• No se han encontrado resultados

Plan informático 2018-2022 basado en la norma iso/iec 27001:2013 para mejorar la seguridad de la información y recursos informáticos en la empresa covertosa de la ciudad de Santo Domingo

N/A
N/A
Protected

Academic year: 2020

Share "Plan informático 2018-2022 basado en la norma iso/iec 27001:2013 para mejorar la seguridad de la información y recursos informáticos en la empresa covertosa de la ciudad de Santo Domingo"

Copied!
205
0
0

Texto completo

(1)

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES “UNIANDES”

FACULTAD DE SISTEMAS MERCANTILES CARRERA DE SISTEMAS

PROYECTO DE INVESTIGACIÓN PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN SISTEMAS E INFORMÁTICA

TEMA: PLAN INFORMÁTICO 2018-2022 BASADO EN LA NORMA ISO/IEC 27001:2013 PARA MEJORAR LA SEGURIDAD DE LA INFORMACIÓN Y RECURSOS INFORMÁTICOS EN LA EMPRESA COVERTOSA DE LA CIUDAD DE SANTO DOMINGO.

AUTOR: ROGEL JUMBO JEFFERSON RAMON

TUTOR: DR. CAÑIZARES GALARZA FREDY PABLO, MG. .

SANTO DOMINGO – ECUADOR

(2)
(3)
(4)
(5)
(6)

DEDICATORIA

En primer lugar, le dedico este trabajo a Dios el creador de todas las cosas, el que me ha dado la fortaleza para continuar cuando a punto de caer he estado; por ello, con toda la humildad de mi corazón puede emanar.

De igual forma, a mis Padres, a quien le debo toda mi vida, les agradezco el cariño y su

comprensión, de igual manera ya que han sabido formarme con buenos sentimientos,

hábitos y valores, lo cual me ha ayudado a salir adelante buscando siempre el mejor

camino.

A mis maestros, gracias por su tiempo, por su apoyo, así como por la sabiduría que me

transmitieron en el desarrollo que se viene dando en esta formación profesional, en

especial al Ing. Diego Paul Palma Rivera, Mg, por haber guiado el desarrollo de este trabajo y llegar a la culminación del mismo.

(7)

AGRADECIMIENTO

Primero y antes que nada, dar gracias a Dios, por estar conmigo en cada paso que doy, por fortalecer mi corazón e iluminar mi mente y por haber puesto en mi camino a aquellas personas que han sido mi soporte y compañía durante todo este periodo de estudio.

Agradecer hoy y siempre a mi familia por el esfuerzo realizado por ellos. El apoyo en mi estudio, de ser así no hubiese sido posible. A mis padres y demás familiares ya que me han brindado el apoyo, la alegría y me dan la fortaleza necesaria para seguir adelante.

Un agradecimiento especial al Ing. Diego Paul Palma Rivera, Mg, por la colaboración, paciencia, apoyo y sobre todo por esa gran amistad que me brindó, por escuchar y aconsejar siempre.

(8)

RESUMEN

(9)

ABSTRACT

(10)

ÍNDICE GENERAL

Pág. PORTADA

APROBACIÓN DEL TUTOR DEL TRABAJO DE TITULACIÓN DECLARACIÓN DE AUTENTICIDAD

DERECHOS DE AUTOR

CERTIFICACIÓN DEL LECTOR TRABAJO DE TITULACIÓN DEDICATORIA

AGRADECIMIENTO RESUMEN

ABSTRACT

ÍNDICE DE TABLAS ÍNDICE DE GRÁFICO ÍNDICE DE ANEXOS

INTRODUCCIÓN. ... 1

Actualidad e importancia ... 1

Relación del tema propuesto con los lineamientos de desarrollo del país ... 2

Descripción de la actualidad ... 3

Importancia del tema ... 3

Problema de investigación ... 3

Formulación del problema a investigar ... 4

Árbol de problemas – Espina de pescado de causas y efectos ... 5

Objetivos de investigación ... 6

Objetivo General ... 6

Objetivos Específicos ... 6

CAPÍTULO I ... 7

Fundamentación teórica ... 7

Antecedentes de la Investigación ... 7

Principales trabajos desarrollados por otros autores ... 7

(11)

Principales conceptos expuestos por autores a nivel nacional e internacional ... 10

CAPÍTULO II ... 28

Diseño metodológico y diagnóstico ... 28

Caracterización del sector ... 28

Misión…….. ... 28

Visión……… ... 28

Política de seguridad ... 28

Organigrama de actividades de la Empresa ... 29

Paradigma y tipo de investigación ... 30

Paradigma asumido ... 30

Tipos de Investigación ... 30

Investigación Bibliográfica ... 30

Investigación de campo ... 31

Procedimiento para la búsqueda y procesamiento de los datos población y muestra ... 31

Población…. ... 31

Muestra…… ... 32

Plan de recolección de la información ... 32

Métodos…... ... 32

Método Analítico – Sintético ... 32

Método Inductivo – Deductivo ... 33

Instrumentos o técnicas de recolección de información... 33

Encuesta – Diseño de cuestionarios ... 33

Entrevista…. ... 34

Resultados del diagnóstico de la situación actual ... 34

Resumen de las principales insuficiencias detectadas con la aplicación de los métodos . 45 CAPÍTULO III ... 47

Propuesta de solución al problema ... 47

(12)

Caracterización de la propuesta ... 47

Objetivos de la propuesta ... 47

Objetivo general ... 47

Objetivos específicos ... 47

Elementos que la conforman ... 48

Explicación de cómo la propuesta contribuye a solucionar las insuficiencias ... 48

Aplicación práctica parcial y situación actual ... 49

Análisis de la situación actual ... 49

Análisis de resultados ... 50

Actividades de la Norma ISO/IEC 27001:2013 ... 50

Plan informático basado en la Norma ISO/IEC 27001:2013 ... 50

Desarrollo de la propuesta ... 52

Alcance del plan informático ... 52

Dominios a usar según la norma establecida ISO/IEC 27001:2013 ... 52

Políticas de seguridad ... 53

Plan de contingencia ... 55

Manual de procesos ... 56

Aplicación práctica parcial de la propuesta ... 58

Cronograma de actividades ... 59

CONCLUSIONES ... 60

RECOMENDACIONES ... 61 BIBLIOGRAFÍA

(13)

ÍNDICE DE TABLAS

Pág.

Tabla 1 Población Empresa Covertosa ... 31

Tabla 2 Medidas de seguridad dirigidas al personal ... 35

Tabla 3 Manual de normas o políticas de seguridad ... 36

Tabla 4 Capacitación en caso de un fenómeno natural ... 37

Tabla 5 La Empresa cuenta con algún plan de contingencia ... 38

Tabla 6 Notificación sobre su equipo ... 39

Tabla 7 Seguridad de los recursos informáticos ... 40

Tabla 8 Protección de los equipos informáticos con usuario y clave ... 41

(14)

ÍNDICE DE GRÁFICO

Pág.

Gráfico 1. Espina de pescado causas y efectos ... 5

Gráfico 2. Organigrama de la Empresa ... 29

Gráfico 3. Medidas de seguridad dirigidas al personal ... 35

Gráfico 4. Manual de normas o políticas de seguridad ... 36

Gráfico 5. Capacitación en caso de un fenómeno natural ... 37

Gráfico 6. La Empresa cuenta con algún plan de contingencia ... 38

Gráfico 7. Notificación sobre su equipo ... 39

Gráfico 8. Seguridad de los recursos informáticos ... 40

Gráfico 9. Protección de los equipos informáticos con usuario y clave ... 41

Gráfico 10. Cronograma para realizar mantenimiento a los equipos ... 42

Gráfico 11. Modelo PDCA (Plan-Do-Check-Act) ... 46

(15)

ÍNDICE DE ANEXOS

Anexo A: Perfil del proyecto de investigación.

