Plan informático 2018 – 2022, basado en las normas ISO/IEC 27001:2013 para mejorar la seguridad de la información, procesos informáticos y recursos tecnológicos en la comisión de tránsito del ecuador UCT2 del cantón Santo Domingo

(1)

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES “UNIANDES”

FACULTAD DE SISTEMAS MERCANTILES

PORTADA

CARRERA DE SISTEMAS

PROYECTO DE INVESTIGACIÓN PREVIO A LA OBTENCIÓN DEL TITULO DE INGENIERO EN SISTEMAS E INFORMÁTICA

TEMA: PLAN INFORMÁTICO 2018 – 2022, BASADO EN LAS NORMAS ISO/IEC 27001:2013 PARA MEJORAR LA SEGURIDAD DE LA INFORMACIÓN, PROCESOS INFORMÁTICOS Y RECURSOS TECNOLÓGICOS EN LA COMISIÓN DE TRÁNSITO DEL ECUADOR UCT2 DEL CANTÓN SANTO DOMINGO.

AUTOR: GUILLIN SANABRIA ALEXANDER ADRIÁN

TUTOR: DR. CAÑIZARES GALARZA FREDY PABLO, MGS.

(2)

CERTIFICACIÓN DEL TUTOR DEL TRABAJO DE TITULACIÓN

CERTIFICACIÓN:

Quien suscribe, legalmente CERTIFICA QUE: El presente Trabajo de Titulación realizado por el señor Alexander Adrián Guillin Sanabria, estudiante de la Carrera de Sistemas, Facultad de Sistemas Mercantiles, con el tema: “PLAN INFORMÁTICO 2018 – 2022, BASADO EN LAS NORMAS ISO/IEC 27001:2013 PARA MEJORAR LA SEGURIDAD DE LA INFORMACIÓN, PROCESOS INFORMÁTICOS Y RECURSOS TECNOLÓGICOS EN LA COMISIÓN DE TRÁNSITO DEL ECUADOR UCT2 DEL CANTÓN SANTO DOMINGO.”, ha sido prolijamente revisado, y cumple con todos los requisitos establecidos en la normativa pertinente de la Universidad Regional Autónoma de los Andes “UNIANDES”, por lo que apruebo su presentación.

Santo Domingo, agosto del 2018.

(3)

DECLARACIÓN DE AUTENTICIDAD

Yo, ALEXANDER ADRIÁN GUILLIN SANABRIA, estudiante de la Carrera de Sistemas, Facultad de Sistemas Mercantiles, declaro que todos los resultados obtenidos en el presente trabajo de investigación, previo a la obtención del título de INGENIERO EN SISTEMAS E INFORMÁTICA, son absolutamente originales, auténticos y personales; a excepción de las citas, por lo que son de mi exclusiva responsabilidad.

Santo Domingo, agosto del 2018

Sr. Alexander Adrián Guillin Sanabria C.I. 1720328929

(4)

DERECHOS DE AUTOR

Yo, Alexander Adrián Guillin Sanabria, declaro que conozco y acepto la disposición constante en el literal d) del Art. 85 del Estatuto de la Universidad Regional Autónoma de los Andes, que en su parte pertinente textualmente dice: El patrimonio de la UNIANDES, está constituido por: La propiedad intelectual sobre las Investigaciones, trabajos científicos o técnicos, proyectos profesionales y consultoría que se realicen en la Universidad o por cuenta de ella.

Santo Domingo, agosto del 2018

Sr. Alexander Adrián Guillin Sanabria C.I. 1720328929

(5)

CERTIFICACIÓN DEL LECTOR DEL TRABAJO DE TITULACIÓN

Yo, Ing. Diego Paul Palma Rivera, Mg., en calidad de Lector del Proyecto de Titulación.

CERTIFICO:

Que el presente trabajo de titulación realizado por el Sr. GUILLIN SANABRIA ALEXANDER ADRIAN sobre el tema: PLAN INFORMÁTICO 2018 – 2022, BASADO EN LAS NORMAS ISO/IEC 27001:2013 PARA MEJORAR LA SEGURIDAD DE LA INFORMACIÓN, PROCESOS INFORMÁTICOS Y RECURSOS TECNOLÓGICOS EN LA COMISIÓN DE TRÁNSITO DEL ECUADOR UCT2 DEL CANTÓN SANTO DOMINGO, ha sido cuidadosamente revisado por el suscrito, por lo que he podido constatar que cumple con todos los requisitos de fondo y forma establecidos por la Universidad Regional Autónoma de Los Andes, para esta clase de trabajos, por lo que autorizo su presentación.

(6)

AGRADECIMIENTO

El presente proyecto va principalmente dedicado para Dios, tu amor y tu bondad no tienen fin, me permites sonreír ante todos mis logros que son resultado de tu ayuda y cuando caigo y me pones a prueba, aprendo de mis errores y me doy cuenta de que me los pones en frente de mi para que mejore como ser humano, y crezca de diversas maneras. Este trabajo de grado ha sido una gran bendición en todo sentido y te lo agradezco padre celestial, y no cesan mis ganas de decir que es gracias a ti que esta meta está cumplida.

