal riesgo que ha sufrido la Unidad educativa,

para lo cual se proponen las medidas necesarias para prevenir o reducir el impacto que

pueda producir tipo de riesgo.

Etapa 1: Prevención

Contratar un seguro contra el robo de equipos de cómputo de toda la unidad

educativa.

Tener un registro constantemente a las personas que ingresen y salgan de los

departamentos y laboratorios de cómputo de la Unidad Educativa.

Adquirir un sistema de video vigilancia y que este funcione las 24 horas del día,

los siete días de la semana y 365 días del año.

Colocar protectores de hierro en las ventanas y puertas de acceso de los

departamentos y laboratorios de equipos de cómputo de la Unidad Educativa.

Instalar un sistema de control biométrico para el acceso a los departamentos y

laboratorios de cómputo de la Unidad Educativa.

Por seguridad utilizar correas plásticas para organizar y asegurar los cables

externos de los equipos de cómputo tanto de departamentos administrativos como

de los laboratorios de cómputo evitando así ser sustraídos o reubicados a otros

lugares sin el permiso respectivo del encargado.

Los laboratorios de cómputo deberán permanecer cerrados y se abrirán bajo la

responsabilidad del docente a cargo de su jornada de clase o alguna autoridad

88

responsable, ingresando primeramente el responsable y luego los estudiantes,

verificando alguna anomalía que pueda existir, informando al encargado antes de

empezar con la utilización de los equipos.

Al finalizar la jornada de clase del docente que ingreso al laboratorio de cómputo

deberá pedir que salgan sus estudiantes verificando que todos los equipos estecen

funcionando después de su utilización y salir en orden, cerrando la puerta y

entregando la responsabilidad del laboratorio al encargado del departamento de

cómputo.

No dejar ingresar a personas ajenas a la Unidad Educativa, a que utilicen los

equipos de cómputo ya sean de los departamentos o de laboratorios de cómputo,

sin el respectivo permiso de una autoridad responsable.

Realizar backups periódicos de la información de los equipos de cómputo de los

departamentos.

Etapa 2: Procesos

Registrar, contabilizar y evaluar los daños o pérdidas ocasionadas.

Realizar un informe detallado de lo sucedido y dirigirlo a la máxima autoridad.

Realizar una investigación interna exhaustiva para llegar a encontrar culpables

posibles culpables, mediante observación de videos de seguridad o testimonios de

personas involucradas.

En caso de que el robo sea en gran medida se deberá realizar la respectiva

denuncia en la fiscalía y dar aviso a la policía.

Etapa 3: Recuperación

Hacer uso del seguro contra robos de equipos de cómputo contratado con anterioridad.

Realizar el seguimiento respectivo al proceso de investigación interno, de la fiscalía y

policía.

89

Plan de contingencia en caso de incendio

Un riesgo que tiene mayor probabilidad de que ocurra en la unidad educativa es el

incendio y este puede llegar a provocar pérdidas totales en la infraestructura

tecnológica, para la cual se deberá tomar a consideración la utilización de este plan a fin

de minimizar el impacto que podría ocasionar este riesgo.

El plan de contingencia para este riesgo contempla las medidas a tomar a consideración

todo el tiempo para evitar que ocurran, y al mismo tiempo se presentan procesos a

seguir si llegase a suscitar un incendio con el fin de reducir pérdidas y poder restablecer

los servicios tecnológicos en el menor tiempo.


Contratar un seguro contra daños de equipos de cómputo de toda la Unidad

Educativa.

Pedir al cuerpo de bomberos que brinde conferencias al menos una vez al año a

toda población de la unidad educativa sobre la prevención de incendios y en caso

de suscitarse alguno que hacer.

No permitir que se manipule algún material inflamable en los departamentos y

laboratorios de cómputo de la unidad educativa.

No se debe utilizar material inflamable cerca de los equipos eléctricos de la

unidad educativa.

No permitir el ingreso de ningún tipo de líquidos cerca de los equipos de cómputo

o conexiones eléctricas de los departamentos y laboratorios de cómputo.

Realizar mantenimientos preventivos de los equipos de cómputo que son

elementos de la infraestructura tecnológica de la institución sean estos internos o

externos, mínimo cada 3 meses para así evitar acumulación de polvo u otros

agentes que pueden causar aumento de temperaturas y causar daños eléctricos en

dichos equipos y causar algún incendio.

90

Apagar los equipos de cómputo y dispositivos que no se utilicen y ser posible

desconectarlos de la toma corriente, para así evitar algún cortocircuito.

Al momento de realizar mantenimientos preventivos o correctivos desconectar los

equipos de cómputo de la fuente de alimentación eléctrica.

Realizar la respectiva conexión a tierra de todo el flujo eléctrico que exista en los

departamentos y laboratorios de cómputo.

Realizar mantenimientos en las instalaciones eléctricas al menos dos veces en el

año.

Si se requiere realizar algún cableado eléctrico colocar canaletas ya sean sobre las

paredes o sobre el piso.

Prevenir cualquier desperfecto en las instalaciones eléctricas de forma inmediata.

Implementar nuevas conexiones eléctricas para así evitar la sobrecarga de

dispositivos sobre una misma conexión.

Ubicar en lugares estratégicos y cercanos a los departamentos y laboratorios de

cómputo, tomando en cuenta la visibilidad y el fácil acceso a los mismos.

Implementar un sistema de prevención de incendios que contenga elementos

como extintores, alarmas, sensores de humo y calor en los departamentos

administrativos y laboratorios de cómputo.

