UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS...
130
UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES “UNIANDES” FACULTAD DE SISTEMAS MERCANTILES PROGRAMA DE MAESTRIA EN INFORMÁTICA EMPRESARIAL PROYECTO DE INVESTIGACIÓN PREVIO A LA OBTENCIÓN DEL GRADO ACADÉMICO DE MAGÍSTER EN INFORMÁTICA EMPRESARIAL TEMA: PLAN INFORMÁTICO PARA MEJORAR EL MANEJO DE LA UNIDAD DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN (TIC’s) EN HARDWARE, SOFTWARE Y SEGURIDAD INFORMÁTICA DE LA EMPRESA PÚBLICA PROVINCIAL DE SERVICIO SOCIAL SANTO DOMINGO SOLIDARIO DE LA CIUDAD DE SANTO DOMINGO. AUTOR: ING. PACAS HIDALGO ALEX VINICIO ASESOR: CAÑIZARES GALARZA FREDY PABLO, MGS SANTO DOMINGO – ECUADOR 2016
Transcript of UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS...
UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES
“UNIANDES”
FACULTAD DE SISTEMAS MERCANTILES
PROGRAMA DE MAESTRIA EN INFORMÁTICA EMPRESARIAL
PROYECTO DE INVESTIGACIÓN PREVIO A LA OBTENCIÓN DEL
GRADO ACADÉMICO DE MAGÍSTER EN INFORMÁTICA
EMPRESARIAL
TEMA:
PLAN INFORMÁTICO PARA MEJORAR EL MANEJO DE LA UNIDAD
DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN (TIC’s) EN
HARDWARE, SOFTWARE Y SEGURIDAD INFORMÁTICA DE LA
EMPRESA PÚBLICA PROVINCIAL DE SERVICIO SOCIAL SANTO
DOMINGO SOLIDARIO DE LA CIUDAD DE SANTO DOMINGO.
AUTOR: ING. PACAS HIDALGO ALEX VINICIO
ASESOR: CAÑIZARES GALARZA FREDY PABLO, MGS
SANTO DOMINGO – ECUADOR
2016
II
III
IV
V
VI
AGRADECIMIENTO
i profundo agradecimiento a la Universidad
Regional Autónoma de los Andes “UNIANDES”,
por las enseñanzas brindadas en el ciclo de
estudio, para lograr alcanzar todos mis objetivos y anhelos
que me he planteado en este transcurso de mi carrera
académica.
Mi profundo agradecimiento al Dr. Fredy Cañizares, Asesor
de esta Tesis, por darme la guía necesaria para llevar a cabo
este proyecto.
A la Empresa Pública Provincial De Servicio Social Santo
Domingo Solidario y Gerente por su colaboración y
facilidades brindadas para el desarrollo del presente
proyecto.
A mi familia que son un pilar fundamental y apoyo
incondicional, a mis compañeros y amigos que sin ningún
interés me ayudaron y apoyaron diariamente para la
culminación de mi proyecto.
Alex Vinicio Pacas Hidalgo
M
VII
DEDICATORIA
Nuestro Dios, que siempre me tiene por buen camino
y me sigue dando el privilegio de seguir viviendo.
A mis padres, que día a día están apoyándome,
iluminándome y guiándome por el camino del bien en cada
instante de mi vida. A mis queridos hermanos quienes con
mucho cariño y comprensión me han brindado su apoyo
incondicional, para seguir adelante y estar conmigo en las
buenas y las malas.
A mis docentes, amigos y compañeros de estudios que de
una u otra manera me brindaron su apoyo y el conocimiento
necesario para cumplir una de mis metas planteadas en mi
vida.
Alex Vinicio Pacas Hidalgo
A
VIII
ÍNDICE GENERAL
PORTADA
APROBACIÓN DEL ASESOR DEL TRABAJO DE TITULACIÓN
DECLARACIÓN DE AUTENTICIDAD
DERECHOS DE AUTOR
CERTIFICACIÓN DEL LECTOR DEL TRABAJO DE TITULACIÓN
AGRADECIMIENTO
DEDICATORIA
RESUMEN
ABSTRACT
INTRODUCCIÓN .......................................................................................................... 1
ANTECEDENTES DE LA INVESTIGACIÓN ................................................................. 1
SITUACIÓN PROBLEMÁTICA ..................................................................................... 2
PROBLEMA CIENTÍFICO ............................................................................................. 3
DELIMITACIÓN ............................................................................................................ 4
OBJETO DE INVESTIGACIÓN Y CAMPO DE ACCIÓN ............................................... 4
OBJETO DE INVESTIGACIÓN ..................................................................................... 4
CAMPO DE ACCIÓN .................................................................................................... 4
IDENTIFICACIÓN DE LA LÍNEA DE INVESTIGACIÓN ................................................ 4
OBJETIVO GENERAL .................................................................................................. 4
OBJETIVOS ESPECÍFICOS ......................................................................................... 4
IDEA DEFENDER ......................................................................................................... 5
VARIABLES DE INVESTIGACIÓN ............................................................................... 5
VARIABLE INDEPENDIENTE ...................................................................................... 5
VARIABLE DEPENDIENTE .......................................................................................... 5
METODOLOGÍA ........................................................................................................... 5
Cuantitativa ................................................................................................................... 5
Cualitativa ..................................................................................................................... 6
IX
MÉTODOS ................................................................................................................... 6
Inductivo – Deductivo .................................................................................................... 6
Analítico - Sintético ....................................................................................................... 6
TÉCNICAS .................................................................................................................... 7
Encuestas ..................................................................................................................... 7
Entrevistas .................................................................................................................... 7
INSTRUMENTOS ......................................................................................................... 7
Cuestionario ................................................................................................................. 7
Guía de Entrevista ........................................................................................................ 7
APORTE TEÓRICO Y NOVEDAD CIENTÍFICA ........................................................... 8
CAPITULO I .................................................................................................................. 9
MARCO TEÓRICO ....................................................................................................... 9
REDES ......................................................................................................................... 9
PLANIFICACIÓN INFORMÁTICA ................................................................................. 9
NORMAS DE CONTROL INTERNO DE LA CONTRALORÍA GENERAL DEL ESTADO.
................................................................................................................................... 10
NORMA 410 TECNOLOGÍA DE LA INFORMACIÓN 410-01 ...................................... 10
Fases de planificación estratégica .............................................................................. 10
Premisa de análisis de FODA. .................................................................................... 11
Valoración y evaluación del proyecto empresarial. ..................................................... 12
Auditoria ..................................................................................................................... 12
MÉTODO OCTAVE .................................................................................................... 13
Fases de la Metodología Octave ................................................................................ 14
Auditoria informática ................................................................................................... 15
Sistema de control interno informático ........................................................................ 16
SERVICIOS DE SEGURIDAD .................................................................................... 19
MECANISMOS DE SEGURIDAD ............................................................................... 20
Seguridad lógica. ........................................................................................................ 20
Seguridad física. ......................................................................................................... 22
X
SISTEMAS DE INFORMACIÓN Y SISTEMAS INFORMÁTICOS ............................... 22
PROPIEDADES DE UN SISTEMA DE INFORMACIÓN SEGURO ............................. 24
NORMAS ISO ............................................................................................................. 25
Definición de la ISO .................................................................................................... 25
NORMA ISO 27001 .................................................................................................... 26
Definición ISO 27001 .................................................................................................. 26
Confidencialidad ......................................................................................................... 28
Integridad .................................................................................................................... 28
Disponibilidad ............................................................................................................. 29
SEGURIDAD DE LA INFORMACIÓN ......................................................................... 29
Definición .................................................................................................................... 29
Seguridad Lógica ........................................................................................................ 30
Riesgo ........................................................................................................................ 31
Identificación y Autenticación ...................................................................................... 32
Amenazas ................................................................................................................... 32
Vulnerabilidades ......................................................................................................... 33
Ataques ...................................................................................................................... 34
Virus ........................................................................................................................... 35
Hacker ........................................................................................................................ 36
Cracker ....................................................................................................................... 37
Políticas de Seguridad ................................................................................................ 38
Copias de Seguridad .................................................................................................. 39
PRIVACIDAD DE LA INFORMACIÓN ........................................................................ 40
Definición .................................................................................................................... 40
Contraseñas ............................................................................................................... 40
Protocolos de seguridad de la información ................................................................. 41
REDES Y COMUNICACIÓN DE DATOS .................................................................... 42
SERIE ISO/IEC 27000 ................................................................................................ 43
Sistemas Biométricos: ................................................................................................ 46
XI
Seguridad en Redes: .................................................................................................. 47
PLAN DE CONTINGENCIAS ...................................................................................... 47
Contenido del plan de contingencia ............................................................................ 48
Etapas del plan de contingencia ................................................................................. 48
MODELO DE SEGURIDAD ........................................................................................ 48
CAPITULO II ............................................................................................................... 51
MARCO METODOLOGICO Y PLANTEAMIENTO DE LA PROPUESTA .................... 51
ANÁLISIS SITUACIONAL DE LA ORGANIZACIÓN .................................................... 51
RESEÑA HISTÓRICA............................................................................................... 51
PRINCIPIOS FUNDAMENTALES ............................................................................... 52
OBJETO ..................................................................................................................... 52
MISIÓN INSTITUCIONAL ........................................................................................... 52
VISIÓN INSTITUCIONAL .......................................................................................... 52
OBJETIVOS INSTITUCIONALES ............................................................................. 53
VALORES INSTITUCIONALES .................................................................................. 53
ESTRUCTURA POR PROCESOS.............................................................................. 54
ORGÁNICO ESTRUCTURAL DE LA EMPRESA PÚBLICA PROVINCIAL DE SERVICIO
SOCIAL “SANTO DOMINGO SOLIDARIO” ................................................................ 55
MAPA DE PROCESOS .............................................................................................. 55
METODOLOGÍA INVESTIGATIVA ............................................................................. 56
Los tipos de investigación a realizar son: .................................................................... 56
Bibliográfica: ............................................................................................................... 56
De Campo: ................................................................................................................. 56
Descriptiva: ................................................................................................................. 56
Los métodos investigativos a utilizar son: ................................................................... 56
Inductivo-Deductivo: ................................................................................................... 56
Analítico-Sintético: ...................................................................................................... 57
Las técnicas a utilizar para recopilar la información son: ............................................ 57
La Encuesta: ............................................................................................................... 57
XII
La Entrevista: .............................................................................................................. 57
Instrumentos de Investigación: ................................................................................... 57
Cuestionario: .............................................................................................................. 57
Guía de entrevista: ..................................................................................................... 57
POBLACIÓN Y MUESTRA ......................................................................................... 57
Población .................................................................................................................... 57
Tabulación de los datos de las encuestas realizadas al personal. .............................. 58
PROPUESTA DE LA INVESTIGACION. ..................................................................... 59
OBJETIVO GENERAL DE LA PROPUESTA .............................................................. 60
DESCRIPCION DE LA PROPUESTA ......................................................................... 60
METODOLOGÍA DE DESARROLLO .......................................................................... 61
Metodologías de Análisis de Riesgos ......................................................................... 61
OCTAVE ..................................................................................................................... 62
FASES DEL METODO OCTAVE ................................................................................ 63
Objetivo de OCTAVE .................................................................................................. 63
Guía de implementación de OCTAVE ......................................................................... 63
CONCLUSIONES PARCIALES DEL CAPITULO ........................................................ 63
CAPÍTULO III .............................................................................................................. 65
VERIFICACIÓN Y VALIDACIÓN DE LA PROPUESTA ............................................... 65
INTRODUCCION ........................................................................................................ 65
OBJETIVOS ............................................................................................................... 65
Objetivo general .......................................................................................................... 65
Objetivos específicos .................................................................................................. 65
DESARROLLO DE LA PROPUESTA ......................................................................... 66
FASE 1: Construcción de perfiles de amenaza basada en activos ............................. 66
FASE 2: Identificar Vulnerabilidades de infraestructura .............................................. 67
FASE 3: Desarrollo de planes y estrategias de seguridad .......................................... 68
FASE N° 1: EVALUACIÓN INSTITUCIONAL .............................................................. 69
METODOLOGÍA DE IDENTIFICACIÓN DE ACTIVOS Y PRIORIDADES ACTIVAS. .. 69
XIII
SEGURIDAD DE LA INFORMACIÓN ACTUALMENTE EN LA EMPRESA. ............... 70
Contraseñas ............................................................................................................... 70
Red interna ................................................................................................................. 71
Acceso a la WEB ........................................................................................................ 72
Antivirus.. .................................................................................................................... 72
Control de aplicaciones en PC’s ................................................................................. 72
Control de acceso a los equipos ................................................................................. 73
Dispositivo de soporte ................................................................................................. 73
Responsables de la seguridad de la información Y equipos ....................................... 74
Backup... ..................................................................................................................... 74
INSTALACION DEL SERVIDOR................................................................................. 74
Instalación de CentOS ................................................................................................ 75
Instalación y configuración del servicio samba............................................................ 75
Instalación del servicio DHCP ..................................................................................... 77
Instalacion y configuracion del proxy .......................................................................... 79
Configuración de firewall o cortafuegos. ..................................................................... 81
INSTALACION CABLEADO ESTRUCTURADO. ........................................................ 82
PRESUPUESTO ......................................................................................................... 84
IMPACTO ADMINISTRATIVO .................................................................................... 85
CONCLUSIONES PARCIALES DEL CAPÍTULO ........................................................ 85
CONCLUSIONES GENERALES ................................................................................ 87
RECOMENDACIONES GENERALES ........................................................................ 88
BIBLIOGRAFÍA
XIV
ÍNDICE DE ILUSTRACIÓN
Ilustración 1 Planificación Informática ................................................................ 9
Ilustración 2 Fases Metodología Octave .......................................................... 14
Ilustración 3 Orgánico Estructural Autor: Alex Vinicio Pacas Hidalgo .............. 55
Ilustración 4 CentOS Instalado ......................................................................... 75
Ilustración 5 Creacion de usuarios y contraseña .............................................. 75
Ilustración 6 Instalación de Samba ................................................................... 76
Ilustración 7 Accedemos al archivo de samba smb.conf .................................. 76
Ilustración 8 Configuración Grupo de trabajo ................................................... 76
Ilustración 9 Creación de carpetas y privilegios a usuarios .............................. 77
Ilustración 10 Instalación del servicio DHCP .................................................... 77
Ilustración 11 configuracion del servicio DHCP ................................................ 78
Ilustración 12 Configuracion IP + MAC............................................................. 78
Ilustración 13 Instalación del servicio Squid ..................................................... 79
Ilustración 14 Configuracion recomendada squid ............................................. 80
Ilustración 15 primer ACL prohibido ................................................................. 80
Ilustración 16 segundo ACL redes sociales...................................................... 80
Ilustración 17 Llamamos nuestras ACL ............................................................ 81
Ilustración 18 Configuración IPTABLES ........................................................... 81
Ilustración 19 Reenvío de paquetes ................................................................. 81
Ilustración 20 Administración del puerto tcp/443 .............................................. 82
Ilustración 21 Instalación Cableado Estructurado ............................................ 82
Ilustración 22 Puntos de red ............................................................................. 83
Ilustración 23 Impresoras ................................................................................. 83
XV
INDICE DE TABLAS
Tabla 1 Mapa de Procesos............................................................................... 55
Tabla 2 Población ............................................................................................. 58
Tabla 3 Tabulación de los datos de las encuestas realizadas al personal ....... 58
Tabla 4 Producto de Salida de la Fase 1 ......................................................... 67
Tabla 5 Producto de Salida de la Fase 2 ......................................................... 67
Tabla 6 Producto de Salida de la Fase 3 ......................................................... 68
Tabla 7 Inventario de Equipos .......................................................................... 71
Tabla 8 Detalle de implementos de red ............................................................ 84
Tabla 9 Presupuesto Implementación Proyecto ............................................... 84
XVI
ÍNDICE DE ANEXOS
Anexo A ............................................................. Carta de Aprobacion de la Tesis
Anexo B………………………………………...Carta de Autorización a la Empresa
Anexo C ....................................................... Carta de Aceptacion de la Empresa
Anexo D ............................................ Culminación del Proyecto de Investigación
Anexo E ............................ Aprobación del Proyecto de Investigación Terminado
Anexo F ......................................................................... Formato de la Encuesta
Anexo G ........................................................................................ Perfil de Tesis
Anexo H……………………………….Proforma Materiales y Equipos Informáticos
Anexo I..………………………………………………………………………..
Glosario
XVII
RESUMEN
A través de los años la información es el activo más importante en una
organización ya que este permite su éxito en el mercado, dando paso al hurto o
manipulación maliciosa de la misma, mediante un análisis en la empresa se
verificó las seguridades lógicas que tiene la empresa con su información
encontrando muchas vulnerabilidades, riesgos y amenazas.
La Empresa Pública Provincial de Servicio Social Santo Domingo Solidario, se
encuentra ubicada en el cantón Santo Domingo de la provincia de Santo
Domingo de los Tsáchilas, Con más de 2 años de experiencia, la Empresa
Pública Provincial de Servicio Social Santo Domingo Solidario cuenta con un
grupo de profesionales capacitados y certificados para responder y satisfacer las
expectativas de la comunidad brindando sus servicios, con la más alta calidad
humana y profesional para toda la comunidad de la Provincia.
En esta investigación se utilizara métodos, técnicas e instrumentos que
permitirán obtener resultados que nos ayudaran a resolver la problemática, el
objetivo principal de esta investigación es crear un plan informático para mejorar
el manejo de la unidad de Tecnologías de Información y Comunicación (TIC’s)
en hardware, software y seguridad informática de la Empresa Pública Provincial
de Servicio Social Santo Domingo Solidario, ya sean estos existentes o latentes
y determinar las vulnerabilidades a las que se encuentra expuesta,
recomendando las medidas apropiadas que deberían adoptarse para conocer,
prevenir, impedir y controlar los riesgos identificados y así minimizar los
perjuicios que pueden existir.
XVIII
ABSTRACT
Through the years, the information is the most important asset in an organization
as this allows its success in the market, giving way to the malicious theft or
manipulation of the same, through an analysis in the company they verified the
assurances logical that the company has with its information finding many
vulnerabilities, risks and threats.
The Provincial Public Company of Social Service Santo Domingo Solidarity, is
located in Santo Domingo of the Province of Santo Domingo the Tsáchilas, with
more than 2 years of experience, the Provincial Public Company of Social Service
Santo Domingo Solidarity account with a group of professionals trained and
certified to respond to and meet the expectations of the community providing their
services, with the highest human and professional quality for the entire
community of the Province.
In this investigation were used methods, techniques and instruments that make
it possible to obtain results that help us to resolve the problem, the main objective
of this research is to create a computer plan to improve the management of the
unit of Information and Communication Technologies (ICTS) in hardware,
software and computer security of the Provincial Public Company of Social
Service Santo Domingo Solidarity, whether existing or latent and determine
vulnerabilities to that is exposed, recommending appropriate measures that
should be taken to learn, prevent, prevent and control risks identified and thus
minimize the damage that may exist.
1
INTRODUCCIÓN
ANTECEDENTES DE LA INVESTIGACIÓN
Hoy en día existen diferentes infraestructuras tecnológicas que están
funcionando en varias empresas y son de mucha ayuda para las mismas ya
que mediante esto se puede comunicar mediante enlaces voz, datos en la
cual todas y cada una de las empresas necesitan para su normal
desenvolvimiento, las mismas que cuentan con seguridades y protocolos que
son definidos en cada Institución de acuerdo a sus necesidades.