Anexo B: Formato de Entrevista. Anexo C: Formato de Encuesta.

Anexo D: Carta de aprobación del Perfil del Proyecto de Investigación.

Anexo E: Autorización para la realización del Proyecto de investigación en la Empresa Covertosa de la Ciudad de Santo Domingo.

Anexo F: Certificación de cumplimiento del plan informático en la Empresa Covertosa de la Ciudad de Santo Domingo.

Anexo G: Ficha de registro de capacitaciones.

Anexo H: Ficha de control o cambio de políticas de seguridad informática.

Anexo I: Ficha de solicitud de adquisición reparación actualización de mantenimiento o cambio de equipo.

Anexo J: Acta de entrega de recepción de equipos y recursos informáticos. Anexo K: Políticas de seguridad.

Anexo L: Plan de contingencia. Anexo M: Manual de procesos.

(16)

1 INTRODUCCIÓN

Actualidad e importancia

Por seguridad informática se da conocer como un proceso por el cual las empresas intentan proteger la privacidad, seguridad e integridad de la información y datos que contienen sus sistemas informáticos.

La necesidad de la seguridad informática es para garantizar la prevención y aseguramiento en esta área que tiene como premisa principal garantizar el bienestar de los datos informativos contenidos dentro de un ordenador o red de la empresa. Se da en esta información como uno de los puntos esenciales del funcionamiento de la Empresa (como por ejemplo, los procesos administrativos); por ende, el robo o la invasión de un virus pueden, no solo complicar el funcionamiento normal, sino también generar una pérdida permanente de información invaluable,

La Empresa Covertosa de la Ciudad de Santo Domingo, creada por el Sr. Luis Alfonso Chango Taipicaña dueño de la Empresa, quien dio la creación de la Empresa Covertosa en el año 1990.

La Empresa Covertosa se dedica a la comercialización de marcas líderes a nivel mundial; y por tanto, también a nivel nacional, como: NESTLE, COLGATE-PALMOLIVE, JOHNSON-JOHNSON, CADBURY ADAM'S. Además de otras reconocidas a nivel Nacional.

En la actualidad de los servicios que ofrece la Empresa Covertosa se da el asesoramiento permanente a los clientes. Que desean iniciar un negocio o llevarlo al crecimiento, convirtiéndose así en un socio amigo estratégico de su Empresa, sin importar el tamaño de la misma.

 Brindar una mejor atención a nuestros clientes  Entregar pedidos en 24 horas

(17)

2

 Ofrecer nuevas alternativas y soluciones a nuestros clientes para garantizar la eficiencia en la compra de productos.

Se busca el aporte al crecimiento del negocio del cliente e impulsar su desarrollo, pues hay la visión que tiene la Empresa Covertosa, con la garantía de seguir trabajando y mejorando en diferentes aspectos, que actualmente carece la Empresa en sus servicios.

La Empresa está impulsada por el propósito de mejorar la calidad de vida y contribuir a un futuro de productos de mayor economía, se ha definido ambiciones generales por parte de la Empresa que guiarán los esfuerzos por alcanzar los compromisos en los próximos años.

Relación del tema propuesto con los lineamientos de desarrollo del país

El presente proyecto de investigación está relacionado con el Plan Nacional de Telecomunicaciones y Tecnologías de información del Ecuador 2016-2021.

Macro-objetivo del Plan Nacional de Telecomunicaciones y Tecnologías de la información del Ecuador 2016-2021

Macro-Objetivo 3: Asegurar el uso de las TIC’s para el desarrollo económico y social del país.

Importancia del macro-objetivo en el plan nacional de telecomunicaciones y tecnologías de la información del ecuador 2016-2021

(18)

3 Descripción de la actualidad

En el país actualmente la Empresa Covertosa confronta la existencia de errores o problemas que conllevan a los riesgos para la Empresa, tanto en la seguridad de la información y recursos informáticos de la misma, ocasionando así el desequilibrio para la Empresa tanto en la actualidad como en el desarrollo de la Empresa.

Dado a conocer la actualidad que maneja la Empresa es necesario que la misma conozca todos los tipos de problemas u riesgos que existan para establecer las normas, reglas u políticas necesarias y garantizar la seguridad de la información y recursos informáticos de la misma.

Importancia del tema

El Desarrollo de un Plan informático basado en la norma ISO/IEC 27001:2013 para mejorar la seguridad de la información y recursos informáticos en la Empresa Covertosa de la Ciudad de Santo Domingo, asegurara que todos los recursos informáticos y seguridad de la información estén protegidos tanto por los manuales a realizar como lo son las políticas de seguridad, plan de contingencia y manual de procesos, ayudando así al correcto registro o control de la información y recursos, evitando así posibles errores posteriormente.

Problema de investigación

En la Empresa Covertosa de la Ciudad de Santo Domingo se ha logrado detectar algunas insuficiencias u fallas, dándose así la inseguridad para la Empresa. Se menciona los siguientes:

(19)

4

 No existe políticas de seguridad las cuales estén disponibles para conocimiento del personal administrativo que labora en la Empresa Covertosa, ocasionando así pérdida de información y mal uso de los recursos informáticos.

 Falta de registros o etiquetas de los diferentes recursos informáticos que maneja la Empresa en los diferentes departamentos administrativos, provocando así la pérdida o robo de los mismos.

 No existe capacitación alguna sobre el manejo de los recursos informáticos y seguridad de la información que sea dada hacia los trabajadores de la Empresa, ocasionando la pérdida de información o infiltración de los riesgos que corre la Empresa.

 Los recursos informáticos que están ubicados en los diferentes departamentos que conforman la Empresa no están ubicados de forma estética es decir las instalaciones no están ocultas, así como también el personal encargado de manejar dichos recursos no hace uso de los mismos de forma correcta.

 No se han establecido ninguna norma para el cuidado de los recursos informáticos el cual demuestra indicios de daños o problemas en los diferentes recursos.  No se ha creado y establecido manual de procesos con los cuales se podría llevar

un control de los diferentes procesos que lleva a cabo la Empresa.

 El departamento de tecnología no cuenta con políticas de seguridad, plan de contingencia, lo cual ocasiona que el personal administrativo no cumpla con las normativas y la importancia de la seguridad de la información como lo es también de los recursos informáticos.

 La falta de manual de procesos ocasionaría que los procesos se realizaran de forma incorrecta, sin existir un seguimiento de las actividades que llevaría a cabo el encargado del departamento de tecnología y causaría errores en los mismos.

Formulación del problema a investigar

(20)

5

Árbol de problemas – Espina de pescado de causas y efectos

Gráfico 1. Espina de pescado causas y efectos

Fuente: Población de la Empresa Covertosa de la Ciudad de Santo Domingo

(21)

6 Objetivos de investigación

Objetivo General

Desarrollar un Plan informático basado en la norma ISO/IEC 27001:2013 para mejorar la seguridad de la información y recursos informáticos en la Empresa Covertosa de la Ciudad de Santo Domingo.

Objetivos Específicos

 Fundamentar científicamente la teoría referente a la norma ISO/IEC 27001:2013, políticas de seguridad, plan de contingencia, seguridad en recursos informáticos, manual de procesos y cronograma de actividades.

 Realizar una investigación de campo para determinar la deficiencia de la seguridad de la información y recursos informáticos en la Empresa Covertosa de la Ciudad de Santo Domingo.

 Elaborar el plan informático orientado a llevar el control de las políticas y normas de investigación para la seguridad de la información y recursos informáticos con el objetivo de que tengan una formación de la seguridad informática en la Empresa Covertosa de la Ciudad de Santo Domingo.

(22)

7 CAPÍTULO I

Fundamentación teórica

Antecedentes de la Investigación

Se da a conocer que la seguridad informática es aquella que tiene una relación con la informática y telemática que se basa en la seguridad de la información, recursos informáticos y todo relacionado con esta, así mismo se puede dar a conocer que es aquella que se encarga de diseñar las normas, procedimientos, métodos y técnicas que tenga como objetivos a conseguir.