Colocar sistemas de aires acondicionados en los departamentos y laboratorios de

cómputo, para poder disipar la generación de calor que generan los computadores.

Realizar simulacros con toda la población de la Unidad Educativa sobre las

medidas a tomar en caso de incendio.

Enseñar a todos los involucrados acerca del correcto uso de los extintores.

Socializar con todos los involucrados el presente plan de contingencia en caso de

incendio.

91

Realizar backups programados de la información de los equipos de cómputo de

los equipos tecnológicos.

Etapa 2: Procesos

Utilizar el extintor e intentar apagar las llamas provocadas por el incendio.

Avisar de manera urgente al encargado del departamento de cómputo.

Si el incendio es a gran escala y no se puede controlar con los extintores y el

sistema de prevención de incendios comunicarse lo antes posible al Cuerpo de

Bomberos o al Sistema Integrado ECU 911.

Detener el servicio eléctrico, bajando los breakers que dan a la energía eléctrica.

Realizar una evacuación ordenada a todas las personas que se encuentren en el del

lugar del incendio.


Hacer uso del seguro contra incendios de equipos de cómputo contratado con

anterioridad.

Registrar, contabilizar y evaluar los daños ocasionados de los equipos de

cómputo.

Realizar un informe detallado de lo sucedido con los equipos de cómputo dirigido

a la máxima autoridad de la Unidad Educativa.

Plan de contingencia en caso de inundación


Contratar un seguro contra daños de equipos de cómputo de toda la Unidad

Educativa.

Contratar a personal calificado para que impermeabilice techos y paredes

externas.

98

92

Verificar con personal calificado como mínimo dos veces al año las tuberías de

agua cercanas a equipos de cómputo tanto de los departamentos como de los

laboratorios de cómputo.

Revisar que durante y al terminar la jornada de trabajo se cierren todas las

ventanas para que no ingrese agua en horas de lluvia.

Considerar la revisión de tuberías de esfogue de los aires acondicionados por

personal especializado.


departamentos.

Etapa 2: Procesos

Salir de forma ordenada de los departamentos y laboratorios de cómputo

afectados.

Suspender el suministro de energía eléctrico en los lugares afectados de ser el

caso.

Suspende el suministro de agua de los lugares afectados de ser el caso.

Mover los equipos de cómputo a un lugar donde no existan incidentes de este tipo

Encontrar la fuga que estece provocando este incidente.

Solucionar el desperfecto con personal calificado.

Recoger el agua del área afectada y secarla.


Registrar, contabilizar y evaluar los daños ocasionados en los equipos de

cómputo.

Realizar un informe detallado de lo sucedido con los equipos de cómputo dirigido

a la máxima autoridad de la unidad educativa.

93

Hacer uso del seguro contra incendios de equipos de cómputo contratado con

anterioridad.

Ubicar nuevamente los equipos que fueron movidos y que se encuentran en buen

estado.

Verificar la existencia de repuestos en el departamento de cómputo o a su vez

adquirir nuevos equipos que reemplacen a los dañados.

Realizar la solicitud de adquisición de nuevos equipos a la máxima autoridad.

Reubicar los equipos nuevos en los departamentos destinados.

Plan de contingencia en caso de sismos y terremotos.


Ubicar los equipos de cómputo sobre muebles (mesas) que estecen fijas y no se

tambaleen con movimientos leves.

Asegurar los equipos de cómputo con alguna seguridad sobre los muebles

(mesas).

Resguardar los equipos tecnológicos que se encuentran en las paredes o techos de

los departamentos y laboratorios.


departamentos.

Realizar simulacros para estar preparados y saber reaccionar antes este riesgo.

Etapa 2: Procesos

Salir de forma ordenada de los departamentos y laboratorios de cómputo

afectados y ubicarse en un lugar seguro.

Verificar que todas las personas de la Unidad Educativa hayan sido evacuadas sin

excepciones.

94

Suspender el suministro de energía eléctrico en los lugares afectados de ser el

caso.


Realizar un inventario de los equipos de cómputo afectados.

Realizar pruebas de funcionamiento de equipos y servicios de toda la unidad

educativa.

Reemplazar equipos de cómputo afectados y reinstalar el software requerido.

Restaurar la información almacenada de los dispositivos de almacenamiento de

respaldo.

Solicitar las garantías de los equipos dañados o solicitar a la máxima autoridad la

adquisición de equipos nuevos.

Elaboración del presupuesto

Para poder realizar la implementación del plan informático es preciso tomar en cuenta

una variedad de recursos materiales y tecnológicos, los cuáles se indica a continuación,

no se tomará en cuenta los equipos y materiales que se encuentren funcionando y en

buen estado en la Unidad Educativa. Se tomará en cuenta características mínimas

necesarias de cada recurso según requerimientos del plantel.

Tabla 23 Elaboración del presupuesto

CANTIDAD DETALLE DESCRIPCIÓN V.UNITARI

O

V.