El presente proyecto investigativo se lo está llevando a cabo en la ciudad
de Santo Domingo, en la EMPRESA PÚBLICA PROVINCIAL DE
SERVICIO SOCIAL SANTO DOMINGO SOLIDARIO, se investigó sobre
infraestructura tecnológica, hardware, software y seguridad informática que
tienen procesos similares, no se encontró proyectos de investigación
similares. A continuación, se detallan temas similares para el desarrollo de la
investigación:
- De la Ing. García Macías Viviana Katiuska, con el tema: “Plan Informático
para la Gestión Tecnológica en la Universidad Laica Eloy Alfaro de la
ciudad de Chone, realizado en el año 2015.
- Del Ing. Juan Palma, con el tema: “Planificación informática para dotar de
computadoras a la sala de capacitación del ECU 911 Portoviejo usando
equipos de bajo coste y software libre como herramientas innovadoras”,
realizado en el año 2015; ampliando su infraestructura sin que se vean
reducidos sus intentos de crecimiento por no poder hacer frente al pago
de grandes cantidades en licencias para la administración con software no
propietario favoreciendo a la misma para ofrecer servicios de forma más
rápida y ágil.
2
- De la Ing. Ximena Huaylla, con el tema: “Plan informático para mejorar la
gestión de servicios de TICS en el departamento de tecnologías de la
información y comunicación en la Fiscalía de la ciudad de Santo Domingo”,
realizado en el año 2015; incrementando la rendición de cuentas y
ampliando el servicio a las zonas desfavorecidas, de forma innovadora,
rápida y rentable.
Luego de que se ha realizado una investigación en el CDIC sobre los diversos
temas de tesis, se ha llegado a la conclusión de que ninguna de las tesis
mencionadas anteriormente es aplicable al tema actual de investigación, pero
servirán de apoyo para el desarrollo de mi proyecto de grado.
SITUACIÓN PROBLEMÁTICA
La tecnología en la actualidad tiende cada vez más a avanzar de forma
rápida a nivel mundial. La necesidad de contar con una unidad de tecnologías
de la información en la cual se deriven funciones para hardware, software,
mantenimiento, estos se ven enfocados a proporcionar todos los servicios
para una empresa lo cuales son necesarios para mejorar y resolver cada
proceso e inconveniente en las diferentes áreas de las empresas.
En el Ecuador, se está ya utilizando equipos de última tecnología para
mejorar los procesos de las empresas a nivel nacional, comparándose
incluso con entidades a nivel internacional.
En Santo Domingo se encuentra funcionando recientemente desde este año
2015 la EMPRESA PÚBLICA PROVINCIAL DE SERVICIO SOCIAL
SANTO DOMINGO SOLIDARIO, la cual presta servicios a la ciudadanía de
la provincia para mejorar un entorno social de superación, trabajo y del buen
vivir.
Este Gobierno hoy en día apunta a la infraestructura tecnológica y al cambio
de la matriz productiva, lo que hace que se cree nuevas tecnologías y nuevos
proyectos a implantarse en el país por lo que es necesario estar preparados
3
para que cada institución mejore y actualice su infraestructura tecnológica y
así poder mejorar cada institución, por lo cual se han venido realizando
variaciones en los equipos tecnológicos que ofrecen servicios a la institución
pero ellos están en una forma desconcentrada.
A continuación, se detallan las siguientes problemáticas.
• Infraestructura tecnológica obsoleta
• Cortes en el envío de información
• Equipos sin seguridades
• Actualización caducada en equipos
• Software inapropiado
• Pérdida de información por virus
• Existe desconocimiento acerca de los servicios que se están ejecutando.
• No existe todos los servicios tecnológicos como conectividad inalámbrica.
• No existe correos institucionales ni un sitio web de la empresa.
• No existe cableado estructurado apropiado para la comunicación de sus
departamentos.
De acuerdo al estudio realizado acerca de la problemática se ha logrado
determinar los requerimientos de la EMPRESA PÚBLICA PROVINCIAL DE
SERVICIO SOCIAL SANTO DOMINGO SOLIDARIO antes descritos, para su
posterior mejora.
PROBLEMA CIENTÍFICO
¿Cómo mejorar el manejo de la Unidad de Tecnologías de Información y
Comunicación (TIC’s) en hardware, software y seguridad informática de la
Empresa Pública Provincial de Servicio Social Santo Domingo Solidario de la
ciudad de Santo Domingo?
4
DELIMITACIÓN
La presente investigación se va a realizar en la Empresa Pública
Provincial de Servicio Social Santo Domingo Solidario que se encuentra
ubicada en la Calle Julio Cesar Bermeo y Av. de los Colonos.
OBJETO DE INVESTIGACIÓN Y CAMPO DE ACCIÓN
OBJETO DE INVESTIGACIÓN
Tecnologías de información y Comunicación
CAMPO DE ACCIÓN
Manejo de la Unidad de Tecnologías de la Información y Comunicación.
IDENTIFICACIÓN DE LA LÍNEA DE INVESTIGACIÓN
Tecnologías de Información y Comunicación
OBJETIVO GENERAL
Desarrollar un Plan Informático para mejorar el manejo de la Unidad de
Tecnologías de Información y Comunicación (TIC’s) en Hardware, Software y
Seguridad Informática de la Empresa Pública Provincial de Servicio Social
Santo Domingo Solidario de la ciudad de Santo Domingo.
OBJETIVOS ESPECÍFICOS
• Fundamentar una investigación bibliográfica para que permita obtener la
información necesaria para mejorar la empresa tecnológicamente.
• Realizar una investigación de campo en donde se determine las falencias
en tecnológica en hardware, software y seguridad informática de la
empresa.
5
• Diseñar un plan informático para para mejorar el manejo de la Unidad de
Tecnologías de Información y Comunicación (TIC’s) en Hardware,
Software y Seguridad Informática de la Empresa Pública Provincial de
Servicio Social Santo Domingo Solidario de la ciudad de Santo Domingo.
• Validar la propuesta por la vía de expertos.
IDEA DEFENDER
Con la implementación de un Plan Informático se mejorará el manejo de la
unidad de tecnologías de la información y comunicación en hardware,
software y seguridad informática, los enlaces de los servicios de voz, datos,
actualización de software y seguridades de los equipos informáticos en la
Empresa Pública de Servicio Social Santo Domingo Solidario.
VARIABLES DE INVESTIGACIÓN
VARIABLE INDEPENDIENTE
Plan informático
VARIABLE DEPENDIENTE
Manejo de la unidad de tecnologías de la información y comunicación.
METODOLOGÍA
Cuantitativa
La modalidad de investigación cuantitativa trata de determinar la fuerza de
asociación o correlación entre variables, la generación y objetivación de los
resultados a través de una muestra para hacer inferencias a una población de
la cual toda muestra procede.
6
Cualitativa
La investigación cualitativa se enfoca mayormente a la indagación en las
ciencias sociales, ya que este método utiliza la narrativa, así como la
entrevista informal, siempre y cuando sea de fuente confiable, para llegar a
un resultado de su exploración, pesquisa o indagación de un hecho.
MÉTODOS
Inductivo – Deductivo
En este método se da la relación de lo general con lo particular, constituye
un método teórico muy utilizado en el tránsito del conocimiento empírico al
teórico y permite fundamentar los principales resultados de nivel teórico. Este
método se lo va a realizar para recolectar información exhaustiva para su
posterior utilización.
Analítico - Sintético
Este método porta dos momentos básicos en toda investigación científica, ya
que permite penetrar en aspectos que pueden constituir causas del
fenómeno, y así, desentrañar los elementos que necesita modificar el
investigador para cambiar el comportamiento de todo, en estrecha relación
con sus partes constitutivas. Este método se lo utilizará para la elaboración
del marco teórico, esto quiere decir que para la investigación bibliográfica se
procederá a recopilar la información existente en libros, revistas e internet
para analizarla y sintetizarla en la fundamentación teórica y realizando el
referenciamiento respectivo.
7
TÉCNICAS
Encuestas
La encuesta es una técnica de recogida de información que consiste en la
formulación de una serie de preguntas que deben ser respondidas sobre la
base de un cuestionario.
Entrevistas
Es un hecho que consiste en un diálogo entablado entre dos o más personas:
el entrevistador o entrevistadores que interroga y el o los que contestan.
Esta técnica va a permitir recopilar la información importante ya que va
dirigida especialmente al encargado del departamento para poder obtener
sus opiniones sobre la problemática del mismo.
INSTRUMENTOS
Cuestionario
El cuestionario es un documento formado por un conjunto de preguntas
que deben estar redactadas de forma coherente, y organizadas,
secuenciadas y estructuradas de acuerdo con una determinada planificación,
con el fin de que sus respuestas nos puedan ofrecer toda la información que
se precisa.
Guía de Entrevista
Es un instrumento el cual tiene como finalidad ayudar a realizar la entrevista
es simplemente una serie de preguntas que sirven para la conversación con
un propósito específico. Se entrevista cuando se quiere saber algo de alguien
que no se puede obtener por vía numérica.
8
APORTE TEÓRICO Y NOVEDAD CIENTÍFICA
Se tendrá como aporte teórico apoyo de trabajos posteriores de grado, así
como también se ha recopilado información de libros, revistas tecnológicas,
libros virtuales utilizando el internet como recurso, esta información se
encuentra relacionada con herramientas de desarrollo que se podrán utilizar
en la elaboración de la propuesta de la tesis. En la cual se tomaron
información de libros y consultas en la web, todo eso realizado en el Área de
Biblioteca de la Universidad Regional Autónoma de Los Andes y
posteriormente información recopilada fuera de la Institución que nos ayudó
a realizar y culminar el siguiente trabajo de grado.
Cabe mencionar que se utilizará normas y estándares de acuerdo a la calidad
nacional e internacional en dónde se cumplan ciertos parámetros que
contemplen que el trabajo de grado se lo ha realizado de una manera correcta,
ordenada y legítima.
9
CAPITULO I
MARCO TEÓRICO
REDES
Una red de computadoras, también llamada red de ordenadores, red de
comunicaciones de datos o red informática, es un conjunto de equipos
informáticos y software conectados entre sí por medio de dispositivos físicos
que envían y reciben impulsos eléctricos, ondas electromagnéticas o
cualquier otro medio para el transporte de datos, con la finalidad de compartir
información, recursos y ofrecer servicios. (MIRANDA, 2012)
PLANIFICACIÓN INFORMÁTICA
La Sociedad de la información en que vivimos nos lleva a utilizar cada vez
más herramientas digitales en nuestro contacto con el mundo. Es prioritario
comprender, a través de esta asignatura, que las Tecnologías de la
información y de comunicación (TIC) son mediadores del proceso de
aprendizaje y deben ser trabajadas de esta manera. (AGUILAR, 1999)
Ilustración 1 Planificación Informática
10
NORMAS DE CONTROL INTERNO DE LA CONTRALORÍA GENERAL
DEL ESTADO.
NORMA 410 TECNOLOGÍA DE LA INFORMACIÓN 410-01
Organización informática, las entidades y organismos del sector público
deben estar acopladas en un marco de trabajo para procesos de tecnología
de información que aseguren la transparencia y el control, así como el
involucramiento de la alta dirección, por lo que las actividades y procesos de
tecnología de información de la organización deben estar bajo la
responsabilidad de una unidad que se encargue de regular y estandarizar los
temas tecnológicos a nivel institucional.
La unidad de tecnología de información, estará posicionada dentro de la
estructura organizacional de la entidad en un nivel que le permita efectuar las
actividades de asesoría y apoyo a la alta dirección y unidades usuarias; así
como participar en la toma de decisiones de la organización y generar
cambios de mejora tecnológica. Además, debe garantizar su independencia
respecto de las áreas usuarias y asegurar la cobertura de servicios a todas
las unidades de la entidad u organismo.
Las entidades u organismos del sector público, establecerán una estructura
organizacional de tecnología de información que refleje las necesidades
institucionales, la cual debe ser revisada de forma periódica para ajustar las
estrategias internas que permitan satisfacer los objetivos planteados y
soporten los avances tecnológicos. Bajo este esquema se dispondrá como
mínimo de áreas que cubran proyectos tecnológicos, infraestructura
tecnológica y soporte interno y externo de ser el caso, considerando el tamaño
de la entidad y de la unidad de tecnología. (ESTADO, 2008)
Fases de planificación estratégica
Cada autor plantea diferentes fases en el proceso de planificación
estratégica. Aunque con nombres u orden distintos, coinciden de modo
11
global en qué acciones tienen que desarrollarse para la elaboración de un plan
estratégico.
Podemos de forma general estructural el proceso de planificación estratégica
en torno a cinco grandes etapas: (GÓMEZ, 2009, págs. 39-40)
Premisa de análisis de FODA.
Una premisa es un supuesto acerca de los factores o condiciones futuras que
pueden afectar el desarrollo de un plan.
Las premisas, de acuerdo con su naturaleza, pueden ser:
Interna.- También se les conoce como fortalezas y debilidades, se originan
dentro de la empresa y pueden influir en el logro de los planes. Algunas de las
más usuales son: variaciones en el capital, ausentismo, rotación del personal,
accidentes, siniestros, innovaciones, reacciones del personal ante los sistemas
organizacionales, capital de trabajo, capital humana.
Externa.- Son factores o condiciones cuyo origen en ajeno a la Empresa, pero
pueden tener efecto decisivo en el desarrollo de sus actividades y constituyen
oportunidades y amenazas.
Mediante el análisis de las fortalezas y debilidades, oportunidades y
amenazas, también conocido como el análisis FODA o DOFA, es posible lograr
una de las finalidades básicas del proceso de planeación: convertir amenazas
en oportunidades y debilidades en fortalezas.
Fortalezas.- Puntos fuertes y características de la Empresa que facilita el logro
de sus objetivos.
Oportunidades.- Factores externos del entorno que proporciona el logro de
los objetivos.
12
Debilidades.- Puntos débiles, factores propios de la empresa, que
obstaculizan e impiden el logro de los objetivos.
Amenazas.- Factores externos del entorno que afectan negativamente e
impiden el logro de los objetivos. (MUNCH GALINDO, 2008, págs. 21, 22, 24)
Las estrategias y alternativas en un plan informático son las oportunidades que
se brindan a los integrantes de una empresa para puedan desarrollar los
objetivos planteados durante la elaboración de este sistema informático y
tengan una valides especifica.
Control es un proceso de carácter permanente, dirigido a la medición y
valoración de cualquier actividad o prestación, sobre la base de criterios y
puntos de referencias fijados y a la corrección de las posibles desviaciones que
se produzcan respecto a tales criterios y puntos de referencias.
La efectividad del control depende de la formulación clara y concisa de los
objetivos y de la disposición de información veraz y continua sobre las variables
objeto de control. El control puede tener las siguientes fases: (GÓMEZ, 2009,
pág. 145)
Valoración y evaluación del proyecto empresarial.
“Esta última fase de valoración implica medir la rentabilidad de la inversión que
estamos realizando. Se traduce en una serie de cálculos y estudios que nos
llevarán a identificar el provecho o beneficio de seguir con nuestro proyecto
empresarial, o, por el contrario, nos alertarán del peligro de seguir con él”.
(Campoy, 2007)
Auditoria
Es la actividad consistente en la emisión de una opinión profesional sobre si el
objeto sometido a análisis presenta adecuadamente la realidad que pretende
reflejar y/o cumple las condiciones que le han sido prescritos. (PIATINI, 2010,
13
pág. 33)
La función de la auditoria en un ambiente tan importante para el buen
funcionamiento de las empresas y como ha quedado demostrado, tan
vulnerable al acontecer de situaciones indeseables que obstruyan la obtención
de los mejores resultados de operación de la empresa. (ROJAS, 1998, pág.
11).
La Auditoria es esencial tanto en las Empresas públicas y privadas, para tener
un mejor control de todos los procesos y hacer correcciones preventivas.
MÉTODO OCTAVE
Es una metodología de análisis de riesgos desarrollada en el año 2001 por el
SEI (Software Engineering Institute operado por la Universidad Carnegie
Mellon, que tiene por objeto facilitar la evaluación de riesgos en una
organización, estudia los riesgos en base a tres principios Confidencialidad,
Integridad y Disponibilidad. Esta metodología se emplea por distintas agencias
gubernamentales tales como el Departamento de defensa de Estados Unidos.
(MUÑOZ, 2014)
OCTAVE equilibra los siguientes aspectos:
• Riesgos operativos
• Prácticas de seguridad
• Tecnología.
Características:
• Estudia la infraestructura de la información
• Es Autodirigido
• Flexible
• Diferente de los análisis tradicionales de riesgos enfocados a
tecnología
14
Percibe los siguientes objetivos:
• Permitir la comprensión del manejo de los recursos
• Identificación y evaluación de los riesgos que afectan la seguridad
dentro de una organización.
• Exige llevar la evaluación de la organización y del personal de la
tecnología de información
Debe existir un equipo de Análisis el cual tiene las siguientes funciones:
• Identificación recursos importantes mediante encuestas y entrevistas
• Enfoque actividades de análisis de riesgos
• Relación de amenazas y vulnerabilidades
• Evaluación riesgos
• Creación estrategia de protección, planes de mitigación y diseño de
políticas de seguridad
Fases de la Metodología Octave
La metodología OCTAVE está compuesta en tres fases para examinar los
problemas organizacionales y tecnológicos, reuniendo una visión global de las
necesidades de seguridad de la organización de la información. El método
utiliza talleres para fomentar la discusión abierta y el intercambio de
información sobre los activos, las prácticas de seguridad y estrategias.
(MUÑOZ, 2014)
Ilustración 2 Fases Metodología Octave
15
Cada fase consta de varios procesos y cada proceso tiene uno o más talleres
dirigidos o realizados por el equipo de análisis. Además, existen algunas
actividades de preparación necesarias que establecen una buena base para
una evaluación exitosa, estas son:
• Obtener respaldo de la alta dirección: Este es el factor de éxito más
crítico. Si los altos directivos apoyan el proceso, las personas de la
organización participarán activamente en él.
• Seleccionar el equipo de análisis: Los miembros del equipo deben tener
las habilidades suficientes para dirigir la evaluación. Ellos también
necesitan saber cómo establecer una buena comunicación con los
demás integrantes, ya que esto les permitirá aumentar sus
conocimientos y habilidades.
• Alcance OCTAVE: La evaluación debe incluir importantes zonas de
operaciones. Si el alcance es demasiado grande, será difícil de analizar
todos los datos. Si es demasiado pequeño, los resultados pueden no ser
tan significativos.
• Selección de los participantes: Los funcionarios procedentes de
múltiples niveles de organización aportarán sus conocimientos. Es
importante que estas personas puedan comprender sus zonas de
operaciones (MUÑOZ, 2014)
Auditoria informática
• La auditoría informática es un proceso llevado a cabo por
profesionales especialmente capacitados para el efecto, y que consiste
en recoger, agrupar y evaluar evidencias para determinar si un sistema
de información salvaguarda el activo empresarial, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la
organización, utiliza eficientemente los recursos, y cumple con las leyes
16
y regulaciones establecidas. Permiten detectar de forma sistemática el
uso de los recursos y los flujos de información dentro de una organización
y determinar qué información es crítica para el cumplimiento de su misión
y objetivos, identificando necesidades, duplicidades, costes, valor y
barreras, que obstaculizan flujos de información eficientes. (ROYER J.
M., 2010)
La auditoría, como actividad profesional necesaria para la existencia de un
sano ambiente de negocios, no ha podido mantenerse ajena a este cambio
y ha debido incursionar en el campo informático para desde el, realizar
su aporte a la administración de la empresa. Es decir, como hoy es necesario
que el auditor se encuentre en capacidad de interactuar con el ambiente
informático y disponga de habilidades para relacionarse con los
profesionales de esta disciplina, además de poder participar en la evaluación
de todas las actividades que se lleven a cabo alrededor del computador y
dentro de él. (ROJAS, 1998, pág. 43).