A mi madre y abuela por haberme forjado como la persona que soy en la actualidad, muchos de mis logros se los debo a ustedes entre los que se incluye de manera especial este proyecto de investigación. Me formaron con reglas y con algunas libertades, pero al final de cuentas, me motivaron constantemente para alcanzar mis anhelos.

De la misma manera agradezco de manera muy especial a mi novia la Ing. Dayana Rodríguez, que durante estos años de carrera ha sabido apoyarme para continuar y nunca renunciar, gracias por su amor incondicional y por su ayuda en mi proyecto de investigación.

(7)

RESUMEN

En el presente proyecto de investigación se pretende dar una adecuada solución de seguridad informática con el desarrollo de un Plan Informático basado en las normas ISO/IEC 27001:2013 (Organización Internacional de Normalización / Comisión Electrotécnica Internacional) para la Comisión de Tránsito del Ecuador UCT2 (Unidad de Control de Tránsito) del Cantón de Santo Domingo.

Para el desarrollo del plan informático se realizó una investigación de Campo mediante la cual se obtuvo el levantamiento de la información referente a los procesos que utiliza la institución, equipos y recursos informáticos, para luego efectuar la valoración de los mismos de acuerdo con su estado considerando el análisis de las amenazas más significativas que pueden ocasionar daño a los mismos afectando su normal actividad.

(8)

ABSTRACT

This research project aims to provide an adequate computer security solution

with the development of a Computer Plan based on the ISO / IEC 27001: 2013

standards (International Organization for Standardization / International

Electrotechnical Commission) for the Traffic Commission of Ecuador UCT2

(Transit Control Unit) from Santo Domingo canton.

For the development computer’s plan, a field investigation was conducted

through which the information regarding the processes used by the institution,

equipment and computing resources was obtained, and then the assessment of

them was made according to their state considering the analysis of the most

significant threats that can cause damage to them affecting their normal activity.

The ISO / IEC 27001: 2013 standard determines the implementation about an

information security management system, therefore the development of an IT

plan focused on improving information security, IT processes and technological

resources in the Traffic Commission is stable. From Ecuador UCT2 from Santo Domingo canton, it contains a manual of security policies, processes’ manual and

computer procedures and a computer contingency plan; these contemplate the

security aspects that must be handled in the area from Technology and allow the

(9)

ÍNDICE GENERAL

Pag. PORTADA

CERTIFICACIÓN DEL TUTOR DEL TRABAJO DE TITULACIÓN DECLARACIÓN DE AUTENTICIDAD

DERECHOS DE AUTOR

CERTIFICACIÓN DEL LECTOR DEL TRABAJO DE TITULACIÓN AGRADECIMIENTO

RESUMEN ABSTRACT

ÍNDICE GENERAL ÍNDICES DE TABLAS ÍNDICES DE FIGURAS ÍNDICES DE ANEXOS INTRODUCCIÓN

Actualidad e importancia ... 1

Relación del tema propuesto con los lineamientos de desarrollo del país ... 1

Descripción de la actualidad ... 2

Importancia del tema ... 2

Problema de investigación ... 3

Formulación del problema a investigar... 5

Árbol de Problemas ... 5

OBJETIVOS DE INVESTIGACIÓN ... 6

Objetivo general ... 6

Objetivos específicos ... 6

CAPITULO I ... 7

FUNDAMENTACIÓN TEÓRICA ... 7

Antecedentes de la investigación ... 7

Actualidad del objeto de estudio de la investigación ... 9

(10)

Definición de Seguridad ... 9

Seguridad Informática ... 9

Objetivos de la seguridad informática ... 10

Importancia de la seguridad informática ... 11

Vulnerabilidad ... 11

Amenazas ... 12

Riesgos ... 12

Seguridad de la Información ... 13

Seguridad Física y Lógica ... 14

Políticas de Seguridad ... 15

Detección y respuesta ante incidentes de seguridad ... 17

Plan de Contingencia ... 18

Norma ISO 27001:2013 ... 18

Plan Informático ... 21

Actualidad ecuatoriana del sector donde desarrolla el proyecto ... 22

CAPITULO II ... 23

DISEÑO METODOLÓGICO Y DIAGNÓSTICO ... 23

Caracterización del sector... 23

Paradigma y tipo de investigación ... 25

Paradigma de la investigación ... 25

Tipos de investigación ... 25

Procedimiento para la búsqueda y procesamiento de datos ... 26

Población y muestra ... 26

Plan de recolección de la información ... 27

Resultados del diagnóstico de la situación actual ... 28

CAPITULO III ... 36

Nombre de la Propuesta ... 36

Objetivos de la propuesta ... 36

Objetivo general ... 36

Objetivos específicos ... 36

(11)

Modelo a utilizar ... 37

Controles que componen el Plan informático basado en la norma ISO/IEC 27001:2013 ... 39