TOTAL

01 Disco Duro

externo

• Capacidad: 2TB

• Interface: USB 3.0 -

5Gb/s y USB 2.0 -

480Mb/s

• Velocidad: 5400RPM

• Diseño compacto 2.5"

en color NEGRO, AZUL

o ROJO

• Formato NTFS listo

para usar + Software

auto-respaldo

• Dimensiones 7.8 x 1.4 x

95 95,00

95

10.9 cm

• Peso 230 gramos

01 Computador

a de

escritorio

• Amd a68n-2100+mb

biostar

• Disco duro 320gb

wester digital sata pulk

• Memoria ddr3 4gb

kingston pc1600

• Lector de memoria

interno speddmind

• Dvd rw sata marca

samsung

• Case combo omega

teclado/mouse/parlantes

• Monitor 15,6" led aoc

310 310,00

01 laptop • Portatil dell 3467

• Procesador core i5-

7200u 7ma generacion

• Memoria 8gb

• Bluetooth

• Pantalla 14"

580 580,00

01 CPU servidor • Procesador intel core i5

7400 3,0 ghz hasta 3,5

ghz

• Memoria 4 gb ddr4 pc

2400 expandible a 32gb

en ram

• Motherboard asus o

gigabyte h110

• Disco duro 2000 gb sata

7200 rpm

• Sonido video red hdmi

• Usb 3.0 - 2.0

600 600,00

01 Royo de

cable UTP

• Rollo de cable utp de

305 metros

• Blindado

• Categoria 6

• Marca nexxt.

270 270,00

01 RJ45

(paquetes

100

unidades)

• categoria 6

• marca nexxt.

12,5 13,00

10 Jack RJ45 • Jack RJ-45

• categoria 6

• marca nexxt.

2,75 28,00

96

Autor: Brayan Tiban


02 Pach Panel • Tipo Panel de Parcheo de

impacto

• Color: Negro

• No. de puertos: 12

• Esquema de cableado:

T568A / T568B

• Estilo: Plano

• Identificación: Espacio

para etiqueta

• Compatible con

herramienta de impacto 110.

21 42,00

01 Rack

Cerrado

• Modelo : BE-09-I1072

12UR

• 55 cms (ancho) x 60 cms

(altura) x 50 cms

(profundidad)

184 184,00

15 Cajetines de

red

Cajetin para redes un puerto

rj45

01 Organizador

de cables

• Organizador de cableado

horizontal, ocupa 2 UR

• Con montaje en rack de

19"

• Ideales para redes

Ethernet/ Fast Ethernet

/Gigabit Ethernet (1000

Base-T).

18,5 19,00

02 Switch 16

puertos

• Switch de mesa

• Marca Nexxt

• No requiere instalación

• 16 puertos de red cableada

• Conexion Fast Ethernet

40 80,00

01 Canaleta • Caja canaletas dexson

• Plásticas sin division pvc

• Con adhesivo 2 mts y 20 x

12 mm (50 u|nd)

150 150,00

01 Mano de

obra

250 250,00

TOTAL 2.621

97

Conclusiones parciales del capítulo.

Las buenas prácticas de seguridad de la información planteadas en la normativa

ISO/IEC 27032/2012 permiten desarrollar planes de seguridad que nos llevan a un

proceso de mejora continua en la Unidad Educativa “Alfredo Pareja

Diezcanseco”.

Se ha tomado en cuenta la normativa ISO/IEC 27032/2012, ya que garantiza el

grado de calidad en las políticas planteadas lo que contribuye a una eficiente

seguridad de la información en el ciberespacio.

La normativa ISO 27032/2012 por ser un estándar recomendado para desarrollar

el plan de seguridad, ya que aquí disponemos de la metodología para efectuar el

análisis de riesgos y amenazas para los activos físicos y lógicos de la Unidad

Educativa.

Con el desarrollo del presente plan de ciberseguridad, se da el primer paso en el

tema de fomentar una cultura de buenas costumbres de seguridad informática para

los docentes, alumnado y personal que labora la Unidad Educativa “Alfredo

Pareja Diezcanseco.

98

CONCLUSIONES Y RECOMENDACIONES

CONCLUSIONES

Un plan informático es muy importante para los avances de las instituciones

educativas desde ya hace mucho tiempo atrás, el mismo es fundamental porque

ayuda a mejorar su seguridad de la información en los equipos tecnológicos.

Según el análisis de la situación actual correspondiente al área tecnológica de la

Unidad Educativa “Alfredo Pareja Diezcanseco” tienen deficiencia en ciertos

procesos para la seguridad de la información y otros carecen de los mismos, en

los que existen se logró determinar que no cumplen con lo establecido y por ende

esto afecta los servicios tecnológicos de la misma.

Se ha diseñado documentos regulatorios que brindarán una normativa y asignarán

responsabilidades, de esta manera se garantizará un apersonamiento de los

usuarios de la misma en sus diferentes actividades y departamentos.

Se estableció políticas y normas de seguridad en el de recursos informáticos, los

mismos facilitarán los procesos a seguir en caso de circunstancias detalladas en

estos documentos.

Se logró determinar los posibles riesgos que se pueden suscitar en relación con la

infraestructura tecnológica y proponer un plan preventivo en caso de alguno de

los detallados en el plan de contingencia.

Si las autoridades aplicarán el presente plan ayudaría en gran medida a mejorar y

brindar una gestión de calidad en cuanto a ciberseguridad se trata.

99

RECOMENDACIONES

Se recomienda la implementación del presente plan informática lo más pronto

posible, ya que el mismo está basado en la problemática actual de la Unidad

Educativa “Alfredo Pareja Diezcanseco” y con tecnología actual de nuestro

entorno.

Se recomienda tomar las precauciones del caso en relación a la infraestructura

tecnológica y más aún con los equipos de cómputo de los laboratorios y de los

diferentes departamentos de la Unidad Educativa, por tal motivo se motiva a

utilizar la planificación de equipos de cómputo del presente plan.

Se recomienda la capacitación al personal encargado del departamento de

cómputo de forma continua ya que es la persona que vela por toda la seguridad la

información de la Unidad Educativa y por ende facilitar y resolver problemas de

manera óptima.