Una empresa puede tener un staff de gente de primera, pero tiene un sistema
informático propenso a errores, lento, vulnerable e inestable; si no hay un
balance entre estas dos cosas, la empresa nunca saldrá a adelante. En cuanto
al trabajo de la auditoría en sí, podemos remarcar que se precisa de gran
conocimiento de Informática, seriedad, capacidad, minuciosidad y
responsabilidad; la auditoría de Sistemas debe hacerse por gente altamente
capacitada, una auditoría mal hecha puede acarrear consecuencias drásticas
para la empresa auditada, principalmente económicas. (ROJAS, 1998, pág.
43).
Sistema de control interno informático
El control Interno Informático controla diariamente que todas las actividades de
sistemas de información sean realizadas cumpliendo los procedimientos,
estándares y no normas fijados por la Dirección de la Organización y/o la
Dirección de Informática, así como los requerimientos legales. (PIATINI, 2010,
17
págs. 55-56)
Como principales objetivos podemos indicar los siguientes:
• Controlar que todas las actividades se realizan cumpliendo los
procedimientos y normas fijados, evaluar su bondad y asegurarse del
cumplimiento de las normas legales.
• Asesorar sobre el conocimiento de las normas.
• Colaborar y apoyar el trabajo de Auditoria Informática, así como de las
auditorías externas al Grupo.
• Definir, implantar y ejecutar mecanismo y controles para comprobar el
logro de los grados adecuados del servicio informática.
Realizar en los diferentes sistemas (centrales, departamentales, redes locales,
PC’s, etc.) y entornos informáticos (producción, desarrollo o pruebas) el control
de las diferentes actividades operativas sobre:
El cumplimiento de procedimientos, normas y controles dictados. Merece
resaltarse la vigilancia sobre el control de cambios y versiones del software.
• Controles sobre la producción diaria.
• Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del
software y del servicio informática.
• Controles en las redes de comunicaciones.
• Controles sobre el software de base
• Controles en los sistemas microinformáticos,
• La seguridad informática (su responsabilidad puede estar asignada a
control interno o bien puede asignarle la responsabilidad de control dual
de la misma cuando está encargada a otro órgano);
• Usuarios, responsables y perfiles de uso de archivos y bases de datos.
• Normas de seguridad.
• Control de información clasificada
• Control dual de la seguridad informática
• Licencias y relaciones contractuales con terceros.
18
• Asesorar y transmitir cultura sobre el riesgo informático.
Se puede definir el control interno como cualquier actividad o acción realizada
manual y/o automáticamente para prevenir, corregir errores o irregularidades
que puedan afectar al funcionamiento de un sistema para conseguir sus
objetivos.
Los controles cuando se diseñen, desarrollen e implanten han de ser al menos
completos, simples, fiables, revisables, adecuados y rentables. Respecto a
esto último habrá que analizar el coste-riesgo de su implantación.
Para asegurar la integridad, disponibilidad y eficacia de los sistemas se
requieren complejos mecanismos de control, la mayoría de los cuales son
automáticos.
Los controles informáticos se han clasificados en las siguientes categorías:
Controles preventivos: Para tratar de evitar el hecho, como un software de
seguridad que impida los accesos no autorizados al sistema.
Controles detectivos: Cuando fallan los preventivos para tratar de conocer
cuando antes el evento. Por ejemplo, el registro de intentos de acceso no
autorizados, el registro de la actividad diaria para detectar errores u omisiones,
etc.
Controles correctivos: Facilitan la vuelta a la normalidad cuando se han
producido incidencias. Por ejemplo, la recuperación de un archivo dañado a
partir de las copias de seguridad. (PIATINI, 2010, págs. 57-58)
Una auditoría interna bien organizada y dirigida es esencial para asegurar:
Que la empresa cuenta con una estructura de gobierno adecuada, que sus
riesgos están siendo administrados de una manera eficaz y eficiente, que sus
controles son adecuados y suficientes, que sus operaciones son eficaces y
eficientes, y que sus directrices se están cumpliendo. En otras palabras, las
organizaciones en busca del éxito en los negocios, deben considerar la
19
contratación de auditores internos como una inversión esencial para el logro
de sus objetivos.
SERVICIOS DE SEGURIDAD
Los servicios de seguridad Informática brindan una opción al alcance de las
necesidades de cada empresa, para asegurar la integridad y la privacidad de
los datos pertenecientes a la misma. (CÓCERA RUEDA, 2004)
• Integridad: Asegura que los datos del sistema no han sido alterados ni
cancelados por personas o entidades no autorizadas y que el contenido de
los mensajes recibidos es el correcto.
• Confidencialidad: Proporciona protección contra la revelación
deliberada o accidental de los datos en una comunicación.
• Disponibilidad: Permitirá que la información esté disponible cuando lo
requieran las entidades autorizadas.
• Autentificación (o identificación): El sistema debe ser capaz de
verificar que un usuario identificado que accede a un sistema o que
genera una determinada información es quien dice ser. Solo cuando un
usuario o entidad ha sido autenticado, podrá tener autorización de
acceso. Se puede exigir autenticación en la entidad de origen de la
información, en la de destino o en ambas.
• No repudio (o irrenunciabilidad): Proporcionará al sistema una serie de
evidencias irrefutables de la autoría de un hecho.
El no repudio consiste en no poder negar haber emitido una información
que sí se emitió y en no poder negar su recepción cuando si ha sido
recibida.
• Control de acceso: Podrán acceder a los recursos del sistema
solamente en personal y usuarios con autorización.
“De acuerdo a los conceptos de los componentes de los servicios de
seguridad es importante que se lleva a prácticas en las empresas ya que con
ello el sistema de computación se pueda proteger y resguardar su
funcionamiento y la información en él contenida.”
20
MECANISMOS DE SEGURIDAD
Según los criterios de (CORRALES HERMOSO, BELTRÁN PARDO, &
GUZMÁN SACRISTÁN, 2006) Un mecanismo de seguridad informática es
una técnica o herramienta que se utiliza para fortalecer la confidencialidad, la
integridad y/o la disponibilidad de un sistema informático.
Los mecanismos de seguridad según la función que desempeñen pueden
clasificarse en:
• Preventivos: Actúan antes de que se produzca un ataque. Su misión es
evitarlo.
• Detectores: Actúan cuando el ataque se ha producido y antes de que
cause daños en el sistema.
• Correctores: Actúan después de que haya habido un ataque y se hayan
producido daños. Su misión es la de corregir las consecuencias del daño.
Cada mecanismo ofrece al sistema uno o más servicios de los especificados
en el epígrafe anterior.
La elección de mecanismos de seguridad depende de cada sistema de
información, de su función, de las posibilidades económicas de la
organización y de cuáles sean los riesgos a los que esté expuesto el sistema.
(FERNÁNDEZ RODRIGUEZ, 2009)
“Los mecanismos de seguridad son todas las herramientas de seguridad que
permitan proteger los bienes y servicios informáticos, entre los mecanismos
de seguridad tenemos las herramientas como son los softwares antivirus como
por ejemplo Avast, Panda, Kaspersky, Nod 32, entre otros.”
Seguridad lógica.
Según (MIRA NAVARRO, 2006) Se refiere a la seguridad en el uso de
software y los sistemas, la protección de los datos, procesos y programas, así
como la del acceso ordenado y autorizado de los usuarios a la información.
“La seguridad lógica se trata a la protección de la información, en su propio
21
medio contra robo o destrucción, copia o difusión por ejemplo se puede usar
Criptografía, Firma Digital, Administración de Seguridad y limitaciones de
accesibilidad a los usuarios.”
Los mecanismos y herramientas de seguridad lógica tienen como objetivos
proteger digitalmente la información de manera directa. (COROZO
BLUSMZTEIN, 2012)
• Control de acceso mediante nombres de usuarios y contraseñas.
• Cifrado de datos (encriptación). Los datos se enmascaran con una
clave especial creada mediante un algoritmo de encriptación. Emisor y
receptor son conocedores de la clave y a la llegada del mensaje se
produce el descifrado. El cifrado de datos fortalece la confidencialidad.
• Antivirus. Detectan e impiden la entrada de virus y otro software
malicioso. En el caso de infección tienen la capacidad de eliminarlos y de
corregir los daños que ocasionan en el sistema. Preventivo, detector y
corrector. Protege la integridad de la información.
• Cortafuegos (firewall). Se trata de uno o más dispositivos de software, de
hardware o mixtos que permiten, deniegan o restringen el acceso al
sistema. Protege la integridad de la información.
• Firma digital. Se utiliza para la transmisión de mensajes telemáticos y en
la gestión de documentos electrónicos (por ejemplo, gestiones en oficinas
virtuales). Su finalidad es identificar de forma segura a la persona o al
equipo que se hace responsable del mensaje o del documento. Protege
la integridad y la confidencialidad de la información.
• Certificados digitales. Son documentos digitales mediante los cuales
una entidad autorizada garantiza que una persona o entidad es quien
dice ser, avalada por la verificación de su clave pública. Protege la
integridad y la confidencialidad de la información. (GARCÍA, HURTADO,
& ALEGRE RAMOS, 2011)
“Los mecanismos y herramientas de seguridad son importantes para proteger
un sistema informático y la información que contiene, como el uso de
contraseñas, encriptación de la información, antivirus, cortafuegos, entre
22
otros.”
Seguridad física.
Son tareas y mecanismos físicos cuyo objetivo es proteger al sistema (y, por
tanto, indirectamente a la información) de peligros físicos y lógicos.
(AGUILERA LÓPEZ, 2010)
• Respaldo de datos. Guardar copias de seguridad de la información del
sistema en lugar seguro. Disponibilidad.
• Dispositivos físicos de protección, como pararrayos, detectores de humo
y extintores, cortafuegos por hardware, alarmas contra intrusos, sistemas
de alimentación ininterrumpida (para picos y cortos de corriente eléctrica)
o mecanismos de protección contra instalaciones. En cuanto a las
personas, acceso restringido a las instalaciones; por ejemplo, mediante
vigilantes jurados o cualquier dispositivo que discrimine la entrada de
personal a determinadas zonas.
“La seguridad física es el mecanismo encargado de proteger un sistema
informático y la información que contiene, como cámaras de seguridad,
control de acceso a un edificio.”
SISTEMAS DE INFORMACIÓN Y SISTEMAS INFORMÁTICOS
Sistemas de Información: Un sistema de información (SI) es un conjunto de
elementos organizados, relacionados y coordinados entre sí, encargados de
facilitar el funcionamiento global de una empresa o de cualquier otra actividad
humana para conseguir sus objetivos. (AGUILERA LÓPEZ, 2010)
Estos elementos son:
• Recursos: Pueden ser físicos, como ordenadores, componentes,
periféricos y conexiones, recursos no informáticos; y lógicos, como
sistemas operativos y aplicaciones informáticas.
• Equipo Humano: Compuesto por las personas que trabajan para la
organización.
23
• Información: Conjunto de datos organizados que tienen un significado.
La información puede estar contenida en cualquier tipo de soporte.
• Actividades: Que se realizan en la organización, relacionadas o no con
la informática.
“Un sistema de información es eficaz si es facilita la información necesaria
para la organización, y será eficiente si lo realiza con menores recursos
tecnológicos, humanos y económicos posiblemente, en el momento
oportuno.”
24
TIPOS DE SEGURIDAD
• ACTIVA: Comprende el conjunto de defensas o medidas cuyo objetivo
es evitar o reducir los riesgos que amenazan al sistema.
Ejemplos: impedir el acceso a la información a usuarios no autorizados
mediante introducción de nombres de usuario y contraseñas; evitar la
entrada de virus instalando un antivirus; impedir, mediante encriptación,
la lectura no autorizada de mensajes.
• PASIVA: Está formada por las medidas que se implementan para, una
vez producido el incidente de seguridad, minimizar su repercusión y
facilitar la recuperación del sistema; por ejemplo, teniendo siempre al día
copias de seguridad de los datos. (ROYER J. M., 2010)
PROPIEDADES DE UN SISTEMA DE INFORMACIÓN SEGURO
Los daños producidos por falta de seguridad pueden causar pérdidas
económicas o de credibilidad y prestigio a una organización su origen puede
ser:
• Fortuito. Errores cometidos accidentalmente por los usuarios, accidentes,
cortes de fluido electrónico, averías del sistema, catástrofes naturales.
• Fraudulento. Daños causados por software malicioso, intrusos o por la
mala voluntad de algún miembro del personal con acceso al sistema, robo
o accidentes provocados. (GONZALO ÁLVAREZ & PÉREZ GARCÍA,
2004)
Se considera seguro un sistema que cumple con las propiedades de
integridad, confidencialidad y disponibilidad de la información. Cada una
de estas propiedades conlleva la implementación de determinados servicios
y mecanismos de seguridad que se estudiarán más adelante.
INTEGRIDAD: Este principio garantiza la autenticidad y precisión de la
información sin importar el momento en que esta se solicita, o dicho de otra
25
manera, una garantía de que los datos no han sido alterados ni destruidos
de modo no autorizado.
NORMAS ISO
Definición de la ISO
La organización Internacional para la estandarización ISO (International
Organization for Standardization) tiene como objetivo el desarrollo de diversos
tipos de normas. La norma ISO 9000 (www.iso.org) busca promover la gestión
de la calidad, para lo cual, la organización que desee recibir esta certificación
debe cumplir con una serie de criterios de calidad en relación a los
requerimientos de los clientes, aplicar regularmente estos requerimientos para
mantener su satisfacción y lograr continuas mejoras de desarrollo en pos de
conseguir los objetivos propuestos calidad. (Morales Morgado, 2010, pág. 132)
ISO define la calidad como: “El conjunto de propiedades características de un
producto o servicio que le confieren su aptitud para satisfacer unas necesidades
expresadas o implícitas”. (Morales Morgado, 2010, pág. 132)
Las Organización Internacional de Normalización (ISO) es una federación de
organismos nacionales de normalización. Los comités técnicos de ISO (ISO/TC)
llevan a cabo el trabajo de elaboración de las normas internacionales. Todos los
organismos miembros interesados en una materia para la cual se haya
establecido un comité técnico tienen derecho a estar representados en dicho
comité. Otras organizaciones internacionales, públicas y privadas, en
coordinación con ISO, participan en el trabajo. (Griful Ponsati & Canela, 2005,
pág. 34)
ISO colabora estrechamente con la Comisión Electrotécnica Internacional (IEC)
en todas las materias de normalización electrotécnica. Los proyectos o
borradores de normas internacionales (ISO/DIS) elaborados por los comités
técnicos son enviados a los organismos miembros para su votación, que requiere
26
para su aprobación una mayoría del 75%. (Griful Ponsati & Canela, 2005, pág.
34)
La ISO (International Standardization, u Organización Internacional de
Normalización) produce normas técnicas de carácter específico y de adhesión
voluntaria desde 1947. Las técnicas y sectores de negocio que abarcan se han
ido ampliando y, claro está, diversificando cada vez más, llegando incluso en la
actualidad a entes de carácter público. (Florentino fernández, Iglesias Pastrana,
Llaneza Álvarez, & Fernández Mñiz, 2010, pág. 221)
La ISO (Organización Internacional de Normalización) está presente en 157
países en el mundo y tiene como finalidad establecer normas documentadas a
los productos o servicios que prestan o venden en una organización pública o
privada y así garantizar la calidad a la necesidad del consumidor, logrando una
buena imagen de la organización, obteniendo una satisfacción con los clientes o
con los procesos que se realicen.
NORMA ISO 27001
Definición ISO 27001
Se denomina requisitos para la especificación de sistemas de gestión de la
seguridad de la información (SGSI) proporciona un macro de estandarización
para la seguridad de la información para que sea aplicado en una organización
o empresa y comprende un conjunto de normas sobre las siguientes materias:
Según (García, Hurtado, & Alegre Ramos) Una organización comprende un
conjunto de normas sobre las siguientes materias:
• Sistemas de gestión de la seguridad de la información.
• Valoración de riesgos
• Controles
Que constituye a la ISO 17799-1, abarca un conjunto de normas relacionadas
con la seguridad informática. Se basa en la norma BS 7799-2 de British
27
Standard, otro organismo de normalización. . (García, Hurtado, & Alegre Ramos,
2011, pág. 19)
Según esta norma, que es la principal de la serie, la seguridad de la información
es la preservación de su confidencialidad, integridad y disponibilidad, así como
de los sistemas implicados en su tratamiento. (García, Hurtado, & Alegre Ramos,
2011, pág. 19)
La norma 27001 gestiona. Se basa en un Sistema de Gestión de la Seguridad
de Información, también conocido como SGSI. Este sistema, bien implantado en
una empresa, nos permitirá hacer un análisis de los requerimientos de la
seguridad de nuestro entorno. Con ellos, podremos crear procedimientos de
mantenimiento y puesta a punto, y aplicar controles para medir la eficacia de
nuestro trabajo. La norma contempla cada uno de estos requisitos y nos ayuda
a organizar todos los procedimientos. (Marchionni, 2011, pág. 90)
Todas estas acciones protegerán la empresa frente a amenazas y riesgos que
puedan poner en peligro nuestros niveles de competitividad, rentabilidad y
conformidad legal para alcanzar los objetivos planteados por la organización.
(Marchionni, 2011, pág. 90)
ISO/IEC 27001 Information Security Management Systems Requirementes
(Requerimientos para los Sistemas de Gestión de Seguridad de la Información),
norma que permite certificar la implementación de un sistema de Gestión de
Seguridad de la Información en una Organización. (Vieites, 2011, pág. 153)
La ISO 27001 nos da prioridad al Sistema de Gestión, permitiendo escoger los
controles que se necesiten para minimizar los riesgos encontrados, es una
norma que ayuda a gestionar la seguridad de la información en cualquier tipo de
organización, analizando las amenazas, vulnerabilidades y riesgos laborales que
se presentan, permitiendo tener una información segura gracias a la Integridad,
Disponibilidad y Confidencialidad que esta brinda a todo momento, logrando que
se cumplan las políticas establecidas y tener una buena imagen en la empresa.
28
Confidencialidad
La confidencialidad de la información es la propiedad mediante la que se
garantiza el acceso a la misma solo a usuarios autorizados. (Tejada, 2014, pág.
2)
Está relacionada con la prevención del acceso no autorizado a la información. El
objetivo básico es salvaguardar los datos ante operacionales de lectura por parte
de usuarios, ya sean personas o programas, no habilitados. (Aedo Cuevas, y
otros, 2009, pág. 154)
La confidencialidad nos permite que la información siempre sea solo vista por
personal autorizado y no por terceros, evitando una divulgación de los archivos
personales de las organizaciones.
Integridad
Garantizando que la información y sus métodos de proceso son exactos y
completos, y podríamos matizar que, por tanto, permitiendo el acceso con
posibilidad de variación, que incluiría añadidos, modificaciones y borrados, pero
sólo a quienes estén autorizados, y que podrían ser diferentes del grupo anterior:
el de la confidencialidad. (Navarro, Ramos Gonzáles, & Ruiz, 2010, pág. 14)
Es la propiedad que busca mantener los datos libres de modificaciones no
autorizadas. La integridad es el mantener con exactitud la información tal cual
fue generada, sin ser manipulada o alterada por personas o procesos no
autorizados. (Medina, 2014, pág. 17)
La integridad nos permite que la información siempre debe mantenerse tal cual
se la escribió en dicha organización, sin ningún tipo de manipulación por
personas no autorizadas, con el fin de no perjudicar a terceros debido a las
manipulaciones que se pudieran realizar.