Aplicación práctica parcial o total de la propuesta ... 41

Planeación ... 41

Alcance del plan informático ... 41

Límites del plan informático ... 41

Diagnóstico inicial ... 41

Análisis de resultados ... 43

Diseño y elaboración de procesos ... 43

CONCLUSIONES Y RECOMENDACIONES ... 52

Conclusiones ... 52

Recomendaciones ... 53 BIBLIOGRAFÍA

(12)

ÍNDICES DE TABLAS

Tabla 1 Población y muestra ... 26

Tabla 2 Técnicas e instrumentos ... 28

Tabla 3 Procedimientos a seguir en caso de ocurrir algún problema ... 28

Tabla 4 Políticas o normativas para respaldo de información ... 29

Tabla 5 Divulgación de contraseñas dentro o fuera de la institución ... 30

Tabla 6 Normas o políticas de seguridad dirigidas al personal ... 30

Tabla 7 Procedimiento para crear, cambiar o recuperar contraseñas ... 31

Tabla 8 Control de dispositivos de almacenamiento ... 32

Tabla 9 Adopción de un plan de contingencia ... 33

Tabla 10 Suspensión en los servicios de la CTE ... 33

Tabla 11 Ubicación y distribución de los equipos informáticos ... 34

Tabla 12 Implementación de un Plan Informático ... 35

(13)

ÍNDICES DE FIGURAS

Figura 1 Espina de pescado – causas y efectos ... 5

Figura 2 Organigrama CTE Santo Domingo... 24

Figura 3 Procedimientos a seguir en caso de ocurrir algún problema ... 28

Figura 4 Políticas o normativas para respaldo de información ... 29

Figura 5 Divulgación de contraseñas dentro o fuera de la institución ... 30

Figura 6 Normas o políticas de seguridad dirigidas al personal ... 31

Figura 7 Procedimiento para crear, cambiar o recuperar contraseñas ... 31

Figura 8 Control de dispositivos de almacenamiento ... 32

Figura 9 Adopción de un plan de contingencia... 33

Figura 10 Suspensión en los servicios de la CTE ... 34

Figura 11 Ubicación y distribución de los equipos informáticos ... 34

Figura 12 Implementación de un Plan Informático ... 35

Figura 13 Ciclo de Deming ... 37

Figura 14 Etapas del plan informático ... 38

Figura 15 Controles ISO/IEC 27001:2013 ... 39

Figura 16 Fases del plan de contingencia ... 47

(14)

ÍNDICES DE ANEXOS

Anexo 1 Perfil del proyecto de investigación

Anexo 2 Autorización para el desarrollo del proyecto de Investigación Anexo 3 Certificación de aprobación emitida por la CTE del cantón Santo Domingo

Anexo 4 Formato de la encuesta realizada en la Comisión de Transito del Ecuador UCT2

Anexo 5 Políticas de Seguridad Informática

(15)

1 INTRODUCCIÓN

Actualidad e importancia

El presente proyecto está vinculado con el objetivo once del Plan Nacional del Buen Vivir “Establecer un sistema económico social, solidario y sostenible”, el mismo que busca construir un sistema económico cuyo fin sea el ser humano y su buen vivir. Buscando el equilibrio de vida en condiciones de justicia y soberanía, de esta manera se reconoce la diversidad económica, la recuperación de lo público y la transformación efectiva del Estado.

Por ende el desarrollo del presente proyecto se basa en crear un Plan Informático 2018 – 2022 basado en las normas ISO/IEC 27001:2013, para mejorar la seguridad de la información, procesos informáticos y recursos tecnológicos en la Co misión de Tránsito del Ecuador UCT2 del Cantón de Santo Domingo, logra adaptarse al objetivo anteriormente mencionado planteando la salida a una necesidad en beneficio del ser humano y su buen vivir utilizando herramientas y procesos de seguridad informática que sean de ayuda en el área de administración de una empresa.

Relación del tema propuesto con los lineamientos de desarrollo del país

El presente proyecto de investigación está relacionado con el Plan Nacional de Telecomunicaciones y Tecnologías de información del Ecuador 2016-2021.

Macro-objetivo del Plan Nacional de Telecomunicaciones y Tecnologías de la información del Ecuador 2016-2021:

 Macro-Objetivo 3: Asegurar el uso de las TIC’s para el desarrollo económico y social del país.

(16)

2

La importancia de asegurar el uso de las TIC’s para el desarrollo económico y social del país: En el ámbito social, la incorporación de Tics en sectores como salud, educación o justicia, permite aumentar la eficiencia en la provisión de estos servicios reduciendo el gasto público, mejorar la calidad de los servicios utilizando análisis de datos (analytics) que permiten generar conocimientos (insights) clave, y por último brindar una mejor experiencia al cliente a través del uso de herramientas digitales.