El presente proyecto de investigación será de mucha ayuda a estudiantes que se

planteen como proyecto el desarrollo de un plan informático ya que tendrán como

base y estructura la presente propuesta, obteniendo un producto aceptable y de

calidad más que todo el resguardo de la información.

Socializar el presente plan informático con todos los interesados en la

ciberseguridad antes de ponerlo en marcha ya que de esta manera los usuarios

podrán participar y apoyar en todas las actividades del mismo mediante el

cronograma de actividades.

BIBLIOGRAFÍA

Alberto, G., & Nicolas, M. (1997). Sistemas de información en las empresas. Oviedo,

España: Universidad de Oviedo.

Alfonso, G., Cervigón, H., & María, D. P. (2011). Seguridad Informática. Madrid,

España: Paraninfo S.A.

Alfonso, G., Hurtado, C., & María, R. (2011). Seguridad Informática. Madrid, España:

Paraninfo S.A.

Álvaro, V. (2014). Enciclopedia de la Seguridad Informática. Madrid, España: RA-MA

S.A.

Baca, G. (2016). Introducción a la Seguridad Informática. México: EBOOK.

Carmona, G. (2012). Sistemas operativos, búsqueda de información: Internet/Intranet y

correo-e. Antequera, Málaga: INNOVACION Y CAULIFICACION.

Fernando, M., Manuel, S., Juan, D., & Jose, G. (2004). Auxiliares administrativos de la

diputación provincial de Huesca. Sevilla, España: MAD S.L.

Guallpa, L. (2017). PLAN DE SEGURIDAD INFORMÁTICA BASADA EN LA NORMA

ISO 27002... Ambato: Uniandes.

Guzmayán, C. (2004). Internet y la Investigación científica. Bogotá, Colombia:

MAGISTERIO.

Illescas, A., & D, S. (2014). Seguridad de las redes abiertas. Guatemala: Marilyn

Alonzo.

Josep, C. (2013). Sistemas de información en la empresa. Barcelona, España: UOC.

Justin, S. (2017). LOS DERECHOS HUMANOS DE LOS NI ÑOS, NI ÑAS,

ADOLECENTES Y... Quevedo: Uniandes.

Lackerbauer, I. (2000). Easy Internet, 4. Barcelona, España: BOIXAREU EDITORES.

Lisa, A. R. (1988). Seguridad e higiene en el trabajo. Barcelona, España: BOIXAREU.

María, J. M., Josep, M. M., & Ramón, S. S. (2010). Escaneando la información.

Barcelona: UOC.

Medina, J. (2014). Evaluación de Vulnerabilidad TIC. Murcia, España: Kindle.

Pablos, C. d., Lopez, J., Romo, S., & Medina, S. (2004). Informática y

Comunicaciones en la Empresa. Madrid: ESIC.

Pagán, A. (2014). Tomando la Seguridad Enserio. Estados Unidos: Palibrio LLC.

Purificación, A. (2010). Seguridad informática. Madrid, España: Editex.

Quezada, S., & Bruce, B. (2002). En busca de la seguridad perdida. México: Siglo

veintiuno.

Telefónica, F. (2012). Privacidad y seguridad en la red. Barcelona, España: Ariel.

Gómez Vieites, Á. (2012). Sistemas de Información. España: Alfa omega. Recuperado

el 06 de 02 de 2018

Gutiérrez, A., & Bravo, G. (2005). PHP5 a través de ejemplos. México: Alfaomega.

Recuperado el 05 de 02 de 2018

Laudon, K. C., & Laudon, J. P. (1996). Administración de los sistemas de información

(Tercera ed.). México: Prentice Hall Hispanoamericana. Recuperado el 05 de 02 de

2018

Laudon, K. C., & Laudon, J. P. (2004). Sistemas de información gerencial:

administración de la empresa digital (Octava ed.). (A. N. Ramos, Trad.) México:

Pearson Educación. Recuperado el 05 de 02 de 2018

Nevado Cabello, V. (2011). Introducción a las bases de datos relacionales. Madrid,

España: Vision Libros. Recuperado el 05 de 02 de 2018

O'Brien, J. A., & Marakas, G. M. (2006). Sistemas de información gerencial (Séptima

ed.). México: McGraw Hill. Recuperado el 02 de 05 de 2018

Pezantes Carpio, D. M. (2017). Aplicación web para la gestión del servicio al cliente.

Ambato.

Piattini Velthuis, M. G., & Castaño, A. M. (1999). Fundamentos y modelos de base de

datos (Segunda ed.). Madrid: Alfaomega. Recuperado el 05 de 02 de 2018

Quelal Córdova, T. I., & Valdospinos Játiva, P. (2013). Aplicación web para

reservaciones del complejo turístivo Valle Hermoso. Ibarra.

Sommerville, I. (2006). Ingeniería del software (Séptima ed.). Madrid, España: Pearson

Educación. Recuperado el 05 de 02 de 2018

Stracuzzi, S. P., & Pestana, F. M. (2012). Metodología de la Investigación Cuantitativa

(Tercera ed.). Caracas, Venezuela: FEDUPEL. Recuperado el 16 de 11 de 2017

Suárez Falzón, Y. (14 de 10 de 2015). De Programación. Recuperado el 05 de 02 de

2018,de Aplicaciones Web: Ventajas y Desventajas:

http://deprogramacion.cubava.cu/2015/10/14/aplicaciones-web-ventajas-y-desventajas/

ANEXOS

Anexo 1. Lugar donde se diseñó el Proyecto de Investigación.

Interior de la institución donde se realizó el proyecto de investigación

Otro ángulo del interior de la Unidad Educativa.