29
Disponibilidad
La disponibilidad se refiere a la recepción del dato a tiempo para cumplir su
finalidad y por parte de los destinatarios autorizados, esto es, la accesibilidad de
los datos cuando sea preciso y por quienes están facultados para ello. (Rebollo
Delgado & Serrano Pérez, 2008, pág. 148)
Los datos deben estar disponibles en el momento en que se necesitan. (Quesnel,
2012, pág. 151)
La disponibilidad es la característica, cualidad o condición de la información de
encontrarse a disposición de quienes deben acceder a ella, ya sean personas,
procesos o aplicaciones. Groso modo, la disponibilidad es el acceso a la
información y a los sistemas por personas autorizadas en el momento que así lo
requieran. (Revista de la Segunda Cohorte, 2014, pág. 104)
La disponibilidad nos permite que la información siempre se la va a poder
encontrar al momento que se la necesite, cualquier usuario autorizado tiene
accesibilidad a ella, es aquí donde la organización garantiza su efectividad en
una información disponible a todo momento.
SEGURIDAD DE LA INFORMACIÓN
Definición
La seguridad de la información es el conjunto de medidas preventivas y reactivas
de las organizaciones y de los sistemas tecnológicos que permiten resguardar y
proteger la información buscando mantener la confidencialidad, la disponibilidad
e integridad de la misma. (Revista de la Segunda Cohorte, 2014, pág. 100)
30
El concepto de seguridad de la información no debe ser confundido con el de
seguridad informática, ya que este último solo se encarga de la seguridad en el
medio informático, pero la información puede encontrarse en diferentes medios
o formas, y no solo en medios informáticos. (Revista de la Segunda Cohorte,
2014, pág. 100)
Este hecho se basa en que la información va mucho más allá de la netamente,
procesada por equipos informáticos y sistemas; es decir, también abarca aquello
que pensamos, que está escrito en un papel, que decimos, etc. (Jara & Pacheco,
2012, pág. 15)
Si consultamos la norma ISO/IEC 27001, esta nos dice que la seguridad de la
información es aquella disciplina que tiene por objeto preservar la
confidencialidad, integridad y disponibilidad de la información; y que puede
involucrar otras propiedades, como la autenticidad, la responsabilidad, el no
repudio y la trazabilidad. (Jara & Pacheco, 2012, pág. 15)
La seguridad de la información no hay que confundirla con seguridad informática,
es aquí donde documentamos todas las políticas, protocolos, reglamentos,
normas etc., Se le da prioridad a la confidencialidad, integridad y disponibilidad
de la información para poder minimizar, tratar y gestionar los riesgos lógicos que
se presenten a la información y así se pueda obtener un total resguardo de la
misma, llegando a cumplir los objetivos que se ha propuesto la organización
mediante las políticas de seguridad.
Seguridad Lógica
Es toda aquella relacionada con la protección del software y de los sistemas
operativos, que en definitiva es la protección directa de los datos y de la
información. (Aguilera López P. , 2010, pág. 30)
Consiste en la aplicación de barreras y procedimientos que resguarden el acceso
a los datos y solo se permita acceder a ellos a las personas autorizadas para
31
hacerlo. Algunas de las principales amenazas que tendrán que combatir los
administradores de sistemas son el acceso y modificaciones no autorizadas a
datos y aplicaciones. La seguridad lógica se basa, en gran medida, en la
efectividad administración de los permisos y el control de acceso a los recursos
informáticos, basados en Identificación, autentificación y autorización de
accesos. (Costas Santos, 2011, pág. 66)
Seguridad Lógica se basa en la protección del Sistema Operativo donde se
encuentra la información y software de la empresa, administrando el acceso a
estos recursos, ayudando a mantenerla siempre protegida o a un nivel alto de
seguridad, ya que el mismo SO está expuesto a riesgos, amenazas y
vulnerabilidades.
Riesgo
Estimación del grado de explosión a que una amenaza se materialice sobre uno
o más activos causando daños o perjuicios a la organización. (España, 2012,
pág. 229)
Se denomina riesgo a la posibilidad de que se materialice o no una amenaza
aprovechando las vulnerabilidades. No constituye riesgo una amenaza cuando
no hay vulnerabilidad ni una vulnerabilidad cuando no existe amenaza para la
misma. (Aguilera López P. , 2010, pág. 14)
Es un evento o condición incierta, que en caso de ocurrir, tiene un efecto positivo
o negativo sobre los objetos o proyectos. (Toro López, 2013, pág. 135)
El riesgo en la información siempre está latente esperando el momento en que
una amenaza ocurra aprovechando las vulnerabilidades que existan y más si se
trata de una organización con documentos importantes siempre se vivirá con el
miedo de perder todo lo que se tiene.
32
Identificación y Autenticación
Mediante algo que se pueda portar (por ejemplo, tarjeta magnética), algo que se
conoce (contraseña) o algo físico, biológico o fisiológico (biometría). Una vez
realizada la identificación y la autenticación, cada usuario dispondrá de un
determinado nivel de acceso a la información, en función de parámetros que se
establezcan. (Aguilera López P. , 2010, pág. 136)
Su objetivo es comprobar la identidad del usuario, es decir ¿es realmente quien
dice ser?, el usuario proporciona información acerca de su identidad para que el
servidor pueda identificar. Normalmente el usuario da su nombre de usuario
(login) y su contraseña. Estos dos datos también se llaman credenciales y si el
servidor comprueba que estas credenciales coinciden con las almacenadas en
su base de datos. (Mifsuf Talón, 2012, pág. 3 de 27)
La identificación y autenticación es parte de la mayoría de servicios TIC, El
propósito de la Identificación es comprobar, analizar que usuario accede a la
información y mediante la autenticación que se la haya dado identificar que el
usuario es quien dice ser y brindar los permisos que se le haya otorgado a ese
usuario para que pueda acceder a la información a la cual tiene permiso.
Amenazas
En sistemas de información se entiende por amenaza la presencia de uno o más
factores de diversa índole (personas, máquinas o sucesos) que de tener la
oportunidad atacarían al sistema produciéndole daños aprovechándose de su
nivel de vulnerabilidad. (Aguilera López P. , 2010, pág. 13)
Las amenazas son los eventos que pueden desencadenar un incidente en la
organización, produciendo daños o pérdidas inmateriales en sus activos. Se
pueden agrupar en clases y los atributos a tener en cuenta son: su código,
33
nombre, frecuencia. (De Pablos Heredero, López Hermoso Agius, Romo
Romero, & Medina Salgado, 2011, pág. 280)
Las amenazas en la información pueden existir a partir de una vulnerabilidad, si
existen vulnerabilidades existen amenazas, y es la que atenta contra la
seguridad de la información, la falta de capacitación en materia de seguridad de
la información ha causado el aumento de amenazas por parte del personal de la
organización.
Vulnerabilidades
Una vulnerabilidad de seguridad es una debilidad en un componente del sistema
que pudiera ser explotada para permitir el acceso no autorizado o causar
interrupción del servicio. La naturaleza de las vulnerabilidades podría ser de
múltiples tipos: técnicas (por ejemplo, una falla en el sistema operativo o
navegador web), administrativas (por ejemplo, no educar a usuarios acerca de
problemas críticos de seguridad), culturales (ocultar contraseñas bajo e teclado
o no destruir informes confidenciales), procedimental (no pedir contraseñas
complejas o no revisar las ID de usuario), etc. Cualquiera que sea el caso,
cuando una vulnerabilidad de seguridad se deja sin verificar, puede convertirse
en una amenaza. Una amenaza de seguridad es una inminente violación de
seguridad que puede ocurrir en cualquier momento debido a una vulnerabilidad
no revisada. (Coronel, Morris, & Rob, 2011, pág. 630)
Es el estado normal en que se encuentra los bienes, expuestos a una o varias
amenazas. Es decir, el grado de facilidad con que podrán producirse daños en
las personas, cosas o procesos a proteger como consecuencia de las amenazas.
Es importante tener en cuenta las siguientes preguntas. Según (Mora Chamorro,
2010, pág. 15)
• Qué debe protegerse. ?
• Qué amenazas existen. ?
34
• Qué grado de vulnerabilidad presentan ante estas amenazas. ? (Mora
Chamorro, 2010, pág. 15)
La vulnerabilidad es todo punto débil que pudiera existir en el hardware como en
el software, pudiendo esta atentar contra la información que existiera en la
empresa, afectando la confidencialidad, integridad, disponibilidad de la misma,
es importante identificar cuáles serían esas amenazas o vulnerabilidades que
está expuesta los datos de la organización para combatirla, minimizarlas y así
poder protegerla de cualquier daño que esta pudiera causar.
Ataques
Los ataques cibernéticos se han multiplicado desde principios del siglo XXI,
siendo los más destacados los relacionados con el perjuicio económico como el
fraude y estafas en la red (e-fraud, o fraude electrónico, constituido por el
phishing, pharming, timo nigeriano, captación de mulas para el blanqueo de
dinero, etc.), el espionaje industrial, o ataques a gobiernos. (Jiménez garcía, y
otros, 2014, pág. 92)
Los ataques a la seguridad pueden tener efectos muy diversos en nuestros
sistemas. Algunos de estos efectos son los siguientes: Según. (Romero Ternero,
y otros, 2014, pág. 246)
• Destrucción de información almacenada en el disco duro.
• Destrucción o inutilización del sistema operativo.
• Borrado de la BIOS.
• Destrucción del Disco Duro, inutilizándolo.
• Apertura de una puerta trasera (backdoor) que permita el acceso no
autorizado a nuestro ordenador.
• Impedir la ejecución de determinados programas.
• Recopilación de información de nuestro ordenador y envío de dicha
información a otro (spyware).
35
• Consumo de recursos de nuestro ordenador.
• Envío de tráfico inútil para saturar la red.
• Inofensivos aunque molestosos mensajes en pantalla de vez en
cuando.
• Envió de spam desde nuestra cuenta de correo electrónico.
• Lectura no autorizada de nuestro correo electrónico.
• Colapso del servidor. (Romero Ternero, y otros, 2014, pág. 246)
Los ataques informáticos se ha vuelto muy de moda a nivel mundial por los
famosos piratas informáticos, estos atacantes tratan de aprovechar las
vulnerabilidades que se presentan en los ordenadores de las organizaciones ya
sea esta grande o pequeña, tomando el control de los sistemas informáticos, la
red o de la información para ganar dinero pidiendo una recompensa por dicho
control o secuestro que han hecho, o solo por causar daño entre otras.
Virus
Los virus informáticos son programas que se instalan de forma inadvertida en los
dispositivos realizando una función destructiva o intrusiva y, además, pueden
propagarse hacia otros equipos. (Ladrón Jiménez, 2014, págs. 101-144)
Actualmente, los medios más utilizados de propagación de virus son el correo
electrónico, la mensajería instantánea y las descargas. (Ladrón Jiménez, 2014,
págs. 101-144)
Es un programa informático (sea en código ejecutable, objeto o fuente) que es
capaz de auto producirse código en otros programas informáticos o
computadoras, de manera transparente al usuario, capaz de transcurrido el
tiempo de incubación/propagación, interferir con el normal funcionamiento de
una computadora o red de computadoras. (Marroquín, 2010, pág. 472)
36
Son programas que alteran el correcto funcionamiento de los equipos y se
propagan entre ellos a través de distintos medios (Rodil Jiménez & Pardo de
Vega, 2010, pág. 287)
Virus informático son programas maliciosos y dañinos creados para alterar el
funcionamiento del computador, o tomar el control del mismo, sin previo
conocimiento del usuario, estos virus se propagan por sí mismo a varias
computadoras ya sean por correos electrónicos, o por dispositivos extraíbles
entre otros, un virus puede destruir de manera intencionada la información que
se encuentre en un computador o servidor de la organización.
Hacker
El llamado hacker realiza acciones no autorizadas, pero sin fines destructivos.
Suelen ser accesos realizados sin autorización con el objeto de conseguir
determinada información; sin embargo, no la destruyen. Su conducta puede
estar guiada, únicamente, por el deseo de vencer el reto intelectual que supone
saltar las barreras del sistema, de descubrir, en suma, las lagunas de protección.
(Fernández Teruelo, 2011, pág. 96)
El termino hacker representa aquí a los primeros programadores en los sistemas
Unix convertidos sin duda en verdadero “gurús” en su dominio y no al pirata
informático malintencionado. (Pons, 2011, pág. 19)
Es el nombre genérico que se le da a los intrusos informáticos, pero en realidad
el hacker es el único de ellos que tiene un código ético para sus intrusiones, el
verdadero profesional del hacking, que conoce a fondo los lenguajes de
programación, las instrucciones y los protocolos de comunicación de redes para
introducirse en ellas con privilegio de administrador. (Aguilera López P. , 2010,
pág. 109)
Hacker es una persona con amplios conocimientos en informática y maneja
varios software de programación en un nivel avanzado, descubriendo
vulnerabilidades que puede explotar y también puertas traseras en las
37
seguridades informáticas de las organizaciones sin fines de lucro para reportar
las fallas en las seguridades y así convertirse en el administrador, o por propio
ego de la persona.
Cracker
Es alguien que viola la seguridad de un sistema informático de forma similar a
como lo haría un hacker, solo que a diferencia de este último, el cracker realiza
la instrucción con fines de beneficio personal o para hacer daño. (Revuelta
Domínguez & Pérez Sánchez, 2009, pág. 73)
El termino deriva de la expresión “criminal hacker”, y fue creado alrededor de
1985 por contraposición al termino hacker, en defensa de estos últimos por el
uso incorrecto del término. Se considera que la actividad realizada por esta clase
de cracker es dañina e ilegal. (Revuelta Domínguez & Pérez Sánchez, 2009,
pág. 73)
El cracker vendría a ser una variante del hacker, con la diferencia de que al
invadir un sistema informático lo hace para sustraer información (“piratas
informáticos”), producir daños o desproteger programas. (Campos Santelices,
2010, pág. 79)
Utiliza las técnicas del hacker pero para beneficio propio causando daños a los
sistemas que invade. También es un cracker el que tiene conocimientos de
ingeniería inversa y los usa para ofrecer públicamente seriales, cracks o
generadores de claves de programas comerciales. (Aguilera López P. , 2010,
pág. 109)
Cracker es una persona igual que un hacker con avanzados conocimientos en
programas informáticos y en programación pero al contrario de un hacker este
los utiliza para obtener fines de lucro o hacer daño a cualquier organización
sustrayendo la información para luego pedir una recompensa, es aquí donde se
derivan los famosos “piratas informáticos”
38
Políticas de Seguridad
Su objetivo es proporcionar el soporte para la seguridad de la información, en
concordancia con los requerimientos comerciales y las leyes y regulaciones
relevantes. Se crea de forma particular por cada organización y se redacta un
documento de la política de seguridad de la información. (Valdivia Miranda, 2015,
pág. 136)
Este documento debe ser primeramente aprobado por la gerencia y luego
publicado y comunicado a todos los empleados y las partes externas relevantes.
Las políticas de seguridad de la información no pueden quedar estáticas para
siempre, sino que por el contrario, tienen que ser continuamente revisadas para
que se mantengan en concordancia con los cambios tecnológicos o cualquier
tipo de cambio que se dé. (Valdivia Miranda, 2015, pág. 136)
Una serie de sentencias formales, o normas, que deben ser cumplidas por todas
las personas de una organización que dispongan de acceso a cualquier
información, datos o tecnología que sean propiedad de la organización. (Oliva
Alonso, 2013, pág. 125)
La política de seguridad, en el mundo real, es un conjunto de leyes, reglas y
prácticas que regulan la manera de dirigir, proteger y distribuir recursos en una
organización para llevar a cabo los objetivos de seguridad informática dentro de
la misma. (Revista de la Segunda Cohorte, 2014, pág. 45)
Las Políticas de Seguridad son aquellas que proporcionan seguridad a los datos
de toda organización, donde un conjunto de leyes y reglas son redactadas en un
documento que tiene que ser aprobado por el gerente para poder ser publicadas
y así poder capacitar a todo el personal que se encuentre involucrado de dichos
cambios que se presenten, estas políticas no pueden ser estáticas, tiene que
haber un constante monitoreo para poder realizar su respectivo cambio si es
necesario, dependiendo de cualquier cambio que presente.
39
Copias de Seguridad
La finalidad de las copias de seguridad es restaurar la información original que
había en el disco duro cuando ésta se ha dañado o perdido. (Berral Montero,
Equipos microinformáticos, 2010, pág. 264)
Hemos de ser conscientes de que en muchos momentos tiene más valor la
información que ésta dentro del ordenador, que el propio ordenador en sí, ya que
el ordenador puede reponerse, pero la información no (Berral Montero, Equipos
microinformáticos, 2010, pág. 264)
Las copias de seguridad son la última salvaguarda que tiene una organización
para rectificar un problema de pérdida de información y según la criticidad de la
información perdida, el backup se convierte en un elemento crítico para la
continuidad del negocio de la compañía. Por tanto, como elemento crítico para
el negocio debemos considerar de igual manera un componente crítico desde la
Tecnología. (Mora Pérez, 2012, pág. 369)
La finalidad de las copias de seguridad es restablecer la información original, es
decir, los archivos originales cuando estos se han dañado o perdido. Tenemos
que ser conscientes de que existen ocasiones en que tiene más valor la
información que está contenida en el ordenador que el propio ordenador en sí,
ya que el ordenador lo podemos reponer, pero no sucede lo mismo con la
información. Existen numerosas formas de perder la información, por ello
debemos poner los medios a nuestro alcance para que esto no ocurra, siendo a
mejor medida las copias de seguridad (Oliva Haba, Manjavacas Zarco, & Martín
Márquez, 2014, pág. 358)
Las copias de seguridad o backup se realizan para poder recuperar los datos
importantes que se almacenan en el ordenador, en caso de que ocurra alguna
situación no deseada. (Sánchez Estella & Herrero Domingo, 2014, pág. 115)
El propósito de las Copias de Seguridad en una organización es muy importante,
ya que estas van a restaurar o recuperar los datos que se encuentran
40
almacenados en los ordenadores o servidores de las organizaciones cuando
estos sufran daños, sabiendo que esta se encuentra vulnerable a cualquier
desperfecto que pueda existir en cuanto a la seguridad de la información, ya que
tienen que ser consiente que lo más valioso que tiene una organización es la
información que contiene en dichos ordenadores o servidores y mas no el equipo
informático.
PRIVACIDAD DE LA INFORMACIÓN
Definición
Mantener la privacidad de la información es un elemento muy importante dentro
de la seguridad informática, de hecho se contempla como uno de los objetivos
primordiales de la seguridad, ya que tener unas buenas medidas para asegurar
la privacidad almacenada y transmitida, nos mantiene seguros frente a fraudes
y robos informáticos. (García, Hurtado, & Alegre Ramos, 2011, pág. 127)
Privacidad: Garantizar que sólo las partes autorizadas podrán acceder a un
conjunto de datos, tanto en su origen/destino como durante su tráfico por la red.
(Marco Galindo, Marco Simó, Prieto Blázquez, & Segret Sala, 2010, pág. 90)
La privacidad de la información es garantizar la confidencialidad de los datos de
la organización ya sea en una red local o en internet, logrando evitar el acceso a
personas no autorizadas, hoy en día la privacidad se ve sometida a violaciones
por virus, redes inseguras, piratas informáticas, etc.
Contraseñas
La contraseña actualmente representa el medio de autentificación más común.
Se trata de una simple secuencia de caracteres alfanuméricos y especiales,
elegidos por el usuario, y por un periodo que puede ser limitado o ilimitado. Para
41
comprobar su introducción, se almacena en un archivo o una base de datos en
el ordenador o en un servidor. Esta contraseña puede ser objeto de diverso
ataques para intentar obtenerla, por ingeniería social, diccionario o fuerza bruta.