Descripción de la actualidad

Actualmente la comisión de Tránsito del Ecuador UCT2 del cantón Santo Domingo confronta la existencia de errores y problemas que conllevan a varios riesgos dentro de la institución, tanto en la seguridad de la información como en la seguridad de los recursos tecnológicos; ocasionando así el desequilibrio en la operatividad de la institución

Dado a conocer la actualidad que maneja la institución es necesario que la misma conozca todos los tipos de problemas y riesgos que existan para establecer las normas, reglas y políticas necesarias para garantizar la seguridad de la información y recursos informáticos de la misma.

Importancia del tema

El Desarrollo de un Plan Informático 2018 – 2022 basado en las normas ISO/IEC V27001:2013, para mejorar la seguridad de la información, procesos informáticos y recursos tecnológicos en la Comisión de Tránsito del Ecuador UCT2 del Cantón de Santo Domingo, ayudará a crear un cultura de seguridad Informática en los usuarios de la institución, mediante la implementación de soluciones a la problemática existente tales como:

 Manual de Procesos y procedimientos informático  Manual de Políticas de Seguridad

(17)

3 Problema de investigación

La Comisión de Transito del Ecuador CTE, ingreso a laborar a la Provincia de Santo Domingo de los Tsáchilas el día 20 de Septiembre del 2014 dentro de sus competencias consiste en regular, organizar y orientar el tránsito para evitar los diferentes incidentes y reducir el índice de accidentabilidad que se presenten en la Red estatal de esta noble Provincia, en la actualidad la institución cuenta con un total de 92 efectivos entre personal operativo y administrativo en la UCT2 (Unidad de Control de Tránsito 2).

El personal administrativo de la CTE hace uso de las Tecnologías de la Información y Comunicación para el desempeño de sus funciones diarias, por ende se debe tomar las medidas de seguridad pertinentes para resguardar la integridad física y lógica de los equipos y recursos informáticos de la institución; ya que la falta de seguridad informática es una de las principales causas que originan los problemas de control y administración tanto lógicos como físicos.

Por lo anteriormente planteado se puede indicar que la institución presenta varios inconvenientes en base al déficit de seguridad de la información, procesos informáticos y recursos tecnológicos, entre ellos se encuentran:

 El servicio de soporte técnico a los usuarios de la Institución, se los realiza en los diferentes departamentos operativos y administrativos de la Comisión de Tránsito del Ecuador CTE; ya que el espacio físico de dicho departamento es reducido; ocasionando mala atención y dificultades con la ubicación física de los equipos receptados para brindar el soporte tecnológico solicitado.

(18)

4

 En cuanto a seguridad lógica, los sistemas informáticos de la empresa no

cuentan con sus respectivas licencias, como es el caso de los antivirus provocando que los equipos tengan un bajo rendimiento y a la vez se llenen de infecciones o virus.

 Las copias de seguridad o backups no poseen un cronograma para su realización, esto puede ocasionar graves pérdidas en la información y continuidad del servicio de la institución.

 No se realizan capacitaciones previas al personal nuevo de la institución,

en cuando al uso de los equipos, recursos tecnológicos y conectividad, posibilitando así que se tengan accesos externos y puedan producirse pérdidas de información, virus y daños físicos en el equipamiento tecnológico.

 El departamento de TI no ha establecido medidas de índole técnica para garantizar la seguridad de las tecnologías de información tales como controles de acceso a los equipos (claves de acceso) y sanciones por daños en el mal manejo de los recursos informáticos, ocasionando que no exista el resguardo de los equipos de cómputo, sistemas de información e irresponsabilidad por parte del personal administrativo de la institución que interactúan haciendo mal uso de los servicios asociados a ellos.

 No existen manuales de procedimientos, cronogramas y formatos de

los procesos informáticos, produciendo así dificultad en el seguimiento de las actividades en el departamento de tecnología y la delegación de cargos y tareas correspondiente.

(19)

5

involuntarios o intencionales, pudiendo causar divulgación de información a instancias fuera de la institución.

Formulación del problema a investigar

¿Cómo mejorar la seguridad de la información, procesos informáticos y recursos tecnológicos en la Comisión de Tránsito del Ecuador UCT 2 del cantón de Santo Domingo de los Tsáchilas?

Árbol de Problemas

Espina de pescado – causas y efectos.

Figura 1 Espina de pescado – causas y efectos

(20)

6 OBJETIVOS DE INVESTIGACIÓN

Objetivo general

Desarrollar un Plan Informático 2018 – 2022 basado en las normas ISO/IEC 27001:2013, para mejorar la seguridad de la información, procesos informáticos y recursos tecnológicos en la Comisión de Tránsito del Ecuador UCT2 del Cantón de Santo Domingo.

Objetivos específicos

a) Fundamentar científicamente la teoría referente a las normas ISO/IEC 27001:2013, seguridad de la información, políticas de seguridad, plan de contingencias, seguridad informática, seguridad física y lógica para tener un sustento bibliográfico en la elaboración del plan informático.

b) Realizar una investigación de campo para conocer las deficiencias de la seguridad de la información, procesos informáticos y recursos tecnológicos en la en el CTE UCT2 de la provincia de Santo Domingo de los Tsáchilas.

c) Elaborar el plan informático orientado al cumplimiento de las normas ISO/IEC 27001:2013, políticas y procedimientos para la seguridad de la información, procesos informáticos y recursos tecnológicos en la Comisión de Tránsito del Ecuador UCT2 del cantón de Santo Domingo.