Así también la informática es elemental para todas las Empresas ya hablemos de privadas o públicas, la cual es muy importante que exista el área o departamento de tecnología ya que actualmente la tecnología avanza muy rápido y es necesario contar con ella para poder realizar cualquier movimiento, ya sea por seguridad de información o recursos informáticos.

Dando a conocer así también, que se basa en sus principales objetivos que es la disponibilidad, integridad y confidencialidad, además nombrando dentro del ámbito empresarial es muy importante tener un área de tecnologías de la información que dé los servicios sobre la seguridad de la información y recursos informáticos para que ayuden a como ofrecer la calidad del trabajo.

Principales trabajos desarrollados por otros autores

Según la investigación realizada se encontró en el Repositorio Institucional Uniandes y otras, trabajos con similitud en los que se puede dar a conocer:

(23)

8

de Maestría. Universidad Regional Autónoma de los Andes Uniandes. Babahoyo, Ecuador. Recuperado el 16 de Noviembre de 2017, desde:

http://dspace.uniandes.edu.ec/handle/123456789/732 Establece que:

La informática es el punto principal de las empresas sea pública o privada y así como contar con el área de Tecnologías de la Información y Comunicación, que ofrezca los servicios necesarios como garantizar la seguridad de la misma.

En una investigación preliminar realizada a la tesis de grado del Magister Pacas Hidalgo Alex Vinicio (2017). Plan informático para mejorar el manejo de la unidad de tecnologías de información y comunicación (TIC’s) en hardware, software y seguridad informática de la empresa pública provincial de servicio social Santo Domingo solidario de la Ciudad de Santo Domingo. Tesis de Maestría. Universidad Regional Autónoma de los Andes Uniandes. Santo Domingo, Ecuador. Recuperado el 16 de Noviembre de 2017, desde: http://dspace.uniandes.edu.ec/bitstream/123456789/6137/1/TUSDMIE001-2017.pdf Menciona que:

Hoy en día existen diferentes infraestructuras tecnológicas que están funcionando en varias empresas y son de mucha ayuda para las mismas ya que mediante esto se puede comunicar mediante enlaces voz, datos en la cual todas y cada una de las empresas necesitan para su normal desenvolvimiento, las mismas que cuentan con seguridades y protocolos que son definidos en cada Institución de acuerdo a sus necesidades.

En una investigación realizada a la tesis de grado del Magister Aguirre Pérez Giojan Ricardo. (2017). Plan informático de la unidad de TIC’s de la Universidad Técnica Estatal de Quevedo. Tesis de Maestría. Universidad Regional Autónoma de los Andes Uniandes. Quevedo, Ecuador. Recuperado el 16 de Noviembre de 2017, desde:

http://dspace.uniandes.edu.ec/bitstream/123456789/6141/1/TUSDMIE005-2017.pdf Establece que:

(24)

9

e Informática y Comunicaciones, con especialistas en esta área del conocimiento humano, para ofrecer sus servicios profesionales a usuarios del medio externo e interno.

Así mismo en una Investigación realizada a la tesis de grado de los Ingenieros Rafael Melgarejo Heredia, Edison Cevallos Chumo, Jean Loor Valderrama. (2004). Plan informático del área de informática de la Pontificia Universidad Católica del Ecuador, Sede Esmeraldas. Tesis de Ingeniería. Pontificia Universidad Católica del Ecuador. Esmeraldas. Recuperado el 16 de Noviembre de 2017, desde:

http://repositorio.puce.edu.ec/handle/22000/2226?show=full Establece que:

Uno de los activos más importantes de la organización actual es la información y la tecnología que la soporta, por lo tanto, no hay que perder de vista que la tecnología implementada debe apoyar la definición estratégica de la organización con respecto a la información. La tecnología ayuda a administrar la información y ésta debe existir en función de generar conocimiento, entendido como la capacidad de realizar tareas o actividades en forma efectiva. Además, cabe destacar que usualmente no se hacen los estudios que se debieran, para determinar la capacidad del hardware a adquirir, o se define a prioridad la solución informática a implementar sin haber hecho un levantamiento de requerimientos adecuado.

Así también se puede dar a conocer que en una investigación se encontró la tesis de grado de la Ingeniera Claudia Natalia Quezada Galarza. (2011). Elaboración del plan informático para el Municipio del cantón Mejía. Tesis de Ingeniería. Escuela Politécnica Nacional. Quito, Ecuador. Recuperado el 16 de Noviembre de 2017, desde:

http://bibdigital.epn.edu.ec/bitstream/15000/4218/1/CD-3884.pdf Establece que:

(25)

10

considerando las características del municipio del Cantón Mejía se formula una metodología propia para su aplicación. La metodología propuesta inicia con un estudio de la organización con el propósito de conocer la base legal a la que se rige, su estructura, sus procesos y su proyección futura.

Luego de realizar una investigación preliminar en los repositorios de la Universidad Regional Autónoma de los Andes Uniandes, u otras sobre los trabajos de tesis, se pudo apreciar que el tema propuesto es único.

Actualidad del objeto de estudio de la investigación

Principales conceptos expuestos por autores a nivel nacional e internacional

Objetivos de la seguridad informática

Según (Gomez, 2013) Entre los principales objetivos de la seguridad informática podríamos destacar los siguientes:

 Minimizar y gestionar los riesgos y detectar los posibles problemas y amenazas a la seguridad.

 Garantizar la adecuada utilización de los recursos y de las aplicaciones del sistema.

 Limitar las pérdidas y conseguir la adecuada recuperación del sistema en caso de un incidente de seguridad.

 Cumplir con el marco legal y con los requisitos impuestos por los clientes en sus contratos. (p.18)

Se menciona que los objetivos de la seguridad informática son muy importantes ya que

colaboran en la seguridad de información y recursos informáticos, así también minimiza

los riesgos y encuentra los posibles problemas, consiguiendo la recuperación de los

(26)

11 Confidencialidad

Según (Sánchez Garreta, 2003) Se entiende por confidencialidad al servicio de seguridad, o condición, que asegure que la información no pueda estar disponible o ser descubierta por o para otras personas, entidades o proceso no autorizados. (p. 112)

Se puede dar a conocer como la pertenencia de la información que está encargada para

dadas personas que tenga la autorización de manejar u divulgar cierta información, la

cual también no se dará a conocer para aquellas personas que no tengan el permiso o

autorización establecido.

Integridad

Según (Sánchez Garreta, 2003) Se entiende por integridad al servicio de seguridad que garantiza que la información es modificada, incluyendo su creación y borrado, solo por el personal autorizado. (p. 102)

Según (Aguilera L, 2011) Este principio garantiza la autenticidad y precisión de la información sin importar el momento en que esta se solicita, o dicho de otra manera, una garantía de que los datos no han sido alterados ni destruidos de modo no autorizado. (p. 10)

Es aquella información que solo es modificada por la persona que está encargada o

autorizada, garantizando así la seguridad de la información de que no exista alguna

alteración por alguna persona no autorizada.

Disponibilidad

(27)

12

Según (Sánchez Garreta, 2003) la disponibilidad es el grado en el que un dato está en el lugar, momento y forma en que es requerido por el usuario autorizado. (p. 103)

Se menciona que la disponibilidad es el acceso que se da hacia la información, por las

personas que están totalmente autorizadas, dándose así en el momento y lugar adecuado

por el usuario que esté autorizado.