Anexo 2. Banco de preguntas.

UNIVERSIDAD REGIONAL AUTÓNOMA

DE LOS ANDES “UNIANDES”

Tenga usted un buen día, soy estudiante de la Universidad UNIANDES.

Objetivo Encuesta: Recolectar información con carácter confidencial para desarrollar

un Plan informático basado en las normas ISO/IEC 27032/2012 para mejorar la

Ciberseguridad de los recursos de información y comunicación (TIC’S) de la Unidad

Educativa Dr. Alfredo Pareja Diezcanseco.

Muchas gracias por su colaboración.

Dirigido a: Estudiantes

Estimados estudiantes marquen con una X su respuesta.

1. ¿Es consciente de los diferentes servicios tecnológicos que ofrece la Unidad

Educativa para su enseñanza?

SI NO

2. ¿Con que frecuencia utiliza usted los servicios Tecnológicos de la Unidad

Educativa “Alfredo Pareja Diezcanseco”.

Diario Semanal Quincenal Mensual

3. ¿La prestación de servicios Tecnológicos de la Unidad Educativa “Alfredo Pareja

Diezcanseco” es?:

Muy Bueno Bueno Regular Malo

4. ¿Los servicios tecnológicos que usted ha solicitado a los encargados de los

diferentes departamentos de Tics de la Unidad Educativa “Alfredo Pareja

Diezcanseco” son?:

Muy Bueno Bueno Regular Nada

Conveniente

5. ¿Tiene conocimientos de las normas de uso de los recursos tecnológicos de

información (Tics) comunicación en la Unidad Educativa”?

SI NO

6. ¿Con que frecuencia que utiliza el Internet de la Unidad Educativa “Alfredo

Pareja Diezcanseco?:

Constante Frecuente

7. ¿Según su propia opinión cree usted que es conveniente mejorar las estrategias y

políticas de la Unidad de tics de la Unidad Educativa “Alfredo Pareja

Diezcanseco?

SI NO

8. ¿Conoce el proceso para solicitar algún recurso tecnológico Educativa “Alfredo

Pareja Diezcanseco”.?

SI NO

9. ¿Para la realización de sus tareas utiliza los computadores de los laboratorios de la

Unidad de Tics de la Unidad Educativa “Alfredo Pareja Diezcanseco”.?

Siempre A veces Nunca

10. ¿Cree Ud. que diseñando plan informático mejoraría en algo la ciberseguridad de

los recursos tecnológicos de información y comunicación en el plantel?

SI NO m Tal vez

Anexo 3. Encuesta dirigida al Rector de la Unidad Educativa.

UNIVERSIDAD REGIONAL AUTÓNOMA

DE LOS ANDES “UNIANDES”

Tenga usted un buen día, soy estudiantes de la Universidad UNIANDES.

Objetivo de la Entrevista: Recolectar información con carácter confidencial para

desarrollar un Plan informático basado en las normas ISO/IEC 27032/2012 para

mejorar la Ciberseguridad de los recursos de información y comunicación (TIC’S) de la

Unidad Educativa Alfredo Pareja Diezcanseco

Muchas gracias por su colaboración.

Dirigido a: A autoridades de la Unidad Educativa “Alfredo Pareja Diezcanseco”

1. ¿En la Unidad Educativa se encuentra algún encargado para responder por

algunas fallas requeridas?

_________________________________________________________________

_________________________________________________________________

2. ¿Existe reglamentos para el uso de los equipos de cómputo en los laboratorios de

computación?

__________________________________________________________________

__________________________________________________________________

3. ¿Existen políticas de seguridad para proteger la ciberseguridad de la institución?

__________________________________________________________________

__________________________________________________________________

4. ¿En la Unidad Educativa tienen alguna planificación para los mantenimientos

tanto preventivo como correctivo. ?

__________________________________________________________________

__________________________________________________________________

5. ¿En caso de que un equipo presentara daños a quien acude?

__________________________________________________________________

__________________________________________________________________

6. ¿En la institución el servicio de Internet satisface las necesidades de quienes la

utilizan?

__________________________________________________________________

__________________________________________________________________

7. ¿Existen planes de contingencias en caso de alguna emergencia ya sea humana o

natural?

__________________________________________________________________

__________________________________________________________________

8. ¿A contando con algún plan informático en todo el tiempo que ha laborado en la

institución? Explique.

__________________________________________________________________

__________________________________________________________________

9. ¿La institución cuenta con procesos de respaldos de información en caso de fallas

de los equipos de cómputo?

__________________________________________________________________

__________________________________________________________________

10. ¿Qué opinión tiene sobre la implementación De un plan informático en la

institución?

__________________________________________________________________

__________________________________________________________________

Anexo 4. Evidencia de las entrevistas y encuestas.

Realización de las encuestas a los estudiantes de la Unidad Educativa.

Otro ángulo en la realización de las encuestas.

Entrevista al Rector de la Unidad Educativa “Alfredo Pareja Diezcanseco”

Entrevista al Señor Rector de la Unidad Educativa

DEPARTAMENTO EQUIPOS REQUERIDOS

MARCA MEMORIA SISTEMA OPERATIVO PROCESADOR RESPONSABLE

INVENTARIO DE EQUIPOS DE COMPUTO DE LOS DEPARTAMENTOS DE LA UNIVERSIDAD

EQUIPOS ACTUALES

Anexo 5. Formato de registro de inventarios de equipos de cómputo.

Anexo 6. Formato para uso de laboratorio.

Anexo 7. Reporte de daño de equipo.

Anexo 8. Solicitud para instalación de software.