(Dordoigne, 2011, pág. 392)
Las contraseñas no deben ser fáciles de adivinar ya que se corre el riesgo de
que una persona que conozca al usuario pueda adivinarla. Una buena
contraseña debe incluir mayúsculas, minúsculas, números y signos, además de
contar con una longitud suficiente, mínimo ocho caracteres. (Rodil Jiménez &
Pardo de Vega, 2010, pág. 81)
Las contraseñas son autentificación que evitan el acceso de personas no
autorizadas, manteniendo la confidencialidad, integridad y disponibilidad de la
información creando un ambiente más seguro, las contraseñas tienen que
mínimo ser de 8 caracteres y tener combinaciones alfanuméricas.
Protocolos de seguridad de la información
Un protocolo de seguridad es un conjunto de programas que usan esquemas de
seguridad criptográfica. El protocolo de seguridad más utilizado actualmente es
el SSL (Secure Sockets Layer) que se presenta con un candado cerrado en la
barra de herramientas del navegador. (López Brox, 2010, pág. 335)
Los protocolos son reglas y normas que tratan del intercambio de información
entre ordenadores y otros dispositivos, los cuales han sido definidos para que
sea posible la transferencia fiable y eficaz de información. (Sánchez Estella &
Moro Vallina, 2010, pág. 65)
Los protocolos de seguridad son un conjunto de reglas que gobiernan dentro de
la transmisión de datos entre la comunicación de dispositivos para ejercer una
confidencialidad, integridad, autenticación y el no repudio de la información.
42
Según la (Revista de la Segunda Cohorte, 2014, pág. 107) Estos protocolos se
componen de:
Criptografía (Cifrado de datos): se ocupa del cifrado de mensajes, un mensaje
es enviado por emisor, lo que hace es transposicionar u ocultar el mensaje hasta
que llega a su destino y puede ser descifrado por el receptor. (Revista de la
Segunda Cohorte, 2014, pág. 107)
Lógica (Estructura y secuencia): llevar un orden en el cual se agrupan los datos
del mensaje, el significado del mensaje y saber cuándo se va enviar el mensaje.
(Revista de la Segunda Cohorte, 2014, pág. 107)
Identificación (Autenticación): es una validación de identificación, es la técnica
mediante la cual un proceso comprueba que el compañero de comunicación es
quien se supone que es y no se trata de un impostor. (Revista de la Segunda
Cohorte, 2014, pág. 107)
Protocolo de Seguridad de la información es un conjunto de reglas a seguir, una
estructura donde valida la comunicación entre ordenadores, la cual nos ayuda a
que la información que se envía como la que se recibe sea: confidencial e
integra, con una autenticación donde el usuario a recibir se sienta seguro que su
información llego tal y cual la enviaron.
REDES Y COMUNICACIÓN DE DATOS
Las redes de datos son redes de comunicación pensadas para intercambiar
datos empleando protocolos la comunicación. En este caso, los elementos
fuente y destino de la información son dispositivos electrónicos, como
ordenadores, teléfonos móviles, etc. (Romero Ternero, y otros, 2014, pág. 3)
Una red es un sistema de comunicaciones que permite a los usuarios de
ordenadores y dispositivos basados en microprocesador, compartir el
equipamiento de los ordenadores conectados, programas informáticos, datos,
43
voz, video, impresoras, etc., es decir, cualquier dispositivo conectado a la red.
(Berral Montero, 2014, pág. 2)
Una red está formada por el conjunto de elementos necesarios para que se
establezca la comunicación; en su sentido más amplio, incluye los emisores,
receptores, nodos intermedios, conmutadores, enlaces, etc. (Moro Vallina, 2013,
pág. 3)
Una red de comunicación y datos es conectarse entre sí todo dispositivo
electrónico como un ordenador, impresora, teléfonos móviles, etc. Donde exista
comunicación entre ellos mediante un receptor y un emisor, pero se necesita de
más elementos o factores como switch, nodos, enlaces, etc. Que estén
interconectadas entre ellos, dando paso a que exista una comunicación de
programas informáticos, información, y acceso a cualquier dispositivo que esté
conectado a la red dependiendo las políticas que se les haya dado a los
dispositivos.
SERIE ISO/IEC 27000
ISO/IEC 27000 es un conjunto de estándares desarrollados por ISO e IEC que
proporcionan un marco de gestión de la seguridad de la información utilizable
por cualquier tipo de organización o institución. (FREIBURGHAUS, 2012)
• ISO (International Organization for Standardization) – Organización
Internacional para la Estandarización, es un organismo que promueve
el desarrollo de normas voluntarias internacionales de fabricación,
comercio y comunicación para todas las ramas industriales menos
las del campo de la eléctrica y la electrónica. Su sede principal se
encuentra en la ciudad de Ginebra-Suiza y su objetivo principal es la
de estandarizar normas, productos y seguridad para organizaciones
y empresas de todo el mundo. (ISO International Organization for
Standardization, 2012)
44
• IEC (International Electrotechnical Commission) - Comisión
Electrónica Internacional, es una organización que se encarga de la
normalización en el campo eléctrico, electrónico y en todas las
tecnologías que se encuentren relacionadas. Desde el año 1906 IEC
es la organización líder a nivel mundial que prepara y publica normas
internacionales para todas las tecnologías eléctricas, electrónicas y
relacionadas con el fin de trabajar con seguridad en todos los niveles.
Ecuador es un país afiliado a IEC mediante el Instituto Ecuatoriano
de normalización (INEN). (International Electrotechnical Commission,
2014)
• Estándar: Es un modelo o conjunto de reglas, normas, técnicas
y procedimientos documentados que se siguen con la finalidad de
cumplir un objetivo de superación.
• Norma: Es un documento de aplicación voluntaria que contiene
especificaciones técnicas específicas basadas en los resultados de la
experiencia y del desarrollo tecnológico. Las normas son
consecuencia del consenso entre todas las partes involucradas e
interesadas en la actividad objeto de la misma. Además, deben
aprobarse por un Organismo de Normalización internacional. Tanto
los estándares como las normas garantizan niveles de calidad y
seguridad que permiten a cualquier empresa posicionarse de mejor
manera en el mercado.
La serie ISO/IEC 27000 contiene las mejores prácticas recomendadas en
Seguridad de la información para desarrollar, implementar y mantener
especificaciones para los Sistemas de Gestión de la Seguridad de la
Información
(SGSI).(FREIBURGHAUS,2012)
La serie ISO/IEC 27000 ayuda a proteger los activos de información y otorga
45
confianza a cualquiera de las partes interesadas, sobre todo a los clientes. La
norma adopta un enfoque por procesos para establecer, implementar, operar,
supervisar, revisar, mantener y mejorar un SGSI.
Esta norma, no está orientada a despliegues tecnológicos o de infraestructura,
sino a aspectos únicamente organizativos, es decir, organizar la seguridad de
la información, por ello se compone de una secuencia de acciones destinadas
al establecimiento, implementación, operación, monitorización, revisión,
mantenimiento y mejora del SGSI (HERAS, 2011)
El SGSI-ISO 27001 es un sistema activo, integrado en las organizaciones, que
va orientado a los objetivos empresariales y con una proyección de futuro.
ISO/IEC 27001 es una norma adecuada para cualquier organización, grande
o pequeña, de cualquier sector, la norma es particularmente interesante si la
protección de la información es crítica, como tecnología de la información (TI).
• CONFIFENCIALIDAD: La OCDE (Organización para Cooperación y el
Desarrollo Económico), en sus Directrices para la Seguridad de los
Sistemas de Información define la confidencialidad como “el hecho de
que los datos o informaciones estén únicamente al alcance del
conocimiento de las personas, entidades o mecanismos autorizados, en
los momentos autorizados y de una manera autorizada”. (ROYER J. M.,
2010)
“Para prevenir errores de confidencialidad se debe diseñar un control de
accesos al sistema: quién puede acceder, a qué parte del sistema, en qué
momento y para realizar qué tipo de operaciones.”
• DISPONIBILIDAD: La información he de estar disponible para los
usuarios autorizados cuando la necesiten.- Se deben aplicar medidas
que protejan la información, así como crear copias de seguridad y
mecanismos para restaurar los datos que accidental o
intencionadamente se hubiesen dañado o destruido. (VIEITES, 2007)
46
Sistemas Biométricos:
La biometría es una tecnología que realiza mediciones en forma electrónica,
guarda y compara características únicas para la identificación de personas.
La forma de identificación consiste en la comparación de características
físicas de cada persona con un patrón conocido y almacenado en una base
de datos.
El beneficio de utilizar está técnica es en los costos de administración que son
bajos debido a que se solo se realiza el mantenimiento del lector y una
persona se encarga de mantener la base de datos actualizada.
Sumado a esto, las características biométricas de una persona son
intransferibles a otra. (HUERTA, 2000)
Seguridad en los accesos:
Se refiere a los controles que pueden implementarse para proteger el sistema
operativo de la red, los sistemas de aplicación y demás software de la
utilización o modificaciones no autorizadas.
Para mantener la integridad de la información, restringiendo la cantidad de
usuarios y procesos con acceso permitido y para resguardar la información
confidencial de accesos no autorizados.
Los requisitos mínimos de seguridad en cualquier sistema son:
• Identificación y autentificación.
• Roles.
• Transacciones.
• Limitaciones a los servicios.
• Modalidad de Acceso.
• Ubicación y horario. (ECHENIQUE GARCÍA, 2009)
47
Seguridad en Redes:
Las redes en las empresas son los medios que permiten la comunicación de
diversos equipos y usuarios es así que es prioridad en la empresa mantener
su seguridad debido a la información que por ellas se transmite como son los
datos de clientes, servicios contratados, reportes financieros y administrativos,
estrategias de mercado, etc.,
La seguridad de las redes y la información puede entenderse como la
capacidad de las redes o de los sistemas de información para resistir, con un
determinado nivel de confianza, todos los accidentes o acciones
malintencionadas, que pongan en peligro la disponibilidad, autenticidad,
integridad y confidencialidad de los datos almacenados o transmitidos y de los
correspondientes servicios que dichas redes y sistemas ofrecen o hacen
accesibles y que son tan costosos como los ataques intencionados.
(ECHENIQUE GARCÍA, 2009)
PLAN DE CONTINGENCIAS
Según (CHRISTIAN, 2014) define que el Plan de Contingencia es una
herramienta orientada a garantizar la continuidad de los estudios de las y los
estudiantes de las universidades y Escuelas Politécnicas categoría E que
sean suspendidas definitivamente por el CEAACES.
Según el criterio de los autores (LASO & IGLESIAS, 2002) definen que se
entiende por PLAN DE CONTINGENCIA los procedimientos alternativos al
orden normal de una empresa, cuyo fin es permitir el normal funcionamiento
de ésta, aún, cuando alguna de sus funciones se viese dañada por un
accidente interno o externo.
“Un plan de contingencia es un plan preventivo, predictivo y reactivo que se
debe realizar en cada empresa para evitar tener pérdida total de todos los
activos que posee la empresa con el objetivo de ayudar a controlar una
situación de emergencia y a minimizar sus consecuencias negativas.”
El plan de contingencias tiene como finalidad proveer a la organización de
requerimientos para su recuperación ante desastres. En su elaboración
48
deben intervenir los niveles ejecutivos de la organización, el personal usuario
y el técnico de los procesos.
Contenido del plan de contingencia
El plan de contingencia deberá tomar en cuenta que debe ser eficaz y eficiente
para lograr reestablecer las operaciones de la empresa. Este plan debe
incluir: (RIVAS, 2005)
• La naturaleza, la extensión y la complejidad de las actividades de la
organización.
• El grado de riesgo al que la organización está expuesta.
• El tamaño de las instalaciones de la organización (centro de cómputo y
número de usuarios).
• La evaluación de los procesos críticos.
• La formulación de las medidas de seguridad necesarias dependiendo del
nivel de seguridad requerido.
• La justificación del costo de implantar las medidas de seguridad.
Etapas del plan de contingencia
Entre las etapas del proyecto del plan de contingencia están:
• Análisis del impacto en la organización
• Selección de la estrategia
• Preparación del plan
• Prueba
• Mantenimiento y reevaluación de los planes (RIVAS, 2005)
MODELO DE SEGURIDAD
Según los criterios de (ROBLES T., 2012) Un Modelo de Seguridad de la
información es un diseño formal que promueve consistentes y efectivos
mecanismos para la definición e implementación de controles.
Según (LÓPEZ & QUEZADA, 2006) Un modelo de seguridad es la
49
presentación formal de una política de seguridad. El modelo debe identificar
el conjunto de reglas y prácticas que regulan cómo un sistema maneja,
protege y distribuye información delicada.
De acuerdo a (López Barrientos & Quezada Reyes, 2006), los modelos se
clasifican en:
1. Modelo abstracto: se ocupa de las entidades abstractas como sujetos
y objetos. El modelo Bell LaPadula es un ejemplo de este tipo.
2. Modelo concreto: traduce las entidades abstractas en entidades de un
sistema real como procesos y archivos.
Además, los modelos sirven a tres propósitos en la seguridad informática:
1. Proveer un sistema que ayude a comprender los diferentes conceptos.
Los modelos diseñados para este propósito usan diagramas,
analogías, cartas. Un ejemplo es la matriz de acceso.
2. Proveer una representación de una política general de seguridad formal
clara. Un ejemplo es el modelo Bell-LaPadula.
3. Expresar la política exigida por un sistema de cómputo específico.
“Un modelo de seguridad representa un conjunto de políticas de seguridad,
y por ende mejorar la seguridad de la información y de los equipos.”
CONCLUSIONES PARCIALES DEL CAPITULO
• Este capítulo encierra todos los conceptos básicos e importantes que
formarán parte de la investigación como es el marco teórico para las
demás personas no involucradas en el trabajo de tesis. Adicionalmente,
permitirá conocer y entender de mejor forma la estructura jerárquica
conceptual en la que se basa el desarrollo de la tesis, definiendo
y detallando conceptos y características de cada tema.
• La Seguridad Informática establece controles de operación a los sistemas
de información desde todas sus líneas, tratando de prevenir y atacar sus
50
vulnerabilidades, teniendo como pilares fundamentales la integridad,
disponibilidad y confidencialidad de la información.
• Es necesario incrementar los mecanismos de capacitación y divulgación
de la importancia del uso de las Normas de Calidad, así como también
en la necesidad de concientizar la seguridad informática como un deber
a cumplir y controlar por todos.
51
CAPITULO II
MARCO METODOLOGICO Y PLANTEAMIENTO DE LA PROPUESTA
ANÁLISIS SITUACIONAL DE LA ORGANIZACIÓN
RESEÑA HISTÓRICA
La Constitución de la República, en el artículo 315, establece que: “El Estado
constituirá empresas públicas para la gestión de sectores estratégicos, la
presentación de servicios públicos, el aprovechamiento sustentable de recursos
naturales o de bienes públicos y el desarrollo de otras actividades económicas.
Las empresas públicas estarán bajo la regulación y el control específico de los
organismos pertinentes, de acuerdo con la ley; funcionaran como sociedades de
derecho público, con personalidad jurídica, autonomía financiera, económica,
administrativa y de gestión, con altos parámetros de calidad y criterios
empresariales, económicos, sociales y ambientales.
Que, la “EMPRESA PÚBLICA PROVINCIAL DE SERVICIO SOCIAL “SANTO
DOMINGO SOLIDARIO”, en virtud de lo expuesto en su Ordenanza de Creación
y con sujeción a lo dispuesto en el Art. 225 de la Constitución de la República,
se constituye como una entidad del sector público, con personería jurídica, con
patrimonio propio, dotada de autonomía presupuestaria, financiera, económica,
administrativa y de gestión.
Que, a fin de que La Empresa Pública Provincial cumpla con los fines para los
que fue creado, es necesario que cuente con una Estructura Organizacional por
Procesos, que se sustente en sus conceptos de desarrollo, visión, misión, y
objetivos institucionales.
Que, conforme a lo dispuesto en el numeral 11) del Art. 7 de la Ordenanza de
Creación de la EMPRESA PUBLICA PROVINCIAL DE SERVICIO SOCIAL
52
“SANTO DOMINGO SOLIDARIO”, es atribución del Directorio aprobar el
Reglamento Orgánico Funcional.
PRINCIPIOS FUNDAMENTALES
OBJETO
El Objeto del presente reglamento es principalmente fortalecer la estructura y
comportamiento organizacional, orientados a aumentar la eficiencia y eficacia
institucional, acorde con la misión de la Empresa Pública Provincial de Servicio
Social, la misma que se sustenta en coadyuvar al buen vivir de la población de
la Provincia de Santo Domingo de los Tsáchilas, la inclusión y la equidad social,
con atención prioritaria a la familia, mujeres, niños y niñas, adolescentes y
discapacitados, adultos mayores, jóvenes, en fin, a los sectores más vulnerables
de la sociedad, en diferentes áreas de desarrollo humano, como son: educación,
salud, seguridad social, gestión de riesgos, cultura física y deporte, hábitat y
vivienda, cultura e información, disfrute del tiempo libre, ciencia y tecnología,
población y seguridad humana.
MISIÓN INSTITUCIONAL
Impulsar el desarrollo humano, social de los grupos de atención prioritaria, las
personas en situación de riesgo, personas en condición de doble vulnerabilidad
mediante el fortalecimiento de las capacidades para mejorar la calidad de vida y
consolidar una sociedad equitativa, solidaria en el efectivo goce de sus derechos.
VISIÓN INSTITUCIONAL
Santo Domingo Solidario al 2019 será una institución autosustentable, liderara
la gestión del desarrollo social de la provincia elevando la calidad de vida de los
grupos de atención prioritaria, las personas en situación de riesgo, personas en
condición de doble vulnerabilidad mediante la ejecución de programas sujetos a
derechos en igualdad de oportunidades.
53
OBJETIVOS INSTITUCIONALES
Son objetivos de la EMPRESA PÚBLICA PROVINCIAL DE SERVICIO
SOCIAL “SANTO DOMINGO SOLIDARIO”, los siguientes:
a) Generar y mantener una estrecha colaboración con el GAD Provincial de
Santo Domingo de los Tsáchilas, en los programas de acción social para lograr
una labor más efectiva a la colectividad.
b) Garantizar incrementar la prestación de servicios sociales de atención a los
grupos de atención prioritaria.
c) Mejorar la calidad de vida y potenciar las capacidades de la población
auspiciando la inclusión social.
d) Promover permanentemente los derechos y la inclusión social plena y efectiva
de los grupos de atención prioritaria y sus familias, a través de acciones de
concienciación, de incidencia social.
e) Gestionar eficientemente los recursos económicos a través de la mejora
continua en la calidad de los procesos
VALORES INSTITUCIONALES
Los valores en los cuales se sustenta el accionar de la
Empresa Pública Provincial de Servicio Social “Santo Domingo Solidario”, son
los siguientes:
a) Honestidad.
b) Lealtad.
c) Respeto.
d) Actitud de servicio
e) Compromiso institucional
f) Responsabilidad social y ambiental
54
g) Solidaridad.
h) Equidad participativa.
i) Comunicación asertiva y efectiva
j) Comunicación efectiva.