Importancia de la seguridad informática

Según (Vieites, 2012) Se basa en protección de la seguridad de la información, la proliferación de los virus y códigos malignos y su rápida distribución a través de redes como Internet, así como los miles de ataques e incidentes de seguridad que se producen todos los años han contribuido a despertar un mayor interés por esta cuestión. (p.38)

Según (Urbina, 2016) Identificar las amenazas a las cuales está expuesta la información, minimizar los riesgos de esa exposición, gestionar la adecuada utilización de las TIC’s que tiene la empresa, garantizar que en caso de un desastre informático se tenga una recuperación del negocio inmediata e integral. (p.22)

La importancia de la seguridad informática se basa en la protección de la información

para evitar algún tipo de contagio por medio de virus de código malicioso y así tener

control sobre la misma antes mencionada, que ha sido almacenada para que no sea

hackeada.

Sistema de gestión de la seguridad de la información (SGSI)

(28)

13

Se menciona que el sistema de gestión de la seguridad de la información se realiza

llevando un proceso documentado, detallado y conocido por toda la Empresa,

enfocándose en los riesgos que existen o puedan darse en la parte empresarial.

Servicios de la seguridad de la información

Según (Vieites, 2012) Para poder alcanzar los objetivos descritos en el apartado anterior, dentro del proceso de gestión de la seguridad informática es necesario contemplar una serie de servicios o funciones de seguridad de la información: Confidencialidad, autenticación, integridad y disponibilidad. Se refiere a la privacidad de los elementos de información almacenados y procesados en un sistema informático. (p.42)

Según (Soriano, 2014) Un servicio de seguridad es un servicio que garantiza que los sistemas de información o las transferencias de datos pueden tener la seguridad adecuada. Los servicios de seguridad se implementan mediante mecanismos de seguridad y de acuerdo a las políticas de seguridad. (p. 31)

Cabe recalcar que se necesita emprender los servicios de la seguridad de la informática

para lograr los objetivos propuestos, cumpliendo con los procesos que ofrece la

seguridad de la información en el ámbito Empresarial.

Legislación y norma sobre seguridad

Según (Hurtado, 2011) Tanto para proteger los derechos de autor del software propietario como para proteger los datos personales con respecto a su uso fraudulento en los ficheros y bases de datos informáticos. Para derechos de autor hay la Ley de Propiedad Intelectual y para proteger los datos de carácter personal hay la Ley Orgánica de Protección de Datos de carácter personal. (p.15)

Se menciona que existen leyes para que se basen en la legislación y en la norma para

garantizar la seguridad, tanto para sus derechos como autor y también para la seguridad

(29)

14 Vulnerabilidad

Según (Aguilera L, 2011) Las vulnerabilidades son las probabilidades que existen de que una amenaza se materialice contra un activo. No todos los activos son vulnerables a las mismas amenazas. Por ejemplo, los datos son vulnerables a la acción de los hackers, mientras que una instalación eléctrica es vulnerable a un corto circuito. (p.14)

Según (Vieites, 2012) Una vulnerabilidad es cualquier debilidad en el sistema informático que pueda permitir a las amenazas causarle daños y producir pérdidas en la organización. (p.61)

La vulnerabilidad es una ocurrencia de cualquier tipo de evento que cause o produzca

un daño sobre los elementos de un sistema, así también mencionar las deficiencias en la

parte física de la Empresa enfocándonos a los equipos informáticos.

Evento de seguridad de la información

Según (Gómez Fernández & Álvarez, 2012) La ocurrencia detectada en un estado de un sistema, servicio o red que indica una posible violación de la política de seguridad de la información, un fallo de las salvaguardas o una situación desconocida hasta el momento y que puede ser relevante para la seguridad. (p.30)

La presencia de eventos que puedan presentarse ocasiona diferentes tipos de problemas,

como lo es el abuso o la violación de alguna política de seguridad de la información,

logrando ser notable para la seguridad que se maneje dentro de la misma.

Incidentes de seguridad

(30)

15

Se puede mencionar como una amenaza o intento de acceso no autorizado ya que va en

contra de lo que es la seguridad de la información, tanto así como la confidencialidad e

integridad de los datos.

Amenazas, amenazas provocadas por personas

Según (Urbina, 2016) Se entiende por amenaza una condición del entorno de los sistemas, áreas o dispositivos que contienen información importante (persona, equipo, suceso o idea) que ante determinada circunstancia podría dar lugar a que se produjese una violación de seguridad. (p.29)

Según (Santos J. C., 2011) La mayoría de ataques a nuestro sistema provienen de personas que, intencionalmente o no, pueden causarnos enormes pérdidas. Generalmente se tratará de piratas informáticos, ciberdelincuentes, hackers o crackers, que intentan conseguir el máximo nivel de privilegio posible aprovechando algunas vulnerabilidades del software. (p.24)

Las amenazas provocadas por personas, se puede dar por personas internacionalmente

y se los denomina piratas informáticos que intentan evadir las seguridades para así

vulnerar el software y obtener provecho extrayendo información importante y causando

pérdidas enormes.

Amenazas físicas y lógicas

Según (Santos J. C., 2011) Las amenazas físicas y ambientales afectan a las instalaciones y/o el hardware contenido en ellas y suponen el primer nivel de seguridad a proteger para garantizar la disponibilidad de los sistemas. (p.24)

Las amenazas lógicas son los errores que se han cometido de manera involuntaria por

parte de los programadores de sistemas, dichos errores pueden ser aprovechados para

(31)

16 Técnicas de Ataque

Según (Santos J. C., 2011) Del mismo modo que hemos analizados las amenazas de los sistemas informáticos desde un punto de vista de quién o qué la genera, los tipos de amenazas pueden clasificarse en función de la técnica que se emplean para realizar el ataque. (p.25)

Las técnicas de amenaza se clasifican por la función de la técnica que se ha empleado

para realizar el ataque de los sistemas informáticos actuada por una persona para llevar

a cabo este tipo de ataque.

Riesgos

Según (Vieites, 2012) El riesgo es la probabilidad de que una amenaza se materialice sobre una vulnerabilidad del sistema informático, causando un determinado impacto en la organización. El nivel de riesgo depende, por lo tanto, del análisis previo de vulnerabilidades del sistema, de las amenazas y del posible impacto que éstas puedan tener en el funcionamiento de la organización. (p.63)

Según (López A, 2009) Se denomina riesgo a la posibilidad de que se materialice o no una amenaza aprovechando una vulnerabilidad. No constituye riesgo una amenaza cuando no hay vulnerabilidad ni una vulnerabilidad cuando no existe amenaza para la misma. (p.14)

Los riesgos son las posibles amenazas que vulneren la seguridad de un sistema

informático causando daño en la organización, para saber el nivel de riesgo en el que se

encuentra se debe realizar un análisis previo de vulnerabilidad del sistema y del posible

impacto que ocasione sus falencias que puedan tener en el funcionamiento de la

organización. Se analizó diferentes riesgos para determinar los más probables en la

Empresa que son:

(32)

17

No tener un plan normas y seguridad como lo son las políticas de seguridad, plan de contingencia

Deterioro de los equipos y recursos informáticos, por el mal uso de estos o por no realizar un mantenimiento informático preventivo.

Seguridad física y del entorno

Según (Gómez Fernández & Álvarez, 2012) Los mecanismos de protección para el sistema de información de la organización pasan por definir un perímetro físico de seguridad que impida el acceso no autorizado a la información y eviten daños por eventos, tales como fuego, inundación, terremoto, explosión, malestar social y otras formas de desastres naturales o provocados por el hombre. Existen dos objetivos:

Deben establecerse unas medidas de seguridad para prevenir los accesos físicos no autorizados, los daños y las intromisiones en las instalaciones y en la información de la organización. Podemos utilizar los siguientes controles:

 Perímetro de seguridad física. Barreras, muros, puertas de entrada con restricciones (recepción, cerraduras, control a través de tarjeta, etc.), cualquier medio que sirva para proteger las zonas en las que se encuentra la información y los sistemas de información formarán parte de este primer control.

 Controles físicos de entrada. Las áreas en las que sólo el personal autorizado puede entrar deben poseer controles de entrada apropiados que restrinjan el acceso.

 Seguridad de oficinas, despachos e instalaciones. También estos recintos deben contar con medidas razonables que permitan mantener la información y los sistemas bajo control.