Anexo 9. Perfil del Proyecto de Investigación.

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES UNIANDES

FACULTAD DE SISTEMAS MERCANTILES

CARRERA DE SISTEMAS

PERFIL DE PROYECTO DE INVESTIGACIÓN PREVIO A LA OBTENCIÓN

DEL TÍTULO DE INGENIERO EN SISTEMAS E INFORMÁTICA.

TEMA:

PLAN INFORMÁTICO 2018 – 2022, BASADO EN LA NORMA ISO/IEC

27032:2012 PARA MEJORAR LA CIBERSEGURIDAD DE LOS RECURSOS

TECNOLÓGICOS DE INFORMACIÓN Y COMUNICACIÓN (TIC’S) EN LA

UNIDAD EDUCATIVA “ALFREDO PAREJA DIEZCANSECO” DE LA

CIUDAD DE SANTO DOMINGO.

AUTOR: TIBAN LAGUA BRAYAN PAUL

TUTOR: DR. CAÑIZARES GALARZA FREDY PABLO, MGS.

SANTO DOMINGO – ECUADOR

2017

Antecedentes de la investigación

Hoy en día un plan informático relacionado con la seguridad que se puede brindar a

base de datos hardware y software tanto en entidades escolares o empresas es un tema

en referencia a precautelar los intereses a futuro, como podemos ver unos años

anteriores no hay mucha preocupación para realizar dicho plan.

Gonzalo Álvarez Marañon, 2004. ingeniero de Telecomunicaciones y doctor en

Informática señala que la seguridad o precaución de la informática en varios lugares no

es solo reforzar un antivirus o claves a los accesos a base de datos es también tener la

capacitación al personal que hace uso de los equipos y un plan de contingencia en caso

de algún caso en particular.

La seguridad de la información busca preservar la confidencialidad, integridad y

disponibilidad de la información y equipos para el buen funcionamiento.

Ramos, Raúl Ramírez Contreras, Reinaldo Simón 2015, en su proyecto de tesis nos

recalcan que para tener una planificación de preservar recursos informáticos es

necesario enfocarnos en una auditoria informática en la cual determina la gran

importancia que tienen las administraciones de Sistemas de Información y equipos de

cómputo dentro de las Instituciones para evitar amenazas, fraudes, sabotajes y accesos

no autorizados aplicando mecanismos de prevención de emergencias ante amenazas

humanas y desastres naturales.

Las instituciones deben aplicar estrategias de protección contra amenazas internas y

externas en sus redes y equipos al igual como lo hacen las empresas.

Susana Portillo el 6 de septiembre de 2012. _ Desde los años 80 el uso del ordenador

personal comienza a hacerse común y en la década de los años 90s comienzan a

aparecer los virus y gusanos es en la cual la preocupación de PC'S y equipos conectados

a internet. Podían verse afectadas y la palabra hacker aparece, es desde el año 2000 los

acontecimientos hacen a que se tome muy en serio la seguridad informática,

Principalmente por el uso masivo de internet. Con las investigaciones realizadas por

estudiantes de la Universidad Regional Autónoma de los Andes en tesis anteriores

tomamos en cuenta sus enfoques a empresas tanto privadas como públicas llegando a

un solo objetivo que la entidad cuente con una planificación que ayude en la parte

tecnológica muchos de estos proyectos se le realizaron en ámbito comercial pero pocos

casos en el área educativa la cual por mayores razones se debe contar.

Situación problemática

A medida que crece la magnitud de los utensilios y dispositivos tecnológicos aumenta

la necesidad de seguridad en el mundo ya sea en empresas grandes medianas o

pequeñas desarrollar nuevas formas de trabajo que mejoren su desempeño es de gran

importancia

En el Ecuador son muchas las entidades tanto públicas como privada que han ido

innovando las tecnologías de información y comunicación (TIC’S) en los procesos que

ellas realizan, como guardar información, realizar procesos que necesita la entidad etc.

La ciudad de Santo Domingo con el trascurso de los años ha ido creciendo a pasos

agigantados, y las instituciones tanto públicas como privadas han implementado a sus

procesos tecnologías de información y comunicación sin el debido conocimiento y

control que estos recursos se merecen.

La Unidad Educativa “ALFREDO PAREJA DIEZCANSECO” es de los primeros






usuarios (estudiantes, docentes y administradores) de la entidad al no tener el debido

control para su manejo en redes del internet de los recursos tecnológicos, las principales

deficiencia se podrá determinar a continuación:

No poseen políticas de seguridad que controlen los procesos que cada usuario

(estudiantes, docentes y administradores) que deberían realizar por lo cual hay un

desorden en las actividades que realizan.

No cuenta con equipos servidores y dispositivos de red para el almacenamiento de

aplicativos e información sin tener un respaldo por alguna perdida de información a

futuro tener un lugar donde almacenar su información es muy importante para la

institución.

Hoy en día la institución no tiene un control donde detalle el registro de todas

las actividades desempeñadas de los mantenimientos realizado a los equipos y

dispositivos por lo tanto no se tendría una fecha específica para su futuro

mantenimiento preventivo o correctivo.

La institución no cuenta con una aplicación en donde pueda dar seguridad de los

archivos maliciosos que recorren en el internet por lo cual se puede dañar el

equipo en su parte lógica y algunas veces física.

No dispone de equipos dedicados para respaldos de información que ayudan a

salvaguardar la integridad y disponibilidad de la misma en caso de algún daño

ocasionado al servidor principal.