(21)

7 CAPITULO I

FUNDAMENTACIÓN TEÓRICA

Antecedentes de la investigación

A través del tiempo la tecnología se ha vuelto un método fundamental y su implantación no se trata de un lujo, o una inversión sino una necesidad fundamental que permite a las grandes y pequeñas empresas estar a la vanguardia de los nuevos tiempos, incrementar ingresos, mejorar procesos e implementar nuevas herramientas dentro de las compañías. Estas características deben ir de la mano con el cumplimiento de normativas y estándares internacionales que permitan al departamento de Tecnologías de la Información poder brindar servicios tales como la conservación, integridad y confidencialidad de la información, equipos y recursos tecnológicos.

En la investigación realizada se encontró en el repositorio Institucional Uniandes y otras Universidades del país trabajos con similitud en los que se pueden destacar los siguientes:

Tesis de Grado del Magister Santacruz Fernández, Ángel. (2013). Plan de Seguridad Informática y los Riesgos Operativos en el Municipio Descentralizado de Quevedo, Provincia de Los Ríos. Tesis de Maestría. Universidad Regional Autónoma de los Andes “UNIANDES”. Quevedo, Ecuador. Recuperado el 12 de Noviembre de 2017, desde: http://dspace.uniandes.edu.ec/bitstream/123456789 /3037/1/TUQMIE002-2013.pdf

(22)

8

de los Andes UNIANDES. Santo Domingo, Ecuador. Recuperado el 16 de Noviembre de 2017, desde: http://dspace.uniandes.edu.ec/bitstream/123456789/ 6137/1/TUSDMIE001-2017.pdf

Tesis del Ingeniero Mejía Viteri, José. (2015). Plan de Seguridad Informática del Departamento de Tecnología de la Información y Comunicación de la Universidad Técnica de Babahoyo para mejorar la Gestión de Confidencialidad e Integridad de Información y Disponibilidad de Servicios. Tesis de Maestría. Universidad Regional Autónoma de los Andes UNIANDES. Babahoyo, Ecuador. Recuperado el 12 de Noviembre del2017,desde:http://dspace.uniandes.edu.ec/ bitstream/123456789/732/1/TUAMEIE0122015.pdf

Los trabajos citados anteriormente, servirán como fuente de consulta y referencia para el desarrollo de la propuesta, ya que mediante su análisis se puede establecer que la informática es uno de los puntos principales de una empresa sea esta pública o privada, así como contar con un departamento de Tecnologías de la Información y Comunicación que ofrezca los servicios necesarios para garantizar la seguridad de la misma.

(23)

9

Actualidad del objeto de estudio de la investigación

Principales conceptos expuestos por autores a nivel nacional e internacional

Definición de Seguridad

De acuerdo a (REINOSO, 2003), “Seguridad es una necesidad básica de la persona y de los grupos humanos y al mismo tiempo un derecho inalienable del hombre y de la naciones. Seguridad proviene de latín Securitas, que a su vez se deriva del adjetivo Securus, sin cura, sin temor; implica las nociones de garantía, protección, tranquilidad, confianza, prevención, previsión, preservación, defensa, control, paz y estabilidad de las personas y grupos sociales...”.

El autor (FERNANDEZ SUAREZ, 1991), sustenta que Máynez entiende que el concepto o, mejor, el valor seguridad es funcional idea que recoge Rolz Bannet y que es entendida en el mismo sentido que este.

La seguridad en todas sus ramas es un componente que no debe faltar porque da la garantía de protección, tranquilidad, defensa, control, paz, estabilidad y confianza, si a falta de la misma nos encontramos en un campo muy abierto de vulnerabilidades teniendo una sociedad en riesgo.

Seguridad Informática

“La seguridad informática se puede definir como un conjunto de procedimientos, dispositivos, y herramientas encargadas de asegurar la integridad, disponibilidad y privacidad de la información en un sistema informático e intentar reducir las amenazas que pueden afectar el mismo.” (ALEGRE RAMOS, CERVIGÓN, & GARCÍA, 2011, pág. 2)

(24)

10

disponibilidad e integridad de la misma...” (ESCRIVÁ, SERRANO, RAMADA, & ONRUBIA, 2013, pág. 24)

Se puede entender como seguridad Informática al estado de un sistema de Información que indique si el sistema está libre de peligro o riesgo. Para la mayoría de los expertos el concepto de seguridad en la informática es utópico porque no existe un sistema 100% seguro, por esa razón se debe mantener la integridad, disponibilidad, privacidad, control y autenticidad de la información manejada por una computadora.