 Protección contra las amenazas externas y de origen ambiental. Tanto por la magnitud de los daños que pueden ocasionar estas amenazas, como por la legislación que controla este punto, se deben aplicar las medidas apropiadas contra el daño causado por fuego, inundación, terremoto y otros desastres, tanto naturales como provocados por el hombre.

(33)

18

Áreas de acceso público y de carga y descarga. Puesto que estos puntos son vulnerables a accesos no autorizados, deberán controlarse con cuidado y, en la medida de lo posible, mantenerlos alejados y aislados de aquellas zonas en las que residan los sistemas de información. (p.19)

Se basa en la seguridad física y el entorno la cual se enfoca en impedir el acceso no

autorizado a la información y lograr evitar daños como pueden ser por desastres

naturales o accidentes provocados por personas.

Consecuencias de la falta Seguridad

Según (Rey, 2009) En consecuencia, resulta de especial importancia poner en conocimiento de los directivos cuál es el coste e impacto de los incidentes de seguridad en términos económicos, y no a través de confusos informes plagados de tecnicismos, defendiendo la idea de que la inversión en seguridad informática sería comparable a la contratación de un seguro contra robos, contra incendios o de responsabilidad civil frente a terceros (gasto no productivo pero necesario para poder mantener la actividad de la organización si se produce algún incidente). (p.231)

Según (Vieites, 2012) En estas primeras etapas la seguridad en una organización perseguía “salvaguardar propiedades y personas contra el robo, fuego, inundación, contrarrestar huelgas y felonías y, de forma amplia, todos los disturbios sociales que puedan poner en peligro el progreso e incluso la vida del negocio”. (p.47)

Por falta de seguridad, el impacto que tendría en la organización sería difícil de evaluar

ya que además de los posibles daños ocasionados a la información que se tiene

almacenada como también a los equipos y dispositivos de red.

Aspectos lógicos de la política de seguridad

(34)

19

procedimientos de configuración de encaminadores y, posiblemente, de cortafuego y puntos finales de redes privadas virtuales.

Los aspectos lógicos de la política de seguridad se los puede separar de la siguiente

forma:

Políticas de uso aceptable

Políticas de acceso remoto

Políticas de protección de la información

Políticas de seguridad perimetral

Aunque la antes mencionada implique la configuración de cortafuegos como también de

encaminadores para redes virtuales privadas.

Debilidades de seguridad comúnmente explotadas

Según (Mieres, 2009) Si bien esta técnica es utilizada en cualquier ámbito, en lo que a informática se refiere, consiste en la obtención de información sensible y/o confidencial de un usuario cercano a un sistema u organización explotando ciertas características que son propias del ser humano.

Ya sea por ignorancia, negligencia o coacción, pueden permitir a un atacante obtener acceso no autorizado, quien, de esta manera, podrá eludir los complejos esquemas y tecnologías de seguridad que se hayan implementado en la organización. Esto no significa que cada uno de los empleados deba realizar cursos de seguridad informática, sino que el proceso de capacitación debe formar parte de las Políticas de Seguridad de la Información y debe ser ejecutada a través de planes dinámicos de concientización. (p.8)

Existen estrategias de ataque como lo son:

La ingeniería social que se basa en el engaño y que esta netamente orienta a explotar las debilidades del ser humano.

(35)

20

Códigos maliciosos se refiere a programas que causan daños o anomalías en el sistema informático.

Contraseñas es el blanco más buscado por los atacantes informáticos, porque conforma el componente principal utilizado en procesos de autenticación simple.

Por ende, se debe socializar sobre las Políticas de seguridad para evitar estos tipos de

ataques hacia los usuarios.

Detección y respuesta ante incidentes de seguridad

Según (Microsoft, 2018) La respuesta apropiada a un incidente debe ser una parte esencial de la directiva de seguridad general y de la estrategia de mitigación de riesgos. El hecho de responder a los incidentes de seguridad tiene ventajas directas evidentes. No obstante, también pueden existir ventajas financieras indirectas.

Según (Tejada, 2014) Son numerosos los tipos de incidentes de seguridad que pueden ocurrir en un sistema. Una posible clasificación seria la siguiente:

 Accesos no autorizados: robo de información, borrado de información, accesos no autorizados exitosos, alteración de la información.

 Código malicioso o malware: virus informáticos, troyanos, gusanos informáticos.  Denegación del servicio: eventos que producen la pérdida de un servicio en

particular.

 Pruebas, escaneos o intentos de obtención de información de un sistema de información: Detección de vulnerabilidades.

 Mal usos de los recursos tecnológicos: violación de la normativa de acceso a internet, abuso o mal uso de los servicios informáticos externos o internos, abuso o mal uso del correo electrónico, violación de las políticas, normas y procedimientos de seguridad informática de una organización. (p. capítulo 1)

Para responder de manera correcta a un incidente se debe minimizar la cantidad y la

gravedad del mismo para así responder de forma inmediata detectando los errores y dar

(36)

21 Plan de contingencia

Según (López A, 2009) Determinadas amenazas a cualquiera de los activos del sistema de información pueden poner en peligro la continuidad de un negocio. El plan de contingencia es un instrumento de gestión que contiene las medidas (tecnológicas, humanas y de organización) que garanticen la continuidad del negocio protegiendo el sistema de información de los peligros que lo amenazan o recuperando tras un impacto. (p.23)

Un plan de contingencia también conocido como “Plan B” en el área de la informática,

es un conjunto de procedimientos alternativos a la operatividad normal de la institución,

su finalidad es permitir el funcionamiento de la empresa normalmente, así exista algún

inconveniente en las funciones que se dé por algún incidente en la Empresa.

Deficiencias de la política de seguridad

Según (Soriano, 2014) Una deficiencia de la política de seguridad es una frase comodín para indicar que una política de seguridad de la empresa, (o tal vez, la falta de política), genera amenazas de seguridad en la red de forma inconsciente. Los siguientes ejemplos son algunas situaciones que pueden afectar negativamente a una empresa:

 Inexistencia de un documento escrito donde conste la política de seguridad.  Ausencia de un plan de contingencia para recuperación en caso de desastres.  Inexistencia de criterios para la modificación o incorporación de hardware o

software.

 Ausencia de supervisión de seguridad.  Políticas de empleo.

 Políticas internas. (p. 9)

Se destaca que la deficiencia de la política de seguridad puede ser la falta de la misma

ya que no existen normas o reglas, y así afectando podría presentarse riesgos y amenazas

(37)

22 Los Dominios ISO 27001:2013

Según (ISOTools, SGSI, 2017) Los Dominios Tecnológicos de Seguridad incorporan los activos de la información que van a proteger y cumplir. Los dominios ISO 27001:2013 deben ser evaluados incluyendo los siguientes objetivos:

 Dominio de la política de seguridad: Su objetivo es garantizar a la empresa el soporte y gestión necesarios para la seguridad de la información según todos los requisitos institucionales y normativos.

 Dominio de la organización en cuanto a la seguridad de la información: Su finalidad es instaurar un marco de referencia para definir el camino para la implantación y control de la seguridad de la información dentro de la Empresa.  Dominio de gestión de activos: Este dominio tiene el objetivo de llevar a cabo una

protección adecuada en cuanto a los activos de la Empresa.

 Dominio de seguridad de los recursos humanos: Su objetivo es fijar las medidas necesarias para controlar la seguridad de la información, que ha sido manejada por los recursos humanos de la Empresa.

 Dominio en cuanto la seguridad física y del medio ambiente: Con este dominio se consigue proteger todas las instalaciones de la empresa y toda la información que maneja. Por esto, se establecen diferentes barreras de seguridad y controles de acceso.

 Dominio gestión de las comunicaciones y operaciones: El objetivo se encuentra en determinar los procesos y responsabilidades de las operaciones que lleva a cabo la organización.