No cuenta con un departamento o área, ni personal destinado al mantenimiento

correctivo y preventivo de los equipos tecnológicos de la institución y de la red

sin ella los equipos están vulnerables a cualquier amenaza malicioso.

La institución educativa realiza descargas de información de la red sin

conocimiento de los riesgos que podrían ocasionar y la capacidad que tengas

estos equipos muchos de estos archivos

La unidad educativa no cuenta con un adecuado control para la accesibilidad en

la red para ingresar a ciertas páginas no educativas por lo tanto no tienen mejor

aprendizaje.

Problema científico

¿Cómo mejorar la Ciberseguridad de los Recursos Tecnológicos de Información y

Comunicación (TIC’S) en la Unidad Educativa Alfredo Pareja Diezcanseco de la

ciudad de Santo Domingo?

Objeto de investigación

Procesos de la Seguridad Informática

Campo de acción

Seguridad de los recursos Tecnológicos de información y comunicación (TIC´S).

Identificación de la línea de investigación

La presente investigación se inscribe en la línea de Tecnologías de la Información y

Comunicación.

Objetivo general


para mejorar la ciberseguridad de los recursos tecnológicos de información y


de Santo Domingo

Objetivos específicos

a) Fundamentar bibliográficamente la parte teórica referente a la norma ISO/IEC

27032:2012, ciberseguridad, políticas de seguridad, seguridad en redes.

b) Realizar investigación de campo para conocer las deficiencias de la ciberseguridad,

en la cual permita identificar el problema mediante análisis en el establecimiento.

c) Desarrollar un Plan informático para mejorar la Ciberseguridad con el objetivo de

crear una cultura de seguridad informática en la Unidad Educativa Alfredo Pareja

Diezcanseco de la ciudad de Santo Domingo.

d) Validación del proyecto mediante la vía de expertos.

Idea a defender

Con la aplicación del Plan Informático basado en la norma ISO/IEC 27032:2012 se

mejorará la ciberseguridad de los recursos tecnológicos de información y comunicación

(TIC’S) en la Unidad Educativa Alfredo Pareja Diezcanseco de la ciudad de Santo

Domingo.

Variables de investigación

- Variable Independiente: Plan informático 2018 – 2022, basado en la norma ISO/IEC

27032:2012

- Variable Dependiente: ciberseguridad de los recursos tecnológicos de información y

comunicación

Metodología a emplear: métodos técnicas y herramientas

Empleadas en la investigación

Tipos de Investigación

Específicamente se aplicarán dos tipos de investigación

De campo. - La investigación de campo se la utilizará para diagnosticar y

conocer las falencias de la misma será efectuada en la Unidad Educativa Alfredo

Pareja Diezcanseco de Santo Domingo.

Bibliográfica. - Consiste en la recopilación de información existente en libros,

revistas, internet, etc., que permitirá la elaboración del marco teórico el mismo

que fundamentará científicamente la solución.

Métodos

Método Analítico – Sintético

El método analítico es aquel método de investigación que consiste en la desmembración

de un todo, descomponiéndolo en sus partes o elementos para observar las causas, la

naturaleza y los efectos. El análisis es la observación y examen de un hecho en

particular, es necesario conocer la naturaleza del fenómeno y objeto que se estudia para

comprender su esencia. (S., 2006)

El método sistemático es un proceso de razonamiento que tiende a construir un todo, a

partir de los elementos distinguidos por el análisis; se trata en consecuencia de hacer

una explosión metódica y breve, en resumen. En otras palabras, debemos decir que la

síntesis es un procedimiento mental que tiene como meta la comprensión cabal de la

esencia de lo que ya conocemos en todas sus partes y particularidades. (S., 2006)

Método Inductivo - Deductivo

Mediante este método se aplican los principios descubiertos a casos particulares a partir

de la vinculación de juicios. El papel de la deducción en la investigación es doble:

- Primero consiste en encontrar principios desconocidos, a partir de los conocidos.

Una ley o principio puede reducirse a otra más general que la incluya. Si un cuerpo cae

decimos que pesa porque es un caso particular de la gravitación

El método inductivo crea leyes a partir de la observación de los hechos, mediante la

generalización del comportamiento observado; en realidad, lo que realiza es una especie

de generalización, sin que por medio de la lógica pueda conseguir una demostración de

las citadas leyes o conjunto de conclusiones. (Rivero, 2008).

Técnicas e Instrumentos de Investigación

Técnicas

Encuesta. - Es importante para la presente investigación ya que reúne datos

para detectar una opinión sobre un asunto o tema determinado y conocer los

desperfectos del problema a tratar.

Entrevista. - Esta técnica permite conocer los problemas de un asunto de forma

más personalizada, está será aplicada a los directivos y administrativos de la

institución involucrados en la problemática.

Observación. - Esta técnica es importante porque ayuda a reconocer donde

existe la problemática de forma visual, tomando apuntes de ideas y necesidades

que pueden aportar a la solución.

Instrumentos

Cuestionario. - El cuestionario es un instrumento que sirve como banco de

preguntas para poderlas aplicar en la encuesta.

Guion de entrevista. - El guion de entrevista es un instrumento que sirve de

ayuda para la entrevista y consta de un protocolo a seguir para el buen

desempeño de la misma.

Cuaderno de apuntes. - El cuaderno de apuntes es un instrumento que ayuda a

poder llevar de mejor manera la observación, el cual sirve para anotar las

observaciones obtenidas en el trabajo de campo.