Objetivos de la seguridad informática

“El objetivo de la seguridad informática es proteger los recursos informáticos valiosos de la organización, tales como la información, el hardware o el software. A través de la adopción de las medidas adecuadas, la seguridad informática ayuda a la organización a cumplir sus objetivos, protegiendo sus recursos financieros, sus sistemas, su reputación...” (ALEGRE RAMOS, CERVIGÓN, & GARCÍA, 2011, pág. 10)

Según (GÓMEZ VIETES, 2013), entre los principales objetivos de la seguridad informática se pueden destacar los siguientes:

 Minimizar y gestionar los riesgos y detectar los posibles problemas y

amenazas a la seguridad.

 Garantizar la adecuada utilización de los recursos y de las aplicaciones del sistema.

 Limitar las pérdidas y conseguir la adecuada recuperación del sistema en caso de un incidente de seguridad.

 Cumplir con el marco legal y con los requisitos impuestos por los clientes

en sus contratos. (pág. 18)

(25)

11

minimiza los riesgos y posibles problemas que puedan presentarse durante el normal funcionamiento de los procesos en una institución.

Importancia de la seguridad informática

“Seguridad informática es la materia que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable...” (AGUILERA LÓPEZ , 2012, pág. 9)

“Se puede definir a la seguridad informática como cualquier medida que impida la ejecución de operaciones no autorizadas sobre un sistema o red informática, cuyos efectos pueden conllevar daños sobre la información, comprometer su confidencialidad, autenticidad o integridad...” (GÓMEZ VIETES, 2013, pág. 38)

La importancia de la seguridad informática radica en el reto de tener la capacidad de lograr todos los objetivos antes mencionados, para que así, la organización pueda tener un desempeño óptimo basado en un buen estado de su infraestructura informática, que en estos tiempos es vital para todos los tipos de asociaciones. Después de conocer las amenazas y puntos débiles de las intenciones y actitudes de las organizaciones, debemos tomar algunas medidas para la implementación de las acciones de seguridad recomendadas o establecidas.

Vulnerabilidad

“Constituye un hecho o una actividad que permite concretar una amenaza. Se es vulnerable en medida en que no hay suficiente protección como para evitar que llegue a suceder una amenaza. En la actualidad se contempla que hay ataques intencionados y no intencionados, mismos a los que la empresa siempre es vulnerable, en mayor o menor medida.” (BACA URBINA, 2016, pág. 30)

(26)

12

correcto funcionamiento del sistema informático...” (ESCRIVÁ, SERRANO, RAMADA, & ONRUBIA, 2013, pág. 29)

La palabra vulnerabilidad hace referencia a una debilidad en un proceso informático permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de acceso y consistencia del sistema, aplicaciones y datos también se entiende por vulnerabilidad cualquier debilidad que al presentarse en la infraestructura tecnológica ocasione el mal funcionamiento de esta.

Amenazas

“Se entiende por amenaza una condición del entorno de los sistemas, áreas o dispositivos que contienen información importante (personas, equipo, suceso o idea) que determinada circunstancia podría dar lugar a que se produjese una violación de seguridad (no cumplimiento de alguno de los aspectos mencionados), afectando parte de la información y de la TI de la organización.” (BACA URBINA, 2016, pág. 30)

“Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o acción que puede producir un daño (material o inmaterial) sobre los elementos de un sistema, en el caso de la Seguridad Informática, los elementos de Información...” (AGUILERA LÓPEZ , 2012, pág. 13)

Existen amenazas que difícilmente se las encuentran o se eliminan y por eso es la tarea de gestión de riesgo de preverlas, implementando medidas de seguridad para la protección de los datos de la empresa evitando o minimizando los daños en caso de que se realice una amenaza tanto física como lógica en la empresa.

Riesgos

(27)

13

“Resulta ilusorio creer que los riesgos pueden eliminarse por completo, en su ligar deben reducirse a niveles aceptables, la determinación de este nivel dependerá en gran medida de los objetivos concretos de la organización, del valor de sus activos, de su dimensión y presupuesto de seguridad...” (ALEGRE RAMOS, CERVIGÓN, & GARCÍA, 2011, pág. 45)

En si el riesgo no es más que la posibilidad de que una amenaza se produzca, dando origen a un ataque al equipo de cómputo, sistema o recurso informático permitiendo tomar decisiones para protegerlos, es decir es la probabilidad de que ocurra un ataque por parte de una amenaza. Los riesgos informáticos son causados principalmente en las empresas por no seguir correctamente los procesos informáticos, tanto físicos como lógicos, puesto que estas son más propensas a tener riesgos como fraude o robo de información por usuarios maliciosos que desean perjudicar el rendimiento de la institución.