 Dominio control de acceso: Se asegura el acceso autorizado a todos los sistemas de información de la Empresa.

 Dominio de adquisición, desarrollo y mantenimiento de los sistemas de información: Este dominio se encuentra dirigido a aquellas empresas que desarrollen software internamente o que tenga un contrato con otra empresa que se encarga de desarrollarlo.

(38)

23

 Dominio de gestión de continuidad de negocio: El objetivo es asegurar la continuidad operativa de la Empresa.

 Dominio de cumplimiento: Su finalidad es asegurar que los requisitos legales de seguridad que han sido referidos al diseño y gestión de los sistemas de información.

Norma ISO 27001:2013

Según (Gonzáles Trejo, 2013) En esta nueva versión no solo se establecen cambios en el contenido sino también en la estructura, lo que se reflejará en otros documentos que forman parte de la familia ISO-27000 (la versión final del estándar se espera a finales de 2013).ISO/IEC 27001:2013 ha sido desarrollado con base en el anexo SL de ISO/IEC del “Suplemento Consolidado de las Directivas ISO/IEC” (anteriormente publicado como “Guía ISO:83”), en el cual se proporciona un formato y un conjunto de lineamientos a seguir para el desarrollo documental de un sistema de gestión sin importar su enfoque empresarial, alineando bajo una misma estructura todos los documentos relacionados con los sistemas de gestión y evitando así problemas de integración con otros marcos de referencia. (p.20)

Se menciona los cambios que hay en la nueva norma, en este caso sería la norma a usar

que es la mencionada ISO/IEC 27001:2013 que conlleva cambios en el contenido así

como en la estructura, manteniendo la imagen de la familia de la ISO-27000.

Estructura del estándar ISO 27001:2013

Según (Lopez Lemos, 2015) La estructura del estándar ISO/IEC 27001:2013 ha sido desarrollado con base en el anexo de ISO/IEC del “Suplemento Consolidado de la Directivas ISO/IEC” (anteriormente publicado como Guía ISO: 83), en el cual se proporciona un formato y un conjunto de lineamientos bajo una misma estructura todos los documentos 27 relacionados con los sistemas de gestión y evitando así problemas de integración con otros marcos de referencia. (p.28)

La estructura de la norma establecida menciona que tiene prioridad en proporcionar un

(39)

24

estructura, enfocándose con los sistemas de gestión y garantizando que no existirán

problemas de integración.

ISO 17799 E ISO 27001

Según (Tarazona, 2013) Los estándares ISO 17799 e ISO 27001 le dan a una organización las bases para desarrollar un marco de gestión de la seguridad de la información efectivo, que le permita proteger sus activos de información importantes, minimizando sus riesgos y optimizando las inversiones y esfuerzos necesarios para su protección. (p.143)

La norma ISO 17799 es muy similar a la 27001 que ayuda mucho a la seguridad de la

información, pero el enfoque que se realiza a la Empresa es la necesidad directa de

utilizar la Norma ISO 27001:2013 ya que cuenta con diferentes actualizaciones y

mejoramientos para el mismo que se darán en la Empresa a realizar.

Porque la Norma ISO 27001:2013

La norma ISO 27001 versión 2013 ya puede ser implantada en una organización. Con la nueva versión que se aumentó el número de dominios de la seguridad de 11 a 14. Los cambios que se realizan en el sector de la tecnología de la información son necesarios, sobre todo porque los servidores necesitan ser actualizados cada cierto tiempo.

ISO 27001:2005

 Alcance

 Referencias normativas  Términos y definiciones

 Sistema de gestión de seguridad de la información  Responsabilidad de la gerencia

(40)

25 ISO 27001:2013

 Alcance

 Referencias normativas  Términos y definiciones  Contexto de la organización  Liderazgo

 Planificación  Soporte  Operación

 Evaluación del desempeño  Mejora

Seguridad en la red

Según (Barcía N, 2005) Proteger la información durante su transmisión a través de las redes; incluido Internet. En el escenario de la seguridad en una red y, más en concreto, en la red de redes que es Internet. (p.294)

La seguridad en la red consiste en proteger la información durante su transmisión por

medio de encriptación ya que dicha información que se transporta por las redes no sería

de fácil acceso.

Requisitos de seguridad y ataques

Según (Stallings, 2004) Para entender los tipos de amenazas a la seguridad que existen, necesitamos partir de una definición de requisitos en seguridad. La seguridad en computadores y en redes implica cuatro requisitos:

(41)

26

 Integridad: se requiere que los datos sean modificados solamente por partes autorizadas. La modificación incluye la escritura, la modificación, la modificación del estado, la supresión y la creación.

 Disponibilidad: se requiere que los datos estén disponibles para las partes autorizadas.

 Autenticidad: se requiere que un computador o servicio sea capaz de verificar la identidad de un usuario. (p.725)

Son muy importante los requisitos requeridos ya que se basa en la seguridad de la misma,

y deben contar con los mismos que son: privacidad, integridad, disponibilidad,

autenticidad.

Ataques pasivos

Según (Stallings, 2004) Los ataques pasivos consisten en escuchas o monitorizaciones de las transmisiones. La meta del oponente es la de obtener la información que está siendo transmitida. La divulgación del contenido de un mensaje y el análisis de tráfico constituyen dos tipos de ataques pasivos.

La divulgación del contenido de un mensaje se entiende fácilmente. Una conversación telefónica, un mensaje de correo electrónico o un fichero transferido pueden contener información sensible o confidencial. Por ello, desearíamos impedir que un oponente averigüe el contenido de estas transmisiones. (p.725)

Son los ataques que se dan por medio del escucha de las transmisiones, la cual tiene un

objetivo principal que es obtener la información que se transmita en ese momento. Así

como los varios métodos de los ataques que son por medio de telefonía, correo, etc.

Ataques activos

(42)

27

Aquí en los ataques activos se da a conocer que alteran los datos existentes que se pueden

dar por medio de lo que es el enmascaramiento, retransmisión, modificación de mensajes

(43)

28 CAPÍTULO II

Diseño metodológico y diagnóstico

Caracterización del sector

La Empresa Covertosa de Santo Domingo, Creada por el Sr. Luis Alfonso Chango Taipicaña dueño de la Empresa, quien dio la creación de Covertosa en el año 1990. La Empresa Covertosa se dedica a la comercialización de marcas líderes a nivel mundial; y por tanto, también a nivel nacional, como: NESTLE, COLGATE-PALMOLIVE, JOHNSON-JOHNSON, CADBURY ADAM'S. Además de otras reconocidas a nivel Nacional.

Misión

Nuestra misión se basa en comercializar productos de alta rotación en alimentos de primera necesidad, cubriendo organizadamente zonas y rutas, con un continuo servicio eficiente y precios competitivos con un personal comprometido y capacitado.

Visión

Ser la compañía más eficiente y rentable comercializando artículos de consumo masivo en todo el país.

Política de seguridad

(44)

29 Organigrama laboral de la Empresa

ORGANIGRAMA DE TRABAJO DE LA EMPRESA COVERTOSA DE LA CIUDAD DE SANTO DOMINGO

DEPARTAMENTOS DIRECCIÓN ADMINISTRATIVA

DEPARTAMENTO DE CONTABILIDAD

DEPARTAMENTO TALENTO HUMANO

DEPARTAMENTO DE LOGÍSTICA

DEPARTAMENTO DE ADMINISTRACIÓN

DEPARTAMENTO DE TECNOLOGÍAS DE LA

INFORMACIÓN

DEPARTAMENTO DE GERENCIA

DEPARTAMENTOS DIRECCIÓN OPERATIVOS

DEPARTAMENTO DE CARTERA

DEPARTAMENTO DE VENTAS

DEPARTAMENTO DE COMERCIALIZACIÓN

DEPARTAMENTO DE FACTURACIÓN

Gráfico 2. Organigrama de la Empresa

Fuente: Población Empresa Covertosa de la Ciudad de Santo Domingo

(45)

30 Paradigma y tipo de investigación

Paradigma asumido

Según (Alvarez Gomez, Gomez Armijos, & Romero Fernandez, 2017) La metodología que se emplea en el presente trabajo de investigación tiene dos tendencias: Modalidad Cualitativa, basada en principios teóricos cuya información se recopilará mediante cuestionarios y encuestas que se aplicará a los trabajadores de la Empresa y la Modalidad Cuantitativa, representada en los resultados y gráficos estadísticos. (p.29)

La presente investigación se realizará de diferentes tendencias con un enfoque cualitativo

y cuantitativo que den a conocer todo el proceso de investigación y así obtener una

especificación de la seguridad de la información y recursos informáticos.