ESQUEMA DE CONTENIDOS

Seguridad informática

- Definición de seguridad

- Definición de informática

- Definición de seguridad informática

- Objetivos de la Seguridad Informática

Principios de la Seguridad Informática

- Integridad o Confidencialidad

- Disponibilidad

Seguridad de la Información

- Seguridad Activa

- Seguridad Pasiva

Ciberseguridad

- Definición de Ciberseguridad

- Objetivos de la Ciberseguridad

- Plan de Ciberseguridad

Internet

- Historia

- Tecnología e innovación

- Usos contemporáneos

- Impacto social

Vulnerabilidades

Amenazas o Fuentes

- tipos de amenazas

Riesgos o Tipos de Riesgos

Seguridad Lógica

Seguridad en Redes

Políticas de seguridad

Plan de Contingencia

- Contenido del plan de contingencia

- Etapas del plan de contingencia

ISO/IEC 27032

Plan Informático

- Plan de Seguridad Informático

Unidad Educativa Alfredo Pareja Diezcanseco

- Historia

- Especialidades

APORTE TEÓRICO, SIGNIFICACIÓN PRÁCTICA Y NOVEDAD

CIENTÍFICA.

Aporte Teórico

Esta investigación tiene como propósito ratificar la seguridad informática en la Unidad

Educativa Alfredo Pareja Diezcanseco de Santo Domingo de los Tsáchilas con el

desarrollo de un plan Informático basado en las normas ISO/IEC 27032:2012 con el fin

de mejorar la ciberseguridad de la información, y recursos tecnológicos, de esta manera

se podrá evaluar el impacto que causan y así concientizar a los usuarios respecto al

buen uso de las tecnologías y evitar las amenazas existentes

Significación Práctica

La actual investigación sobre un Plan informático 2018 -2022, basado en la norma

ISO/IEC 27032:2012 se mejorará la ciberseguridad tecnológica de información y


de santo Domingo, pues a través de dicho plan se permitirá ingresar a la red de manera

más fiable y controlada para prevenir posibles daños en la parte de software y hardware,

de manera que no afecten a la continuidad de la Unidad Educativa.

Novedad Científica

Como novedad científica el desarrollo de un Plan Informático 2018 -2022, basado en la

norma ISO/IEC 27032:2012, para dar mejor ciberseguridad de la información y

recursos tecnológicos, el cual es una novedad ya que por medio de este se puede ayudar

a la implementación de normas de control interno, por lo cual la tesis puede convertirse

en una guía para evaluar el control de TI en las unidades educativas y determinar su

nivel de fortaleza, con un análisis de riesgos, controles, procesos, políticas de seguridad,

plan de contingencia, entre otros.

BIBLIOGRAFÍA

CERVIGON HURTADO, A. G. (2011). Seguridad Informática. Madrid, España:

Editorial Paraninfo.

Ramos, A. G.-C. (2011). Seguridad Informática. Madrid, España: Ediciones Paraninfo

Primera Edición.

Ramos, F. P. (2007). Hacking y Seguridad en Internet. Madrid, España: Editorial RA-

MA.

Rivero, D. S. (2008). Metodología de la investigación. Neiva Colombia: Editorial

Shalom 2008.

S., R. G. (2006). Introducción al Método científico. México: Decimoctava edición,

editorial Esfinge.

SANTOS, J. C. (2011). Seguridad y alta Disponibilidad. Madrid, España: RA-MA.

VEITES, A. G. (2011). Auditoria de Seguridad Informática. Madrid, España:

STARBOOK EDITORIAL.

Vieites, A. G. (2011). Enciclopedia de la Seguridad Informática (Segunda Edición).

México D.F.: Editorial RA-MA.

VIEITES, A. G. (2013). Seguridad en Equipos informáticos. Bogotá, Colombia:

Starbook Editorial.

Vieites, G. (2011). Enciclopedia de la Seguridad Informática. Madrid, España: Editor,

S. A. de C.V.

Anexo 10. Cotización sistema de alarma.

Anexo 11. Cronograma de Actividades.

Fecha: Fecha:

Dependencia y

Nombre Usuario:

Dependencia y

Nombre Usuario:

HARDWARE 1. HARDWARE

CPU Marca y Modelo: CPU Marca y Modelo:

Placa: Placa:

No. Serie: No. Serie:

DISCO DURO:PARTICIONES: DISCO DURO: PARTICIONES:

PROCESADOR: VELOCIDAD: PROCESADOR: VELOCIDAD:

RAM: UNIDAD DE CD/DVD/RW: RAM: UNIDAD DE CD/DVD/RW:

MONITOR Marca y Modelo: MONITOR Marca y Modelo:

Placa: Placa:


TECLADO Marca: TECLADO Marca:

Placa: Placa:


MOUSE Marca: MOUSE Marca:

Placa: Placa:


PARLANTES Marca: PARLANTES Marca:

Placa: Placa:


CANDADO No. CANDADO No.

SOFTWARE 2. SOFTWARE

Sistema Operativo: Office: Sistema Operativo: Office:

Internet Explorer: Internet Explorer:

Otro Software: Otro Software:

Observaciones: Observaciones:

Nombre y Firma Técnico Nombre y Firma Técnico

Nombre y Firma Usuario Nombre y Firma Usuario

Anexo 12. Registro de inventarios preventivo de equipos.

Anexo 13. Carta para la aceptación del Proyecto de Investigación.

Anexo 14. Respuesta de la carta de aceptación del Proyecto de Investigación.

Anexo 15. Aprobación del Perfil del Proyecto de Investigación.

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDESdspace.uniandes.edu.ec/bitstream/123456789/8990/1/... ·...

Documents

Transcript of UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDESdspace.uniandes.edu.ec/bitstream/123456789/8990/1/... ·...