Seguridad de la Información

“En la actualidad la tecnología de la información es sin lugar a dudas, lo que más rápidamente ha evolucionado en el mundo, siendo base importante en las operaciones administrativas y financieras de las empresas de hoy, cambiando los hábitos de las personas, lanzándolas a realizar transacciones en Internet de todo tipo, en forma automática, sin intermediarios y en cualquier lugar…”. (GÓMEZ VIETES, 2013)

“Los riesgos fundamentales asociados con la incorrecta protección de la información son los siguientes: revelación a personas no autorizadas, inexactitud de los datos, inaccesibilidad de la información cuando se necesita.” (SÁNCHEZ GARRETA, 2003)

(28)

14 Seguridad Activa

La seguridad activa tiene como objetivo proteger y evitar posibles daños en los sistemas informáticos, por esa razón se debe tomar recursos necesarios para evitar posibles problemas utilizando técnicas en el uso adecuado de contraseñas, que podemos añadirles números, mayúsculas, encriptaciones datos, etcétera.

Seguridad Pasiva

La seguridad pasiva tiene como finalidad minimizar los efectos causados por un accidente, un usuario o malware. Por tal motivos para prevenir algún inconveniente se debe realizar un análisis del uso de hardware adecuado contra accidentes y averías, también se puede utilizar copias de seguridad de los datos y del sistema operativo.

Seguridad Física y Lógica

El autor autores (AGUILERA LÓPEZ , 2012) menciona que:

La seguridad física son tare as y mecanismos físicos cuyo objetivo es proteger al sistema (y, por lo tanto indirectamente a la información) de peligros físicos y lógicos. (pág. 18)

La seguridad lógica es toda aquella relacionada con la protección directa de los datos y de la información.” (pág. 30)

(29)

15

Se interpreta que la seguridad física de un sistema informático consiste en la aplicación de barreras física y podrecimiento de control frente a amenazas físicas al hardware, ya que este tipo de seguridad está enfocado a cubrir las amenazas ocasionada tanto por el hombre como por la naturaleza del medio físico en que se encuentre ubicado. La seguridad lógica de un sistema informático se refiere a la aplicación de procedimientos que salvaguarden el acceso a los datos y la información contenida en él.

Políticas de Seguridad

“Una política de seguridad constituye informar a los usuarios, trabajadores y personal de dirección, de los requisitos obligatorios para proteger la información de la organización, debe especificar también los mecanismos a través de los cuales estos requisitos puedan ser conocidos...” (CASTRO GIL, DÍAZ ORUETA, ALZÓRRIZ ARMENDÁRIZ, & SANCRISTÓBAL RUIZ, 2014, pág. 6)

“Podemos definir una política de seguridad como una declaración de intenciones de alto nivel que cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requieran...” (GÓMEZ VIETES, 2013, pág. 71)

La política de seguridad abarca los objetivos, conductas, normas y métodos de actuación y distribución de responsabilidades y actuará como documento de requisitos para la implementación de los mecanismos de seguridad, ya que estas se utilizaran para determinar qué información puede viajar a través de la red y como deberá ser utilizada.

Objetivo de las Políticas de Seguridad

(30)

16

conseguir los objetivos de seguridad planificados. (AGUILERA LÓPEZ , 2012, pág. 21)

“Otro objetivo de la política de seguridad debe ser proporcionar una base para adquirir, configurar y auditar todos los dispositivos y las rede. Por lo tanto emplear un conjunto de herramientas de seguridad sin una política de seguridad implícita, no tendría mucho sentido.” (CASTRO GIL, DÍAZ ORUETA, ALZÓRRIZ ARMENDÁRIZ, & SANCRISTÓBAL RUIZ, 2014, pág. 3)

La organización debe cumplir correctamente con lo establecido en una política de seguridad cumpliendo así todos los objetivos propuestos, ya que si se los cumple correctamente sus procesos cotidianos funcionaran de manera correcta logrando así un gran bienestar en la seguridad y protección de la información para la organización.

Beneficios de implantar Políticas de Seguridad Informática

Los beneficios de un sistema de seguridad con políticas claramente concebidas bien elaboradas son inmediatos, ya que se trabajará sobre una plataforma confiable, que se refleja en los siguientes puntos: Aumento de la productividad, Aumento de la motivación del personal, Compromiso con la misión de la compañía, Mejora de las relaciones laborales. (PEÑA, 2014, pág. 192)

Los beneficios es el resultado logrado que se verifica en la culminación de alguna actividad dentro de la organización, comprobando así si las políticas de seguridad que se establecieron son correctas o de buen uso para la empresa.

Aspectos físicos de la política de seguridad

(31)

17

Las empresas se preocupan más del aseguramiento lógico de la información dejando a un lado la protección de la infraestructura física donde se encuentra alojados los equipos, siendo más fácil para un atacante sacar una copia de archivos de los servidores por la facilidad de acceso a lugar, también la seguridad contra los desastres naturales, como incendios, terremotos, disturbios, etc.

Aspectos lógicos de la política de seguridad

Entre las normas y procedimientos relacionados con aspectos lógicos se puede separar lo que se denomina normas básicas o fundamentales, como: Políticas de uso aceptable, Políticas de acceso remoto, Políticas de protección de la información, Políticas de seguridad perimetral, aunque esta implicara, también, procedimientos de configuración... (CASTRO GIL, DÍAZ ORUETA, ALZÓRRIZ ARMENDÁRIZ, & SANCRISTÓBAL RUIZ, 2014)

Es importante que en la seguridad de información existan políticas de seguridad en aspectos lógicos, ya que con estos ayudaría a evitar posibles malos usos en los procesos informáticos que debe seguir una organización.