ESTRUCTURA POR PROCESOS
ESTRUCTURA.- Los Procesos de la Empresa Pública Provincial de Servicio
Social “Santo Domingo Solidario”, se ordenan y clasifican en función de su
grado de contribución y valor agregado, en relación al cumplimiento de su
misión institucional, de la siguiente manera:
Procesos
Gobernantes:
a) Directorio
b) Gerencia
Procesos Habilitantes de Asesoría:
a) Asesoría Jurídica.
b) Comunicación Social
Procesos Habilitantes de Apoyo:
a) Jefatura Administrativa y Talento Humano
b) Jefatura Financiera
Procesos Agregados de Valor:
a) Jefatura de Servicios Sociales
55
ORGÁNICO ESTRUCTURAL DE LA EMPRESA PÚBLICA PROVINCIAL
DE SERVICIO SOCIAL “SANTO DOMINGO SOLIDARIO”
MAPA DE PROCESOS
Proceso Gobernante: Directorio Gerencia General
Gestión Estratégica Direccionamiento Estratégico de la Empresa Pública Provincial de Servicio Social Santo Domingo
Solidario
Gestión Estratégica de la Empresa Pública Provincial de Servicio Social Santo Domingo Solidario Procesos Agregados de Valor Gestión
Asistencial Gestión de Servicios Institucionales Gestión de Servicios
Sociales Gestión de
Cooperación Internacional e interinstituciona
l Optimización de los Procesos de los
servicios de salud Elaboración, Seguimiento,
Evaluación de Proyectos sociales
Gestión y la negociación de los
Recursos de la cooperación internacional. Procesos Habilitantes
Gestión Habilitante Gestión Administrativa y de Talento Humano Gestión
Financiera Administración de los recursos humanos,
proceso administrativo
Administrar los recursos que tiene la empresa
Tabla 1 Mapa de Procesos
Ilustración 3 Orgánico Estructural Autor: Alex Vinicio Pacas Hidalgo
56
METODOLOGÍA INVESTIGATIVA
La modalidad de la investigación será cuali-cuantitativa. Las características
cualitativas se determinan de acuerdo a las técnicas utilizadas, los aspectos
cuantitativos se ratifican porque se acudirá a modelos estadísticos para la
interpretación de los datos obtenidos. Esta investigación son complementarias y
se combinan para aprovechar sus respectivas ventajas (FLICK, 2007).
Los tipos de investigación a realizar son:
Bibliográfica:
Debido a la recopilación información de libros para sustentar científicamente en
los contenidos del tema.
De Campo:
Porque se traslada al lugar de los hechos realizará en la Empresa Pública Santo
Domingo Solidario.
Descriptiva:
Describe las características fundamentales del estudio realizado, utilizando
criterios sistemáticos.
Los métodos investigativos a utilizar son:
Inductivo-Deductivo:
Utilizado para generar una solución al problema planteado para generalizarlo en
el objeto de investigación. Además se lo empleara para fundamentar el marco
teórico, empezando en el objeto de investigación hasta la delimitación en el
campo de acción.
57
Analítico-Sintético:
Se lo utilizara para el análisis de la información recopilada en la Empresa Pública
Santo Domingo Solidario para determinar los problemas y sus posibles
soluciones.
Las técnicas a utilizar para recopilar la información son:
La Encuesta:
Se aplicará al personal interno que laboran en el la Empresa Pública Santo
Domingo Solidario como a personas externas que aportan criterios y opiniones.
La Entrevista:
Se realizará al encargado de la Empresa Pública Santo Domingo Solidario para
recoger la información.
Instrumentos de Investigación:
Cuestionario:
Es una técnica de apoyo para las entrevistas, las encuestas y los test, consta
de varias preguntas que deben ser contestadas de forma concreta y precisa.
Guía de entrevista:
Es una guía que contiene los temas, preguntas sugeridas y aspectos a analizar
en una entrevista de trabajo.
POBLACIÓN Y MUESTRA
Población
Es el conjunto de todos los elementos a los cuales se refiere la investigación, se
puede definir como el conjunto de todas las unidades de muestreo (BERNAL
TORRES, 2006).
La población son los siguientes:
58
Encuestados N° de Personas
Técnicos de informáticos 1
Personal técnico y administrativo 59
Total 60
Tabla 2 Población
NOTA: Por ser la población de nuestra investigación inferior a la base para el
cálculo de muestreo, se aplicará las encuestas a la totalidad del universo, es
decir, se encuestaran a 60 personas para la tabulación de los datos.
Tabulación de los datos de las encuestas realizadas al personal.
PREGUNTA SI NO PORCENTAJE
1. ¿El equipo informático que dispone para su trabajo es de la institución?
33,33% 66,67% 100%
x x x
2. ¿Usted cuenta tiene alguna necesidad tecnológica dentro de la empresa para realizar su trabajo?
66,67% 33,33% 100%
x x x
3. ¿Posee conectividad a la red de la institución?
100% 0% 100%
x x x
4. ¿Desconoce si existe alguna política de seguridad del uso del recurso informáticos de la empresa?
100% 0% 100%
x x x
Tabla 3 Tabulación de los datos de las encuestas realizadas al personal
59
PROPUESTA DE LA INVESTIGACION.
TEMA: PLAN INFORMÁTICO PARA MEJORAR EL MANEJO DE LA
UNIDAD DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN
(TIC’s) EN HARDWARE, SOFTWARE Y SEGURIDAD INFORMÁTICA DE
LA EMPRESA PÚBLICA PROVINCIAL DE SERVICIO SOCIAL SANTO
DOMINGO SOLIDARIO DE LA CIUDAD DE SANTO DOMINGO.
INTRODUCCIÓN
Cada vez más los equipos de cómputo y los sistemas de información forman
parte integral en las diversas actividades del ser humano, y la información
contenida en estos equipos es tan importante y vital como el equipo en sí. Tal
es la importancia de la información que ahora se le considera como un bien
y al mismo tiempo un recurso, y por tanto es sumamente importante su
administración y protección.
Gestionar los riesgos eficientemente constituye hoy en día una preocupación
de la alta gerencia, según afirma (ESCBAR, 2007) "la grieta pequeña más
grande en la armadura corporativa es la dirección de riesgos". La gestión de
riesgos se facilita cuando las entidades desarrollan sus actividades sobre la
base de sistemas de control interno acorde con las exigencias actuales. Los
sistemas de control interno son una premisa fundamental para que las
organizaciones funcionen de tal manera que garanticen el cumplimiento de los
objetivos propuestos.
En el presente trabajo se presenta una descripción de la metodología de
gestión de riesgos usada actualmente, como es una de ellas el método
OCTAVE. Esta metodología se escogió con el fin de generar conciencia en
la institución escogida sobre la importancia que tiene tener políticas de
seguridad y buenas prácticas de gestión del riesgo.
60
OBJETIVO GENERAL DE LA PROPUESTA
Diseñar un plan informático para mejorar el manejo de la unidad de
tecnologías de información y comunicación (tic’s) en hardware, software y
seguridad informática de la Empresa Pública Provincial de Servicio Social
Santo Domingo Solidario de la Ciudad de Santo Domingo.
DESCRIPCION DE LA PROPUESTA
Con el plan informático se mejora el manejo de la unidad de tecnologías de
información y comunicación (tic’s) en hardware, software y seguridad
informática de la Empresa Pública Provincial de Servicio Social Santo
Domingo Solidario de la Ciudad de Santo Domingo.
Entre los principales justificativos o motivos para desarrollar este plan
estratégico de seguridad informática se describen los siguientes:
• Interés del encargado de unidad de tecnologías de información y
comunicación (tic’s) en conocer la situación informática de la de la
Empresa Pública Provincial de Servicio Social Santo Domingo Solidario
para así poder determinar las vulnerabilidades existentes en lo relativo a
controles de seguridad.
• Preocupación de los encargados del centro de cómputo en proteger sus
sistemas frente a intrusos y visitantes no deseados que puedan atentar
contra sus actividades.
• Deseo del encargado de unidad de tecnologías de información y
comunicación (tic’s) en establecer un esquema de seguridad y control
en informática.
• Interés del encargado de unidad de tecnologías de información y
comunicación (tic’s) en asegurar que se cubra y proteja los recursos con
mayores riesgos y exposiciones existentes en el medio informático.
• Voluntad del encargado de unidad de tecnologías de información y
comunicación (tic’s) de cómputo de fortalecer la Institución a nivel de
61
hardware y software para lograr el avance y optimizar sus recursos.
• Preocupación del encargado de unidad de tecnologías de información y
comunicación (tic’s) en disminuir el tiempo de producción perdido y
consumo de recursos en horas de recuperación de la actividad normal de
la empresa para garantizar la continuidad de los servicios frente algún
contingente.
METODOLOGÍA DE DESARROLLO
Metodologías de Análisis de Riesgos
Definición de Riesgo: Es la estimación del grado de exposición a que una
amenaza se materialice sobre uno o más activos causando daños o perjuicios
a la Organización. El riesgo indica lo que le podría pasar a los activos si no se
protegieran adecuadamente. Es importante saber qué características son de
interés en cada activo, así como saber en qué medida estas características
están en peligro, es decir, analizar el sistema.
Análisis de riesgos: Es el proceso sistemático para estimar la magnitud de
los riesgos a que está expuesta la organización.
Gestión de riesgos: Es la selección e implantación de salvaguardas para
conocer, prevenir, impedir, reducir o controlar los riesgos identificados.
Análisis y gestión de riesgos en su contexto: Las tareas de análisis
y gestión de riesgos no son un fin en sí mismas sino que se encajan en
la actividad continua de gestión de la seguridad. El análisis de riesgos permite
determinar cómo es, cuánto vale y cómo de protegidos se encuentran los
activos. En coordinación con los objetivos, estrategia y política de la
Organización, las actividades de gestión de riesgos permiten elaborar un plan
de seguridad que, implantado y operado, satisfaga los objetivos propuestos
con el nivel de riesgo que se acepta la Dirección.
La implantación de los controles de seguridad requiere que la organización
62
gestionada y la participación informada de todo el personal que trabaja con
el sistema de información. Es este personal el responsable de la operación
diaria, de la reacción ante incidencias y de la monitorización en general del
sistema para determinar si satisface con eficacia y eficiencia los objetivos
propuestos.
OCTAVE
Evalúa amenazas y vulnerabilidades de los recursos tecnológicos y
operacionales importantes de una organización. El método OCTAVE
(Operationally Critical Thereat, Asset and Vulnerability Evaluation) permite la
comprensión del manejo de los recursos, identificación y evaluación de los
riesgos que afectan la seguridad dentro de una organización. Exige llevar la
evaluación de la organización y del personal de la tecnología de información
(IT) por parte del equipo de análisis mediante el apoyo de un patrocinador
interesado en la seguridad. (PYKA & JANUSZKIEWICZ, 2006)
Es una metodología que mejora el proceso de toma de decisiones
concerniente a la protección y la administración de recursos en una compañía.
Esta fue desarrollada en el año 2001 por la Universidad Carnegie Mellon y se
basa en tres principios básicos de la administración de la seguridad:
confidencialidad, integridad y disponibilidad. (CHRISTOPHER J., 2001)
El núcleo central de OCTAVE es un conjunto de criterios (principios, atributos
y resultados) a partir de los cuales se pueden desarrollar diversas
metodologías, es decir se puede implementar de muchas maneras, sin
embargo es únicamente con un conjunto de criterios establecidos que llega
a ser consistente. (PARTHAJIT, 2009).
Las funciones del equipo de análisis:
• Identificar los recursos importantes mediante encuestas y entrevistas.
• Realizar actividades de análisis de riesgo.
• Relacionar amenazas y vulnerabilidades.
Crear estrategias de protección, planes de mitigación y diseñar políticas
63
de seguridad.
FASES DEL METODO OCTAVE
Objetivo de OCTAVE
OCTAVE, busca que las organizaciones se encuentre en la capacidad de:
• Tomar las decisiones adecuadas, basadas en el análisis de sus
riesgos
• Evaluar y Controlar los riesgos en la seguridad de la información, por
si mismos.
• Enfocarse en el aseguramiento de sus activos tecnológicos
principales
• Manipular y preservar información clasificada. (PALMA, 2011)
Guía de implementación de OCTAVE
La Guía de Implementación del Método OCTAVE ofrece todo lo que un equipo
de análisis tiene que utilizar a fin de llevar a cabo una evaluación en su
organización. Incluye un conjunto completo de procesos detallados, hojas de
cálculo y las instrucciones para su implementación “paso a paso”, así como
material de apoyo y orientación para la adaptación.
CONCLUSIONES PARCIALES DEL CAPITULO
• La metodología OCTAVE “Operationally Critical Threat, Asset, and
Vulnerability Evaluation” fue seleccionada entre otras metodologías ya que
para realizar el análisis y evaluación de riesgos ya que se pueden aplicar
a la realidad de la Institución objeto de estudio, ya que se utiliza la
capacidad y habilidades de los funcionarios para la evaluación de riesgo
64
que pueden afectar los activos críticos de tecnología de la información y
las comunicaciones.
• Para la institución que posee necesidades de seguridad en la información,
la metodología OCTAVE ofrece tres fases para examinar el riesgo de
acuerdo a aspectos tecnológicos y organizacionales, en su enfoque define
un riesgo basándose en la evaluación y técnicas de planificación, para
OCTAVE la seguridad es auto dirigida, que significa que las personas que
componen la organización asumen la responsabilidad de fijar la estrategia
de seguridad de la organización.
• El objetivo de octave va direccionado a 2 aspectos diferentes: riesgos
operativos y prácticas de seguridad. En este caso la tecnología es
examinada en proporción a las prácticas de seguridad, esto permite a las
compañías realizar la toma de decisiones de protección de información
basados en los riesgos de confidencialidad, integridad y disponibilidad de
los bienes afines a la información crítica.
65
CAPÍTULO III
VERIFICACIÓN Y VALIDACIÓN DE LA PROPUESTA
INTRODUCCION
Debido al gran crecimiento tecnológico, la Información lógica en una empresa
son los activos más valiosos que tiene hoy en día, siendo así que las seguridades
de la información son muy requeridas para el apoyo y protección de la
información en las organizaciones. Desde esta perspectiva debe ser
absolutamente claro que toda organización requiere de seguridades para la
protección de su información.
OBJETIVOS
Objetivo general
Diseñar un plan informático para mejorar el manejo de la unidad de tecnologías
de información y comunicación (Tic’s) en hardware, software y seguridad
informática de la Empresa Pública Provincial de Servicio Social Santo Domingo
Solidario de la Ciudad De Santo Domingo.
Objetivos específicos
✓ Realizar un diagnóstico inicial de los controles existentes, así como las
políticas de seguridad que se utilizan actualmente en la Empresa Pública
Provincial de Servicio Social Santo Domingo Solidario
✓ Instalar y configurar servidor CentOS y servicios de Red para implementar
el SGSI para el apoyo de la seguridad de la información
✓ Realizar un análisis para construir el OCTAVE sobre el servidor y los
servicios de red en base a la información recaudada en el capítulo II.
✓ Analizar y evaluar los riesgos que presenta el servidor después de haberlo
instalado y configurado.
66
✓ Mediante el modelo OCTAVE el cual consta de cuatro etapas del sistema,
realizar las etapas de implementación, diseñar e implementar el SGSI
sobre el servidor con sus servicios de red donde se va a configurar con
su firewall, proxy, DHCP y Samba.
✓ Realizar la validación de la hipótesis y las conclusiones del capítulo.
DESARROLLO DE LA PROPUESTA
Antes de la implementación del OCTAVE para la solución de la problemática, se
iniciara con el diagnostico de los equipos que manipulan la información de la
empresa, verificar si existen niveles de seguridad para acceder a los datos, la
estructura de la red y las Políticas o controles existentes.
FASE 1: Construcción de perfiles de amenaza basada en activos
La Fase 1 es la construcción de perfiles de amenaza basada en Activos
construye la base de activos y perfiles de la amenaza, consiste en la
evaluación de la estrategia de seguridad de la entidad y la determinación de
los recursos de la organización, durante esta fase, los empleados deben ser
conscientes de los recursos que posee la organización y cuáles de ellos
requieren una protección especial y los requisitos de seguridad para este tipo
de recursos.
Producto de Salida de la Fase 1
Salida Descripción
Activos críticos
Los activos críticos son aquellos relacionados con la información que es considerada a ser la más importante en los procesos misionales de la entidad.
Requerimientos de
seguridad para activos críticos
Los requerimientos de seguridad para un activo crítico indican las cualidades importantes de ese activo con respecto a sus principios de la seguridad de la información.
Amenazas a los activos críticos
Una amenaza a los activos críticos indica como alguien o algún evento puede vulnerar los requerimientos de seguridad de un activo.
67
Prácticas actuales de seguridad
Las prácticas de seguridad son aquellas acciones utilizadas por la institución para iniciar, implementar y mantener su seguridad de activos internos.
Vulnerabilidades organizacionales
actuales
Las vulnerabilidades organizacionales son aquellas con indicios de prácticas de seguridad inadecuada.
Tabla 4 Producto de Salida de la Fase 1
FASE 2: Identificar Vulnerabilidades de infraestructura
La Fase 2 es la Identificación de las vulnerabilidades de la infraestructura,
incluye la evaluación del sistema de gestión de la información. Principalmente
se basa en la información obtenida durante la Fase 1, para vulnerabilidades
de protección de datos se hace la encuesta con un enfoque en temas
tecnológicos, esto es clave para determinar la estrategia de bienestar futuro.
Esta fase implica la recopilación de datos de los empleados del departamento
de TI, ejecutivos y otros miembros del personal, debe ser una solución común,
sin obstaculizar el modelo de negocio actual de la organización.
Producto de Salida de la Fase 2
Salida Descripción
Componentes
clave
Los componentes clave son aquellos elementos que son importantes dentro del procesamiento, almacenamiento o transmisión de los activos críticos.
Vulnerabilidades
tecnológicas
actuales
Las vulnerabilidades tecnológicas son debilidades dentro de los sistemas que pueden permitir una acción no autorizada.
Tabla 5 Producto de Salida de la Fase 2
68
FASE 3: Desarrollo de planes y estrategias de seguridad
En la Fase 3 es donde se desarrolla la estrategia y los planes de seguridad,
es la fase de análisis de riesgos, la información obtenida en la Fase 1 y Fase
2 se utiliza para evaluar el riesgo de comprometer los datos de la organización
y el riesgo asociado con la actividad empresarial de la compañía. La estrategia
de seguridad y las formas de minimizar el riesgo de pérdida de datos que se
están desarrollando, con la información exacta sobre el modelo de negocio de
la organización, que es capaz de determinar los tipos de ataque y lo que
podría ocurrir en el futuro, en la fase 3, el equipo de análisis crea una
estrategia de protección y genera planes de mitigación basado en el análisis
de información recolectada.
Producto de Salida de la Fase 3
Salida Descripción
Riesgos a los
activos críticos
Un riesgo a un activo crítico indica como una amenaza a este puede resultar en un impacto generando consecuencias negativas en la institución.
Medidas del riesgo
Las medidas del riesgo son medicionales cualitativas del efecto final sobre la misión y objetivos organizacionales (valor del impacto) y la posibilidad de ocurrencia (probabilidad).
Estrategia de
protección
Una estrategia de protección organizacional define su dirección con respecto a los esfuerzos de mejoramiento en seguridad de la información.
Planes de
mitigación del
riesgo
Los planes de mitigación del riesgo son planes organizacionales definidos por la entidad para reducir el riesgo en sus activos críticos.
Tabla 6 Producto de Salida de la Fase 3
69
FASE N° 1: EVALUACIÓN INSTITUCIONAL
METODOLOGÍA DE IDENTIFICACIÓN DE ACTIVOS Y PRIORIDADES
ACTIVAS.
En este proceso de selección de activos consta en principio de consolidar un
grupo de trabajo para el desarrollo de la metodología que a su vez se encarga
de enlistar todos los activos que se consideren de acuerdo a su criticidad
tomar en cuenta. Para realizar esto se debió realizar una lluvia de ideas que
busca consolidar un inventario total de activos de tecnología que facilita el
proceso de identificación de activos críticos, posteriormente se realizó una
valoración de todas las posibilidades para realizar un proceso de ponderación
de criticidad del activo en la institución.
Teniendo en cuenta lo anterior se consideraría como activo crítico un conjunto
de los activos más importantes para la institución, ya que depende
directamente la disponibilidad de los servicios a largo, corto y mediano plazo.
Posterior a la definición de los activos objetos de estudio se procede al análisis
de los escenarios para cada uno de los activos críticos en donde se define si
cumple o no con las cualidades según lo descrito por la metodología.