Se utiliza este enfoque cualitativo para llevar el análisis de las encuestas realizadas a los

trabajadores de la Empresa en la seguridad de la información que manejen los usuarios

en la Empresa Covertosa de la Ciudad de Santo Domingo. Y se utilizará el enfoque

cuantitativo para ver los resultados y gráficos estadísticos en la Empresa Covertosa de

la Ciudad de Santo Domingo.

Tipos de Investigación

Se realizará dos tipos de investigación, la investigación de campo la cual se la utilizará para evaluar y confirmar la problemática, que será realizada en la Empresa Covertosa de la Ciudad de Santo Domingo. La investigación bibliográfica se trata de la recolección de información que puede estar detallada en internet, libros, etc.

Investigación Bibliográfica

Se enfoca en la compilación de los datos u información que ya existen en diferentes ejemplares como son el internet, libros u otros.

También se puede dar a conocer que es aquella que se encarga de la revisión de alguna

(46)

31 Investigación de campo

Según (Muñoz, 2013) También conocida como investigación directa, es la que se efectúa en el lugar y tiempo en que ocurren los fenómenos objeto de estudio. (p.105)

Se puede mencionar como aquella investigación que se encarga de conseguir

información enfocándose a la realidad, usando técnicas como lo son las encuestas o

entrevistas con el objetivo de obtener una respuesta al problema que se tenga planteado.

Procedimiento para la búsqueda y procesamiento de los datos población y muestra

Población

Según (Bernal C. , 2016) Es el conjunto de todos los elementos a los cuales se refiere la investigación. Se puede definir también como el conjunto de todas las unidades de muestreo. (p.210)

Según (Pérez Borda, 2009) Una población está determinada por sus características definitorias. Por lo tanto, el conjunto de elementos que posea esta característica se denomina población o universo. Población es la totalidad del fenómeno a estudiar, donde las unidades de población poseen una característica común, la que se estudia y da origen a los datos de la investigación. (P.19)

Se da a conocer como el total de la población a estudiar, y también como aquella que da

el principio y fundamentos de todos los datos que se lleve a cabo en la investigación.

Tabla 1

Población Empresa Covertosa

Función Población

Personal Empresarial Administrativos 37

Gerencia 1

Total 38

Fuente: Población de la Empresa Covertosa de la Ciudad de Santo Domingo

(47)

32

Al no ser mayor de 100 la población, la encuesta se realizó al total de miembros de la Empresa Covertosa de la Ciudad de Santo Domingo.

Muestra

Según (Bernal C. , 2016) Es la parte de la población que se selecciona, de la cual realmente se obtiene la información para el desarrollo de la investigación y sobre la cual se efectuarán la medición y la observación de las variables objeto de estudio. (p.211)

Según (Bernal & Augusto, 2010) La muestra es la que puede determinar la problemática ya que le es capaz de generar los datos con los cuales se identifican las fallas dentro del proceso.

El muestreo es el proceso de seleccionar sistemáticamente elementos representativos de una población. Cuando estos elementos seleccionados son examinados de cerca, se supone que el análisis revelara información útil acerca de la población como un todo. La muestra es el conjunto de sujetos que representan el universo en todas las características. En el presente proyecto no se procedió aplicar la formula debido a que dicha fórmula solo es aplicable y funcional si el dato a entrevistar es superior a 100. (p.55)

La muestra se da a conocer como aquella que se toma para estudiar o determinar las

características de la investigación, que en tal caso puede estar derivado por los métodos

a utilizar de la misma como lo son las encuestas y entrevistas.

Plan de recolección de la información

Métodos

Método Analítico – Sintético

(48)

33

En este método se enfoca en analizar y estudiar la situación, la cual es revisado parte

por parte, es decir se lo descompone y luego son integradas de la misma manera,

llegando a causas y efectos, y de principios a las conclusiones.

Método Inductivo – Deductivo

Según (Muñoz, 2013) Este método de inferencia basado en la lógica y relacionado con el estudio de hechos particulares, aunque es deductivo en un sentido (parte de lo general a los particular) es inductivo en sentido contrario (va de los particular a lo general). (p.115)

Este método es aquel que se basa en la observación y estudio de todos los sucesos que se

presenten en el estado actual para llegar a una conclusión, así mismo también actúa

como suposición al problema.

Instrumentos o técnicas de recolección de información

Según (Bernal C. , 2016) En la actualidad, la investigación científica ofrece variedad de técnicas o instrumentos para la recolección de información, en el trabajo de campo de una determinada investigación. (p.244)

 Encuesta  Entrevista

Se da a conocer que los instrumentos o técnicas son las encuestas y entrevistas que

ayudaran a la recolección de información sobre los problemas que existan en la empresa,

planteando encuestas para los trabajadores de la parte administrativa, y la entrevista

que será enfocada para el encargado del departamento de tecnologías ya que él es aquel

que llevará el control de la información y recursos informáticos en la Empresa.

Encuesta – Diseño de cuestionarios

(49)

34

Según (Stracuzzi & Pestaña, 2012) El cuestionario es un instrumento de investigación que forma parte de la técnica de la encuesta. Es fácil de usar, popular y con resultados directos. El cuestionario, tanto en su forma como en su contenido, debe ser sencillo de contestar. Las preguntas han de estar formuladas de manera clara y concisa; pueden ser cerradas, abiertas o semiabiertas, procurando que la respuesta no sea ambigua. Como parte integrante del cuestionario o en documento separado, se recomienda incluir unas instrucciones breves, claras y precisas, para facilitar su solución. (p.131)

La encuesta es aquella que es formulada por varias preguntas para obtener los datos

necesarios para llevar acabo el objetivo principal de la investigación que se está

realizando. Así mismo el cuestionario que forma parte de la encuesta debe ser realizado

con preguntas de una forma clara y precisa para la facilidad de la solución.

Entrevista

Según (Bernal C. , 2016) Es una técnica que consiste en recoger información mediante un proceso directo de comunicación entre entrevistador(es) y entrevistado(s), en el cual el entrevistado responde a cuestiones, previamente diseñadas en función de las dimensiones que se pretenden estudiar, planteadas por el entrevistador. (p.252)

Una entrevista es aquella que permite recoger información para determinar la

problemática y a su vez la solución, la cual se da entre la persona que entrevista y el

entrevistado, logrando así un estudio a favor para el entrevistador.

Resultados del diagnóstico de la situación actual

Encuesta

(50)

35

1. ¿Se han establecido medidas de seguridad dirigidas al personal para el control del uso de los equipos informáticos?

Tabla 2

Medidas de seguridad dirigidas al personal

Fuente: Población de la Empresa Covertosa de la Ciudad de Santo Domingo

Elaborado por: Rogel Jefferson

Gráfico 3. Medidas de seguridad dirigidas al personal

Fuente: Población de la Empresa Covertosa de la Ciudad de Santo Domingo

Elaborado por: Rogel Jefferson

Interpretación

En el total de la población encuestada da a conocer que no se han establecido medidas de seguridad para el uso de los equipos informáticos.