Luego de realizar un estudio de los activos de tecnología de la información y
las comunicaciones con el equipo de análisis de la entidad, a continuación se
identifica los siguientes activos que son de vital importancia para la institución:
• Servicio de internet: Este servicio permite el acceso de los funcionarios
que lo requieran para hacer diferentes consultas, compartir información de
una manera eficaz y sencilla tanto de manera interna como externa desde
y hacia cualquier parte del mundo.
• Infraestructura de red y comunicaciones: Es el conjunto de todos los
dispositivos activos y pasivos que componen la red y son de vital
importancia para el correcto desarrollo de las actividades en la institución,
ya que brindan el acceso a Internet, conexión LAN y WAN por medio de
un canal dedicado, permitiendo el acceso a los servicios ofrecidos por la
70
institución, el ingreso de los funcionarios a las aplicaciones en red, acceso
a la bases de datos, y comunicación con otras redes.
• Servidores: Corresponde al equipamiento que posee la institución que
centraliza almacena y procesa toda la información que opera la institución.
SEGURIDAD DE LA INFORMACIÓN ACTUALMENTE EN LA EMPRESA.
Para implementar los controles que nos brinda la norma ISO27001 del SGSI, Se
realizó un análisis previo para determinar el grado de seguridad,
confidencialidad, integridad y disponibilidad de la información, y determinar como
la vienen salvaguardando.
Se pudo constatar que no existe control alguno para salvaguardar la información,
las computadoras que se utiliza para acceder a la información que se encuentra
en el computador con XP que hace la función de servidor no cuentan con
seguridades como una contraseña y usuarios invitados, La máquina con XP
tampoco cuenta con alguna seguridad para que accedan a ella con privilegios,
al momento de que un usuario se conecta a la red tiene acceso a toda la
información de la empresa es así que se encuentra en Riesgo de que sea
manipulada o eliminada.
Contraseñas
Las maquinas no cuentan con identificación ni autentificación (usuario y
contraseña) para acceder al computador ni para acceder a la información, el
personal de la empresa no cuenta con privilegios para acceder a la información,
de manera que cualquier usuario no autorizado conectado en la red puede
modificar, eliminar la información.
71
Red interna
La Empresa Pública Provincial de Servicio Social Santo Domingo Solidario
dispone de un Red LAN conectados a través de un Switch y un Router que están
conectados al internet que nos proveen, dispone de 22 equipos que serán
descritos a continuación.
Inventario de Equipos
Departamento
N° de Equipos Dirección IP
Gerente 1 DHCP
Asistente de Gerencia 1 DHCP
Compras Publicas 2 DHCP
Financiero 3 DHCP
Secretaria General 1 DHCP
Departamento Técnico 1 DHCP
Otros 6 DHCP
Servidor 1 DHCP
Impresora b/n 4 DHCP
Impresora Color 2 DHCP
Total 22 Tabla 7 Inventario de Equipos
La Empresa Pública Provincial de Servicio Social Santo Domingo Solidario no
cuenta con todas la maquinas cableadas, 6 máquinas se conectan
inalámbricamente al Router lo cual produce demasiadas molestias al personal
de la empresa, ya que tienen conflictos de direcciones IP, y se desconectan de
la Red a cada momento.
En el departamento técnico se encuentra ubicado el Computador XP que tiene
todos los datos de la empresa, pero no cuenta con una configuración apropiada
para acceder al mismo, dejando así vulnerable toda la información en la RED.
No existen controles ni políticas de seguridad donde se administren las maquinas
conectadas a la red o las direcciones IP de cada máquina, donde se pueda
gestionar, minimizar y evaluar los riesgos que presenta en cuanto a la
confidencialidad, integridad y disponibilidad de la información.
72
Acceso a la WEB
Por el momento no existe una administración en cuanto al acceso a la WEB,
todos los usuarios que se conectan a la RED tienen acceso a internet libremente
sin restricciones lo que produce que el personal se distraiga en redes sociales o
páginas no debidas en horas de trabajo lo que produce pérdidas económicas
para la empresa ya que ellos tienen que estar a la casa de cualquier proceso de
compras públicas de la SERCOP.
Antivirus
Las computadoras de la Empresa Pública Provincial de Servicio Social Santo
Domingo Solidario cuentan con licencias gratuitas de antivirus como el Avast y
el Eset Smart Security, las mismas que se actualizan a través de internet.
No se realizan escaneos periódicos en busca de virus en el computador que
cumple la función como servidor ni en las computadoras que se utiliza para
acceder a la información no existe un política donde se designe a un responsable
que se encargue de realizar estos cheques por lo que se tiene problemas
frecuentes con virus.
Control de aplicaciones en PC’s
Actualmente cualquier usuario puede instalar aplicaciones, programas o
software, ya que no existe un control ni procedimientos a seguir o alguna
documentación respecto a que políticas seguir para instalar alguna aplicación o
actualización de la configuración de las PC’S. Solo existen instalaciones básicas
de Windows y llenas de aplicaciones innecesarias tampoco hay una respectiva
actualización de programas instalados, como el office, el lector de pdf, ni los servi
packs de Windows o aplicaciones.
No existe un documento o políticas escritas de actualización de programas,
tampoco se documenta ningún cambio realizado, por lo tanto el usuario instala
73
cualquier programa que desee, llegando a instalar aplicaciones maliciosas que
causan que el computador no funcione correctamente.
Control de acceso a los equipos
Hasta el momento no se sabe si ha existido robo de información, ya que no existe
una política que administre el control de acceso a los equipos, no se realiza un
control periódico sobre los dispositivos de hardware instalados en los equipos ni
en la máquina que hace la función de servidor de manera que podrían sacar o
poner alguna.
Una vez que se instaló el equipo no se realiza un chequeo periódico o rutinario,
solo se revisa cuando se encuentran muy lentas por virus o cuando el usuario
reporta algún problema o falla. La máquina que hace la función de servidor y la
Red inalámbrica no se la apaga en horarios no laborales, dejando que cualquier
persona que hackee la red tenga acceso a toda la información no existiendo una
confidencialidad de la misma.
Dispositivo de soporte
En la Empresa Pública Provincial de Servicio Social Santo Domingo Solidario
dispone de los siguientes dispositivos para el soporte de los equipos
informáticos:
✓ Cada computador tiene su propio UPS, que durante un apagón o una falla
de corriente le da aproximadamente 5 minutos de energía para poder
resguardar la información y poder apagar el computador correctamente
para que no sufra daño alguno
✓ La Empresa Pública Provincial de Servicio Social Santo Domingo
Solidario cuenta con una conexión a tierra que ayuda que las
computadoras no sufran alguna descarga eléctrica
74
Responsables de la seguridad de la información Y equipos
No existen usuarios responsables que se encarguen de administrar y dar
seguridad a la información, para que esta mantenga su confidencialidad,
integridad y disponibilidad en su ciclo de vida, existe un responsable general del
departamento técnico, que solo revisa las maquinas cuando el personal le hace
conocer que existe algún problema.
El personal se comunica de forma verbal con el encargado general, no existe un
registro de cada requerimiento que se desea, ya que no se cuenta con un
mantenimiento preventivo periódicamente.
Backup
Cuando se realiza un cambio en la configuración de la máquina que contiene la
información, no se guardan copias de la configuración anterior, ni se documenta
los cambios que se procedieron a hacer, ya que no existe un responsable.
La empresa no cuenta con un RAID para tolerar algún fallo en el Disco que
contiene la información y esta pueda seguir disponible cuando el personal desee
el acceso a ella.
INSTALACION DEL SERVIDOR.
Con las metodologías empleadas se determinó que CentOS 5.5 es el más
estable, y que tiene el firewall más poderoso si no decir el número en cuanto a
software, y también el que soporta la instalación de todos los servicios que se
van a implementar para la seguridad de la información en un mismo Computador,
y así poder implementar el SGSI basado en la norma ISO 27001 sobre este
servidor y los servicios de RED para el apoyo de la seguridad de la información.
75
Instalación de CentOS
Ilustración 4 CentOS Instalado
Una vez que tenemos nuestro servidor CentOS instalado procedemos a instalar
y configurar los servicios que se va a utilizar los cuales son: Samba, DHCP, Proxy
y el Firewall.
Instalación y configuración del servicio samba
Primeramente crearemos usuarios y una contraseña luego los agregaremos a
samba.
Ilustración 5 Creacion de usuarios y contraseña
76
Mediante un terminal con la herramienta yum se procederá a la instalación.
Ilustración 6 Instalación de Samba
Una vez instalado samba procederemos a editar el archivo smb.conf con el
editor vim, se procederá a configurar usuarios con privilegios para acceder a la
información.
Ilustración 7 Accedemos al archivo de samba smb.conf
Configuramos el nombre del grupo de trabajo y el nombre del Servidor que se va
a visualizar en la Red, y las carpetas con privilegios a usuarios.
Ilustración 8 Configuración Grupo de trabajo
77
Ilustración 9 Creación de carpetas y privilegios a usuarios
Instalación del servicio DHCP
Ilustración 10 Instalación del servicio DHCP
78
Una vez instalado nuestro servicio configuraremos el archivo dhcpd.conf donde
le diremos que parametros va a llevar la Red com direcciones IP, mascara de
Red, y DNS si es necesario etc.
Tambien se dejara libre 10 IP dinamicas para las portatiles, celulares o tablets
de los proveedores o clientes que deseen acceder a la WEB en su visita a la
Empresa Pública Provincial de Servicio Social Santo Domingo Solidario.
Ilustración 11 configuracion del servicio DHCP
Las maquinas que acceden a la infromación sera controladas mediantes IP fijas
que las administrasa el servidor evitandos los conflictos de direcciones IP ya que
las IP iran amarradas con cada MAC de cada maquina.
Ilustración 12 Configuracion IP + MAC
79
Instalacion y configuracion del proxy
El proxy lo configuraremos mediante el servicio squid.
Ilustración 13 Instalación del servicio Squid
Una vez instalado nuestro servicio squid configuraremos el archivo squid.conf
en el cual negaremos ciertas extensiones de la WEB, permitiendo aprovechar
mejor el uso del ancho de banda que se dispone, se lo realizara mediante una
lista de control de acceso que coincidan con las extensiones que se desea negar
el acceso.
80
Ilustración 14 Configuracion recomendada squid
Por el momento se crearan dos listados de control de acceso ACL, dentro de la
carpeta de nuestro squid, en el uno se pondrá extensiones de contenidos para
adultos y en el otro extensiones de páginas, redes sociales, el cual nos ayudara
a administrar el acceso a la WEB.
Ilustración 15 primer ACL prohibido
Ilustración 16 segundo ACL redes sociales
81
Una vez creado los ACL se hará el llamado desde el archivo de configuración
squid.conf, y este comprobara cada pedido de la red local a la WEB.
Ilustración 17 Llamamos nuestras ACL
Configuración de firewall o cortafuegos.
CentOS nos permite crear nuestras propias reglas, nuestro propio firewall
utilizando las IPTABLES, La configuración del firewall por software permitirá el
reenvió de paquetes que llegan al servidor a la red local dando acceso al internet,
se administrara las páginas mediante el puerto seguro tcp/443.
Ilustración 18 Configuración IPTABLES
Ilustración 19 Reenvío de paquetes
82
Ilustración 20 Administración del puerto tcp/443
INSTALACION CABLEADO ESTRUCTURADO.
Para mejorar la conexión de la Red interna se procederá a cambiar la estructura
de la Red y se hará un cableado estructurado para que todas las maquinas se
conecten vía cable al servidor que se configuro y no tengan problemas de
conexión.
Ilustración 21 Instalación Cableado Estructurado
83
Ilustración 22 Puntos de red
Ilustración 23 Impresoras
84
DESCRIPCION
Switch 24 puertos
PATCH PANEL 24 Puertos
Organizadores de Cables
Racks Pequeño
Jack Y Conectores Rj45 Cat 6
Cable UTP Next Cat 6
Access Point
Canaletas
Cajetines de red
Tabla 8 Detalle de implementos de red
PRESUPUESTO
En este caso para la implementación del Proyecto, se ha considerado los
siguientes materiales y equipos informáticos con la finalidad de tener un
presupuesto asignado para la compra de dichos equipos a la Empresa Pública
Santo Domingo Solidario. En la cual se destaca lo siguiente. (Ver Anexo H)
COSTOS DE IMPLEMENTACION
CANTIDAD DESCRIPCION VALOR
1 Switch 48 puertos Gigabit Admin. 649.99
1 Organizador cable full plastic single 1ru 75.00
1 Patch Panel 48 puertos cat 6 89.00
1 Rack Gabinete cerrado de pared 155.00
30 Conector RJ 45 cat 6 135.00
1 Access Point RJ 45 cat 6 120.00
30 Canaletas 2’5 pl 105.00
10 Cajetín de red 30.00
1 Servidor Intel Xeon 6 Core 8 GB 4 TB 2189.90
1 Rollo Cable UTP Cat 6 Log. Exteriores 185.00
(no incluye IVA) Total 3733,89
TOTAL INCLUIDO IVA 4181,96 Tabla 9 Presupuesto Implementación Proyecto
85
IMPACTO ADMINISTRATIVO
Con la implementación del Sistema de gestión de la seguridad de la información
sobre el servidor se pudo reducir los riesgos, vulnerabilidades, amenazas o
inconvenientes que presentaba la empresa en cuanto a la información al
memento de acceder a ella, ya se cuenta con usuario y contraseñas para
ingresar a las estaciones de trabajo y de igual manera para ingresar al servidor
que se encuentra en la red, se ha logrado evitar que terceras personas que
tienen q conectarse a la red puedan ver la información de la empresa ya que si
quieren ingresar al servidor les pedirá autentificación, se ha logrado capacitar al
personal en cuanto materia de seguridad de la información para que concienticen
del riesgo que existe.
Mediante los servicios de red y un nuevo cableado estructurado se logró que
todas las máquinas que funcionan en la empresa se conecten vía cable logrando
siempre tener disponible la información, gracias al servicio de Red DHCP se
logró configurar cada máquina con su dirección IP en el servidor para que no
existan conflictos de IP que era uno de los problemas que existía y se perdida la
disponibilidad de la información cuando más se la necesitaba.
CONCLUSIONES PARCIALES DEL CAPÍTULO
• A través de la instalación del servidor y sus servicios de red se pudo
ayudar a la implementación del Plan Informático ya que la Empresa
Pública Santo Domingo Solidario no presentaba ningún control en cuanto
a la seguridad de su información, gracias a la metodóloga de riesgos se
pudo analizar y evaluar estos riesgos para luego poder implementar los
controles necesario que ayudaron a tratarlos y se logró tener una
información segura y confiable.
• A través de la evaluación de los riesgos que presentaban los activos de
información se pudo determinar el valor del riesgo con la cual estaban
86
expuestos, brindando una seguridad para el almacenamiento de la
información.
• La Metodología OCTAVE es una técnica de planificación y consultoría
estratégica en seguridad basada en el análisis de riesgo, En contra de la
típica consultoría mentalizada en tecnología, que tiene como objetivo los
riesgos tecnológicos, y su objetivo es el riesgo organizacional.
87
CONCLUSIONES GENERALES
El sistema de gestión de seguridad de la información que se ha implementado
en la Empresa Pública Santo Domingo Solidario de Santo Domingo de los
Tsáchilas, fue de mucha importancia para ayudar a la protección de la
información luego de a ver configurado el servidor CentOS y sus servicios de red
ya que ayudara a la continuidad del negocio sin tener inconvenientes en la
disponibilidad de la información.
Con el presente análisis se pudo determinar la falta de control que existía en
cuanto a la seguridad de la información en la Empresa Pública Santo Domingo
Solidario, lo cual a primera instancia se pudo determinar que la información se
encontraba muy vulnerable no existía una confidencialidad que la mantenga
integra.
Con la presente investigación se pudo determinar que el Sistema de Antivirus de
la Información puede reducir riesgos, vulnerabilidades y amenazas de la
información en empresas pequeñas, medianas o grandes, con el fin de minimizar
gestionar y controlar estos riesgos a los cuales la información está expuesta
logrando obtener una confidencialidad, integridad y disponibilidad de la
información cuando se la necesite.
La metodología OCTAVE se basa en una evaluación efectiva de riesgos en la
seguridad de la información, en la cual se considera tanto los temas
organizacionales como los técnicos, además se examina cómo la gente emplea
la infraestructura en forma diaria. Y su evaluación es de vital importancia para
cualquier iniciativa de mejora en seguridad.
88
RECOMENDACIONES GENERALES
Se recomienda una revisión periódica de los controles implementado para
verificar y actualizar las políticas creadas para cada vez más llegar a una
seguridad máxima de la información.
Se recomienda que la información de la Empresa Pública Santo Domingo
Solidario debe ser protegida según su criticidad, ya que existe mucha
información confidencial que necesita ser integra y estar disponible cuando se la
necesite.
También se recomienda gestionar la posibilidad de sincronizar el respaldo
automático de la información del servidor sobre un servidor en la nube ya que
manualmente se podría pasar por alto hacer el respectivo respaldo.
Se recomienda que con la Metodología OCTAVE el equipo que va desde el Área
Administrativa y Operativa hasta los Departamentos de Tecnología de
Información, trabajen juntos en donde se enfoque hacia una práctica de
seguridad, balanceando tres aspectos fundamentales: Riesgos Operativos,
Prácticas de seguridad y lo que concierne a Tecnología.
BIBLIOGRAFÍA
ANGULO, Luis. 2010. Diseño de Páginas Web Interactivas con Joomla. Lima
- Perú : Macro, 2010. ISBN. 978-612-4034-47-3.
BACA, Gabriel. 2006. Evaluación de Proyectos. México : McGraw-Hill,
2006. ISBN. 970-10-5687-6.
BRICEÑO, Pedro. 1996. Administración y Dirección de Proyectos.
Chile : McGraw-Hill, 1996. ISBN. 956-278-008-2.
CORONEL, Eric. 2009. Desarrollando Soluciones con Java y MySQL.
Lima - Perú : Macro, 2009. ISBN. 978-612-4034-05-3.
FRANCIA, Darío. 2003. Desarrollo de Aplicaciones ASP .NET. Lima-
Perú : Macro, 2003. ISBN. 9972-707-16-4.
GIL, Javier, y otros. 2001. CREACIÓN DE SITIOS WEB CON PHP4.
España : McGraw-Hill, 2001. ISBN. 84-481-3209-2.
GUTIÉRREZ, Abraham y BRAVO, Ginés. 2004. PHP4 a través de ejemplos.
México : Alfaomega, 2004. ISBN. 970-15-0955-2.
JOYANES, Luis y ZAHONERO, Ignacio. 2007. Estructura de Datos en Java.
España : McGraw-Hill, 2007. ISBN. 978-84-481-5631-2.
LAUDON, Kenneth y LAUDON, Jane. 2010. Sistemas de Información.
México : Prentice Hall, 2010. ISBN.978-607-442-516-1.
LLANOS, Javier. 2009. Bases de Administración. México : Trillas, 2009. ISBN.
978-607-17-0200-5.
ORFALI, Robert, HARKEY, Dan y EDWARDS, Jeri. 2002. Cliente / Servidor y
Objetos. México : Mexicana, 2002. ISBN. 970-613-597-9.
PASCUAL, Francisco. 2006. Macromedia Dreamweaver 8. México : Alfaomega,
2006. ISBN. 970-15-1200-6.
PÉREZ, César. 2007. Administración de sitios y páginas Web con Macromedia
Dreamweaver. México : Alfaomega, 2007. ISBN. 970-15-1220-0.
—. 2008. MySQL para Windows y Linux. México : Alfaomega, 2008. ISBN. 978-
84-7897-790-1.
PÉREZ, César y SANTÍN, Daniel. 2007. Data Mining Soluciones con Enterprise
Miner. México : Alfaomega, 2007. ISBN. 970-15-1190-5.
POST, Gerald. 2006. Sistemas de Administración de Bases de Datos.
México : McGraw-Hill, 2006. ISBN. 970-10-5633-7.
RAMAKRISHNAN, Raghn y GEHRKE, Johannes. 2007. Sistema de Gestión de
Bases de Datos. España : McGraw-Hill, 2007. ISBN. 978-84-481-5638-1.
RODRÍGUEZ, Joaquín. 2206. Administración I. México : Thomson, 2206.
ROLDÁN, David, VALDERAS, Pedro y PASTOR, Oscar. 2010. Aplicaciones
Web un Enfoque Práctico. México : Alfaomega, 2010. ISBN. 978-607-7854-73-9.
ROZANSKI, Uwe. 2009. Enterprise JavaBeans 3.0 con Eclipse y JBoss.
México : Alfaomega, 2009. ISBN. 978-958-682-758-4.
Anexos
A Carta de Aprobación de la Tesis
B Carta de Autorización a la Empresa
C Carta de Aceptación de la Empresa
D Culminación del Proyecto de Investigación
E Aprobación del Proyecto de Investigación terminado
F Formato de la Encuesta
PREGUNTA SI NO PORCENTAJE
1. ¿El equipo informático que dispone para su trabajo es de la institución?
2. ¿Usted cuenta tiene alguna necesidad tecnológica dentro de la empresa para realizar su trabajo?
3. ¿Posee conectividad a la red de la institución?
4. ¿Desconoce si existe alguna política de seguridad del uso del recurso informáticos de la empresa?
G Perfil de Tesis
UNIVERSIDAD REGIONAL AUTONOMA DE LOS ANDES
UNIANDES
FACULTAD DE SISTEMAS MERCANTILES
POSTGRADO DE MAESTRÍA EN INFORMÁTICA EMPRESARIAL
PERFIL DE TESIS DE GRADO PREVIO A LA OBTENCIÓN DEL
TÍTULO DE MAGISTER EN INFORMÁTICA EMPRESARIAL
TEMA
PLAN INFORMÁTICO PARA MEJORAR EL MANEJO DE LA UNIDAD DE
TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN (TIC’s) EN
HARDWARE, SOFTWARE Y SEGURIDAD INFORMÁTICA DE LA EMPRESA
PÚBLICA PROVINCIAL DE SERVICIO SOCIAL SANTO DOMINGO
SOLIDARIO DE LA CIUDAD DE SANTO DOMINGO.
AUTOR
ING. ALEX VINICIO PACAS HIDALGO
TUTOR
DR. FREDY CAÑIZARES, MGS
2015
ANTECEDENTES DE LA INVESTIGACIÓN
Hoy en día existen diferente infraestructura tecnológica que están
funcionando en varias empresas y son de mucha ayuda para las mismas ya
que mediante esto se puede comunicar mediante enlaces voz, datos en la
cual todas y cada una de las empresas necesitan para su normal
desenvolvimiento, las misma que cuentan con seguridades y protocolos que
son definidos en cada Institución de acuerdo a sus necesidades.
El presente proyecto investigativo se lo está llevando a cabo en la ciudad
de Santo Domingo, en la GAD SANTO DOMINGO DE LOS
TSACHILAS, se investigó sobre infraestructura tecnológica, hardware,
software y seguridad informática que tienen procesos similares, no se
encontró proyectos de investigación similares. A continuación se detallan
temas similares para el desarrollo de la investigación:
- De la Ing. García Macías Viviana Katiuska, con el tema: “Plan Informático
para la Gestión Tecnológica en La Universidad Laica Eloy Alfaro De La
Ciudad De Chone, realizado en el año 2015.
- Del Ing. Juan Palma, con el tema: “Planificación informática para dotar de
computadoras a la sala de capacitación del ECU 911 Portoviejo usando
equipos de bajo coste y software libre como herramientas innovadoras”,
realizado en el año 2015; ampliando su infraestructura sin que se vean
reducidos sus intentos de crecimiento por no poder hacer frente al pago
de grandes cantidades en licencias para la administración con software no
propietario favoreciendo a la misma para ofrecer servicios de forma más
rápida y ágil.
- De la Ing. Ximena Huaylla, con el tema: “Plan informático para mejorar la
gestión de servicios de TICS en el departamento de tecnologías de la
información y comunicación en la Fiscalía de la ciudad de Santo Domingo”,
realizado en el año 2015; incrementando la rendición de cuentas y
ampliando el servicio a las zonas desfavorecidas, de forma innovadora,
rápida y rentable.
Luego de que se ha realizado una investigación en el CDIC sobre los diversos
temas de tesis, se ha llegado a la conclusión de que ninguna de las tesis
mencionadas anteriormente son aplicables al tema actual de investigación,
pero servirán de apoyo para el desarrollo de mi proyecto de grado.
SITUACIÓN PROBLEMÁTICA
La tecnología en la actualidad tiende cada vez más a avanzar de forma
rápida a nivel mundial. La necesidad de contar con una unidad de tecnologías
de la información en la cual se deriven funciones para hardware, software,
mantenimiento, estos se ven enfocados a proporcionar todos los servicios
para una empresa lo cuales son necesarios para mejorar y resolver cada
proceso e inconveniente en las diferentes áreas de las empresas.
En Ecuador, se está ya utilizando equipos de última tecnología para mejorar
los procesos de las empresas a nivel nacional, comparándose incluso con
entidades a nivel internacional.
En Santo Domingo se encuentra funcionando recientemente desde este año
2015 la EMPRESA PÚBLICA PROVINCIAL DE SERVICIO SOCIAL
SANTO DOMINGO SOLIDARIO, la cual presta servicios a la ciudadanía de
la provincia para mejorar un entorno social de superación, trabajo y del buen
vivir.
Este Gobierno hoy en día apunta a la infraestructura tecnológica y al cambio
de la matriz productiva, lo que hace que se cree nuevas tecnologías y nuevos
proyectos a implantarse en el país por lo que es necesario estar preparados
para que cada institución mejore y actualice su infraestructura tecnológica y
así poder mejorar cada institución, por lo cual se han venido realizando
variaciones en los equipos tecnológicos que ofrecen servicios a la institución
pero ellos están en una forma desconcentrada.
A continuación se detallan las siguientes problemáticas.
❖ Infraestructura tecnológica obsoleta
❖ Cortes en el envío de información
❖ Equipos sin seguridades
❖ Actualización caducada en equipos
❖ Software inapropiado
❖ Pérdida de información por virus
❖ Existe desconocimiento acerca de los servicios que se están ejecutando.
❖ No existe todos los servicios tecnológicos como conectividad inalámbrica.
❖ No existe correos institucionales ni un sitio web de la empresa.
❖ No existe cableado estructurado apropiado para la comunicación de sus
departamentos.
De acuerdo al estudio realizado acerca de la problemática se ha logrado
determinar los requerimientos de la EMPRESA PÚBLICA PROVINCIAL DE
SERVICIO SOCIAL SANTO DOMINGO SOLIDARIO antes descritos, para su
posterior mejora.
PROBLEMA CIENTÍFICO
¿Cómo mejorar el manejo de la Unidad de Tecnologías de Información y
Comunicación (TIC’s) en hardware, software y seguridad informática de la
Empresa Pública Provincial de Servicio Social Santo Domingo Solidario de la
ciudad de Santo Domingo?
OBJETO DE INVESTIGACIÓN Y CAMPO DE ACCIÓN
OBJETO DE INVESTIGACIÓN
Tecnologías de información y Comunicación
CAMPO DE ACCIÓN
Manejo de la Unidad de Tecnologías de la Información y Comunicación.
IDENTIFICACIÓN DE LA LÍNEA DE INVESTIGACIÓN
Tecnologías de Información y Comunicación
OBJETIVO GENERAL
Desarrollar un Plan Informático para mejorar el manejo de la Unidad de
Tecnologías de Información y Comunicación (TIC’s) en Hardware, Software y
Seguridad Informática de la Empresa Pública Provincial de Servicio Social
Santo Domingo Solidario de la ciudad de Santo Domingo.
OBJETIVOS ESPECÍFICOS
• Fundamentar una investigación bibliográfica para que se determine la
problemática de la empresa en el Área Informática.
• Realizar una investigación de campo en donde se determine las falencias
en tecnológica en hardware, software y seguridad informática de la
empresa.
• Diseñar un plan informático para para mejorar el manejo de la Unidad de
Tecnologías de Información y Comunicación (TIC’s) en Hardware,
Software y Seguridad Informática de la Empresa Pública Provincial de
Servicio Social Santo Domingo Solidario de la ciudad de Santo Domingo.
• Validar la propuesta por la vía de expertos.
IDEA DEFENDER
Con el Plan Informático para mejorar el manejo de la unidad de tecnologías
de la información y comunicación en hardware, software y seguridad
informática, se mejorará los enlaces de los servicios de voz, datos,
actualización de software y seguridades de los equipos informáticos en la
Empresa Pública de Servicio Social Santo Domingo Solidario.
VARIABLES DE INVESTIGACIÓN
VARIABLE INDEPENDIENTE
Plan informático
VARIABLE DEPENDIENTE
Manejo de la unidad de tecnologías de la información y comunicación.
METODOLOGÍA
Cuantitativa
La modalidad de investigación cuantitativa trata de determinar la fuerza de
asociación o correlación entre variables, la generación y objetivación de los
resultados a través de una muestra para hacer inferencias a una población de
la cual toda muestra procede.
Cualitativa
La investigación cualitativa se enfoca mayormente a la indagación en las
ciencias sociales, ya que este método utiliza la narrativa, así como la
entrevista informal, siempre y cuando sea de fuente confiable, para llegar a
un resultado de su exploración, pesquisa o indagación de un hecho.
MÉTODOS
Inductivo – Deductivo
En este método se da la relación de lo general con lo particular, constituye
un método teórico muy utilizado en el tránsito del conocimiento empírico al
teórico y permite fundamentar los principales resultados de nivel teórico. Este
método se lo va a realizar para recolectar información exhaustiva para su
posterior utilización.
Analítico - Sintético
Este método porta dos momentos básicos en toda investigación científica, ya
que permite penetrar en aspectos que pueden constituir causas del
fenómeno, y así, desentrañar los elementos que necesita modificar el
investigador para cambiar el comportamiento de todo, en estrecha relación
con sus partes constitutivas. Este método se lo utilizará para la elaboración
del marco teórico, esto quiere decir que para la investigación bibliográfica se
procederá a recopilar la información existente en libros, revistas e internet
para analizarla y sintetizarla en la fundamentación teórica y realizando el
referenciamiento respectivo.
TÉCNICAS
Encuestas
La encuesta es una técnica de recogida de información que consiste en la
formulación de una serie de preguntas que deben ser respondidas sobre la
base de un cuestionario.
Entrevistas
Es un hecho que consiste en un diálogo entablado entre dos o más personas:
el entrevistador o entrevistadores que interroga y el o los que contestan.
Esta técnica va a permitir recopilar la información importante ya que va
dirigida especialmente al encargado del departamento para poder obtener
sus opiniones sobre la problemática del mismo.
INSTRUMENTOS
Cuestionario
El cuestionario es un documento formado por un conjunto de preguntas
que deben estar redactadas de forma coherente, y organizadas,
secuenciadas y estructuradas de acuerdo con una determinada planificación,
con el fin de que sus respuestas nos puedan ofrecer toda la información que
se precisa.
Guía de Entrevista
Es un instrumento el cual tiene como finalidad ayudar a realizar la entrevista
es simplemente una serie de preguntas que sirven para la conversación con
un propósito específico. Se entrevista cuando se quiere saber algo de alguien
que no se puede obtener por vía numérica.
ESQUEMA DE CONTENIDOS
❖ SERVIDORES
Características
Arquitectura Cliente / Servidor
Arquitectura 3 capas
❖ PLANES INFORMATICOS
✓ Introducción
✓ Metodología
✓ Estructura para realizar un plan
✓ Tipos de Planes
❖ REDES
✓ Redes Inalámbricas
✓ Cableado Estructurado
✓ Protocolos
❖ SEGURIDAD INFORMATICA
✓ Tipos de seguridades
✓ Seguridad en Hardware
✓ Seguridad en Software
✓ Cortafuegos
❖ TELEFONIA IP
✓ Estructura
✓ Protocolos
✓ Manejo de la central
✓ Software de Instalación
❖ SISTEMAS OPERATIVOS
✓ Windows
✓ Linux
✓ Manejo del Sistema
❖ ADMINISTRACIÓN
✓ Introducción
✓ Importancia
✓ Habilidades del administrador
✓ Planeación
✓ Organización
✓ Integración de Personal
✓ Dirección
✓ Control
❖ PLANIFICACIÓN INFORMÁTICA
❖ CONTRATACIÓN PÚBLICA
❖ CONTRALORÍA
APORTE TEÓRICO Y NOVEDAD CIENTÍFICA
Se tendrá como aporte teórico apoyo de trabajos posteriores de grado, así
como también se ha recopilado información de libros, revistas tecnológicas,
libros virtuales utilizando el internet como recurso, esta información se
encuentra relacionada con herramientas de desarrollo que se podrán utilizar
en la elaboración de la propuesta de la tesis. En la cual se tomaron
información de libros y consultas en la web, todo eso realizado en el Área de
Biblioteca de la Universidad Regional Autónoma de Los Andes y
posteriormente información recopilada fuera de la Institución que nos ayudó
a realizar y culminar el siguiente trabajo de grado.
Cabe mencionar que se utilizará normas y estándares de acuerdo a la calidad
nacional e internacional en dónde se cumplan ciertos parámetros que
contemplen que el trabajo de grado se lo ha realizado de una manera correcta,
ordenada y legítima.
BIBLIOGRAFÍA
ANGULO, Luis. 2010. Diseño de Páginas Web Interactivas con Joomla. Lima
- Perú : Macro, 2010. ISBN. 978-612-4034-47-3.
BACA, Gabriel. 2006. Evaluación de Proyectos. México : McGraw-Hill,
2006. ISBN. 970-10-5687-6.
BRICEÑO, Pedro. 1996. Administración y Dirección de Proyectos.
Chile : McGraw-Hill, 1996. ISBN. 956-278-008-2.
CORONEL, Eric. 2009. Desarrollando Soluciones con Java y MySQL.
Lima - Perú : Macro, 2009. ISBN. 978-612-4034-05-3.
FRANCIA, Darío. 2003. Desarrollo de Aplicaciones ASP .NET. Lima-
Perú : Macro, 2003. ISBN. 9972-707-16-4.
GIL, Javier, y otros. 2001. CREACIÓN DE SITIOS WEB CON PHP4.
España : McGraw-Hill, 2001. ISBN. 84-481-3209-2.
GUTIÉRREZ, Abraham y BRAVO, Ginés. 2004. PHP4 a través de ejemplos.
México : Alfaomega, 2004. ISBN. 970-15-0955-2.
JOYANES, Luis y ZAHONERO, Ignacio. 2007. Estructura de Datos en Java.
España : McGraw-Hill, 2007. ISBN. 978-84-481-5631-2.
LAUDON, Kenneth y LAUDON, Jane. 2010. Sistemas de Información.
México : Prentice Hall, 2010. ISBN.978-607-442-516-1.
LLANOS, Javier. 2009. Bases de Administración. México : Trillas, 2009. ISBN.
978-607-17-0200-5.
ORFALI, Robert, HARKEY, Dan y EDWARDS, Jeri. 2002. Cliente / Servidor y
Objetos. México : Mexicana, 2002. ISBN. 970-613-597-9.
PASCUAL, Francisco. 2006. Macromedia Dreamweaver 8. México : Alfaomega,
2006. ISBN. 970-15-1200-6.
PÉREZ, César. 2007. Administración de sitios y páginas Web con Macromedia
Dreamweaver. México : Alfaomega, 2007. ISBN. 970-15-1220-0.
—. 2008. MySQL para Windows y Linux. México : Alfaomega, 2008. ISBN. 978-
84-7897-790-1.
PÉREZ, César y SANTÍN, Daniel. 2007. Data Mining Soluciones con Enterprise
Miner. México : Alfaomega, 2007. ISBN. 970-15-1190-5.
POST, Gerald. 2006. Sistemas de Administración de Bases de Datos.
México : McGraw-Hill, 2006. ISBN. 970-10-5633-7.
RAMAKRISHNAN, Raghn y GEHRKE, Johannes. 2007. Sistema de Gestión de
Bases de Datos. España : McGraw-Hill, 2007. ISBN. 978-84-481-5638-1.
RODRÍGUEZ, Joaquín. 2206. Administración I. México : Thomson, 2206.
ROLDÁN, David, VALDERAS, Pedro y PASTOR, Oscar. 2010. Aplicaciones
Web un Enfoque Práctico. México : Alfaomega, 2010. ISBN. 978-607-7854-73-9.
ROZANSKI, Uwe. 2009. Enterprise JavaBeans 3.0 con Eclipse y JBoss.
México : Alfaomega, 2009. ISBN. 978-958-682-758-4.
H Proforma Materiales y Equipos Informáticos
I Glosario
SGSI: Sistema de gestión de la seguridad de la información.
BACKUP: Copia de seguridad
SWITH: Dispositivo digital lógico de interconexión de equipos
ROUTER: Enrutador o encaminador de paquetes
RED COMPUTADORAS: Conjunto de equipos informáticos y software
conectados entre sí
ISO: Organización Internacional de Normalización
LAN: Red de Area Local
MAN: Red de Area Metropolitana
WAN: Red de Area Amplia
OCTAVE: Operativamente amenaza crítica, de activos y evaluación de la
vulnerabilidad, (Riesgo Operacional Crítico, Evaluación de Activos y
Vulnerabilidades)
DHCP: Protocolo de configuración dinámica de host
PROXY: Es un punto intermedio entre un ordenador conectado a Internet y el
servidor que está accediendo.
SERVIDOR: Es un equipo informático que forma parte de una red y provee
servicios a otros equipos cliente
FIREWALL: Cortafuegos
TICS: Tecnologías de la Información y Comunicación
BELL-LAPADULA: Consiste en dividir el permiso de acceso de los usuarios a
la información en función de etiquetas de seguridad
CRIPTOGRAFIA: Arte y técnica de escribir con procedimientos o claves secretas
o de un modo enigmático, de tal forma que lo escrito solamente sea inteligible
para quien sepa descifrarlo.
SSL: Capa de puertos seguros, son protocolos criptográficos que proporcionan
comunicaciones seguras por una red, comúnmente Internet.
HACKER: Es todo individuo que se dedica a programar de forma entusiasta, o
sea un experto entusiasta de cualquier tipo, que considera que poner la
información al alcance de todos constituye un extraordinario bien.
PHISHING: Suplantación de identidad es un término informático que denomina
un modelo de abuso informático y que se comete mediante el uso de un tipo de
ingeniería social.
PHARMING: Es la explotación de una vulnerabilidad en el software de los
servidores DNS (Domain Name System) o en el de los equipos de los propios
usuarios, que permite a un atacante redirigir un nombre de dominio (domain
name) a otra máquina distinta.
FIRMA DIGITAL: Es un mecanismo criptográfico que permite al receptor de un
mensaje firmado digitalmente determinar la entidad originadora de dicho
mensaje (autenticación de origen y no repudio), y confirmar que el mensaje no
ha sido alterado desde que fue firmado por el originador (integridad).
RACK: El Rack es un armario que ayuda a tener organizado todo el sistema
informático de una empresa.
ROOT: Raíz. Puede referirse al directorio inicial de un sistema de archivos, o
también al usuario que administra un sistema Unix / Linux.