SI 0%

NO 100%

Medidas de seguridad dirigidas al

personal

SI NO

Parámetros Frecuencia Porcentaje

Si 0 0,00%

No 38 100,00%

(51)

36

2. ¿La Empresa cuenta con algún manual que contenga normas y/o políticas de seguridad dirigidas al personal?

Tabla 3

Manual de normas o políticas de seguridad

Parámetros Frecuencia Porcentaje

Si 0 0,00%

No 38 100,00%

Total 38 100%

Fuente: Población de la Empresa Covertosa de la Ciudad de Santo Domingo

Elaborado por: Rogel Jefferson

Gráfico 4. Manual de normas o políticas de seguridad

Fuente: Población de la Empresa Covertosa de la Ciudad de Santo Domingo

Elaborado por: Rogel Jefferson

Interpretación

En el total de la población encuestada menciona que la Empresa no cuenta con algún manual que contenga normas y/o políticas de seguridad.

SI 0%

NO 100%

Manual de normas o políticas de

seguridad

(52)

37

3. ¿El personal ha recibido algún tipo de capacitación en caso de que ocurra alguna emergencia ocasionado por un fenómeno natural?

Tabla 4

Capacitación en caso de un fenómeno natural

Parámetros Frecuencia Porcentaje

Si 25 65,79%

No 13 34,21%

Total 38 100%

Fuente: Población de la Empresa Covertosa de la Ciudad de Santo Domingo

Elaborado por: Rogel Jefferson

Gráfico 5. Capacitación en caso de un fenómeno natural

Fuente: Población de la Empresa Covertosa de la Ciudad de Santo Domingo

Elaborado por: Rogel Jefferson

Interpretación

En el total de la población encuestada da a conocer que el 66% menciona que si ha recibido capacitación en caso de que ocurra alguna emergencia ocasionado por un fenómeno natural, mientras el 34% menciona que no la ha recibido.

SI 66% NO

34%

Capacitación en caso de un fenómeno

natural

(53)

38

4. ¿La Empresa cuenta con algún plan de contingencia?

Tabla 5

La Empresa cuenta con algún plan de contingencia

Parámetros Frecuencia Porcentaje

Si 0 0,00%

No 38 100,00%

Total 38 100%

Fuente: Población de la Empresa Covertosa de la Ciudad de Santo Domingo

Elaborado por: Rogel Jefferson

Gráfico 6. La Empresa cuenta con algún plan de contingencia

Fuente: Población de la Empresa Covertosa de la Ciudad de Santo Domingo

Elaborado por: Rogel Jefferson

Interpretación

En el total de la población encuestada da a conocer que no cuentan con algún plan de contingencia.

SI 0%

NO 100%

La Empresa cuenta con algún plan de

contingencia

(54)

39

5. ¿Recibe alguna notificación si su equipo ha entrado a mantenimiento?

Tabla 6

Notificación sobre su equipo

Parámetros Frecuencia Porcentaje

Si 30 78,95%

No 8 21,05%

Total 38 100%

Fuente: Población de la Empresa Covertosa de la Ciudad de Santo Domingo

Elaborado por: Rogel Jefferson

Gráfico 7. Notificación sobre su equipo

Fuente: Población de la Empresa Covertosa de la Ciudad de Santo Domingo

Elaborado por: Rogel Jefferson

Interpretación

En el total de la población encuestada da a conocer que el 79% menciona que si recibe una notificación si su equipo entra a mantenimiento, mientras el 21% da a conocer que no reciben notificación.

SI 79% NO

21%

Notificación sobre su equipo

(55)

40

6. ¿Existe seguridad para los recursos informáticos que usted maneja?

Tabla 7

Seguridad de los recursos informáticos

Parámetros Frecuencia Porcentaje

Si 0 0,00%

No 38 100,00%

Total 38 100%

Fuente: Población de la Empresa Covertosa de la Ciudad de Santo Domingo

Elaborado por: Rogel Jefferson

Gráfico 8. Seguridad de los recursos informáticos

Fuente: Población de la Empresa Covertosa de la Ciudad de Santo Domingo

Elaborado por: Rogel Jefferson

Interpretación

En el total de la población encuestada da a conocer que no hay seguridad para los recursos informáticos que ellos manejan.

SI 0%

NO 100%

(56)

41

7. ¿Los equipos informáticos están protegidos con cuentas de usuario y clave respectivamente generado por el encargado del Departamento de Tecnologías?

Tabla 8

Protección de los equipos informáticos con usuario y clave

Parámetros Frecuencia Porcentaje

Si 0 0,00%

No 38 100,00%

Total 38 100%

Fuente: Población de la Empresa Covertosa de la Ciudad de Santo Domingo

Elaborado por: Rogel Jefferson

Gráfico 9. Protección de los equipos informáticos con usuario y clave

Fuente: Población de la Empresa Covertosa de la Ciudad de Santo Domingo

Elaborado por: Rogel Jefferson

Interpretación

En el total de la población encuestada menciona que los equipos informáticos no están protegidos con usuario y clave.

SI 0%

NO 100%

Protección de los equipos informáticos

con usuario y clave

(57)

42

8. ¿Tiene conocimiento si la Empresa cuenta con algún cronograma para realizar mantenimiento a los equipos informáticos de cada área?

Tabla 9

Cronograma para realizar mantenimiento a los equipos

Parámetros Frecuencia Porcentaje

Si 0 0,00%

No 38 100,00%

Total 38 100%

Fuente: Población de la Empresa Covertosa de la Ciudad de Santo Domingo

Elaborado por: Rogel Jefferson

Gráfico 10. Cronograma para realizar mantenimiento a los equipos

Fuente: Población de la Empresa Covertosa de la Ciudad de Santo Domingo

Elaborado por: Rogel Jefferson

Interpretación

En el total de la población encuestada da a conocer que el 58% si tienen conocimiento que la Empresa cuenta con un cronograma para realizar mantenimiento a los equipos informáticos, mientras el 42% menciona que no existe algún cronograma.

SI 0%

NO 100%

Cronograma para realizar mantenimiento

a los equipos

Figure

Gráfico 1. Espina de pescado causas y efectos
Gráfico 2. Organigrama de la Empresa
Gráfico 3. Medidas de seguridad dirigidas al personal
Gráfico 6. La Empresa cuenta con algún plan de contingencia
+7

Referencias

Documento similar

1.2.3 DESCRIPCIÓN DE LA NORMA ISO/IEC 27001:2013 De acuerdo a lo mencionado en 1.2.2 para el desarrollo del proyecto se requiere del uso de las siguientes normas: La norma

Facultad de Ingenier?a Trabajo de Investigaci?n ?Dise?o de un sistema de gesti?n de seguridad de informaci?n basado en la norma ISO/IEC 27001 2013 para una empresa de producci?n

Introducción 2.1.1 ISO/IEC 27001:2013 2.1.2 ISO/IEC 27002:2013 Contextualización 2.2.1 DESCRIPCIÓN GENERAL DE LA ORGANIZACIÓN 2.2.2 ESTRUCTURA ORGANIZATIVA 2.2.3 ESTRUCTURA DEL

Elaboración de un Plan de Implementación y Desarrollo de un Sistema de Gestión de Título del trabajo: la Seguridad de la Información basado en la norma ISO/IEC 27001:2005 Nombre

El propósito del siguiente plan director de seguridad en la Fundación Universitaria San Mateo, es implementar la norma ISO/IEC 27001:2013 Y ISO/IEC 27002:2013, todos los

Las políticas de seguridad de Información basado en el modelo de las buenas prácticas como es la norma ISO 27001:2013 mediante la metodología de MAGERIT, proveerán

 Al determinar los parámetros y las políticas que se deben implementar en un sistema de gestión de seguridad de la información basado en la norma ISO/IEC 27001-27002

Con el Diseño del Sistema de Gestión de Seguridad de la Información basado en la Norma ISO/IEC 27001, se puede denotar que ayuda a la Dirección de Sistemas de la Gobernación