Detección y respuesta ante incidentes de seguridad

El hecho de responder a los incidentes de seguridad tiene ventajas directas evidentes. No obstante, también pueden existir ventajas financieras indirectas. Por ejemplo, puede que su compañía de seguros le ofrezca descuentos si puede demostrar que su organización es capaz de controlar los ataques rápidamente y de manera rentable. (MICROSOFT, 2010)

(32)

18 Plan de Contingencia

“Determinadas amenazas a cualquiera de los activos del sistema de información pueden poner en peligro la continuidad de un negocio. El plan de contingencias es un instrumento de gestión que contiene las medidas que garanticen la continuidad del negocio protegiendo el sistema de información de los peligros que lo amenazan.” (AGUILERA LÓPEZ , 2012, pág. 23)

Una empresa, con plan de sucesión en curso o sin él, no puede depender de una persona que, como todas, está expuesta a un accidente, a una enfermedad que le imposibilite trabajar, a situaciones críticas que multiplican sus posibilidades a medida que se entra en edades de mayor riesgo.(DESONGLES CORRALES, PONCE CIFREDO, GARZÓN VILLAR, SAMPLO DE LA TORRE, & ROCHA FREIRE, 2013, pág. 348)

Se pudo comprender que las organizaciones sufren riesgos de todo tipo y que por muy buena que sea tampoco está segura de no sufrir algún incidente. Es así como nos damos cuenta de que es muy importante contar con un plan que nos guie a cerca de los procedimientos que debemos seguir en caso de tener inconvenientes.

Norma ISO 27001:2013

(33)

19

Las normas ISO son fundamentales para el buen funcionamiento de una organización ya que permitirá que la empresa pueda orientar, coordinar, simplificar los procesos informáticos de manera correcta y sin un error alguno. De acuerdo con la definición propuesta en esta norma, un SGSI es parte del sistema global de gestión, que sobre un punto de vista basado en los riesgos, se encarga de establecer, implementar, seguir, revisar y mejorar la seguridad de la información de una institución.

Objetivo de la norma ISO 27001:2013

“Asegurando que la política de seguridad de la información y los objetivos son establecidos y compatibles con la dirección estratégica de la organización; asegurando la integración de los requisitos del sistema de gestión de seguridad de la información la en los procesos dela organización; asegurando que los recursos necesarios para el sistema de gestión de seguridad de la información estén disponibles; comunicando la importancia de una efectiva gestión de seguridad...” (FRAYSSINET DELGADO, 2013)

El objetivo de la norma ISO 27001:2013 es analizar y gestionar los riesgos basados en los procesos. Resulta muy útil el análisis y la gestión de riesgos basados en los procesos que evalúa u controla a la organización en relación a los diferentes riesgos a los que se encuentre sometido el sistema de información de una organización.

Beneficio de la norma ISO 27001:2013

(34)

20

credibilidad y confianza entre todos los clientes de la organización... (FRAYSSINET DELGADO, 2013)

El beneficio es establecimiento de una metodología de gestión de la seguridad de la información clara y bien estructurada, permitiendo así la reducción de los riegos de pérdida, corrupción o robo de la información, los funcionarios tienen acceso a la información de manera segura, los riesgos deben ser controlados constantemente, para evitar mal proceso en el almacenamiento de la información.

Dominios de la ISO 27001:2013

La norma ISO 27001 ofrece a las organizaciones una guía para su implementación, ayudándolas a controlar y evaluar su exposición ante los posibles riesgos de la información a través del empleo de controles para paliarlos, y así, conseguir un sistema de información integrado, confidencial y disponible de los activos de la información.

Los objetivos contemplados en la norma ISO 27001 de los dominios de la información a valuar se muestran de forma resumida a continuación:

 El dominio de la Política de Seguridad para facilitar a las organizaciones, conforme a los requisitos legales e institucionales, la gestión de la seguridad en la información.

 El dominio en la Organización de la Seguridad de la Información a través de un marco relacionado que ayuda a la misma a implantar y controlar la seguridad de la información en la entidad.

 El dominio en la Gestión de Activos para la seguridad de los mismos en

(35)

21

 El dominio de la Seguridad física para la salvaguarda de la información y

las instalaciones de la entidad, por ejemplo: controles de llegada.

 El dominio de la Gestión de las comunicaciones y operaciones mediante la creación de una serie de procedimientos que garanticen la seguridad de la información.

 El dominio del Control de Llegada para asegurar los sistemas de información.

 El dominio en la consecución, desarrollo y sostenimiento de los sistemas

de información.

 El dominio en la Gestión de accidentes en la seguridad de la información mediante la mejora constante y progresiva de la gestión de seguridad.  El dominio de la Gestión de la Continuidad del Negocio con la finalidad de

asegurar el encadenamiento operativo del negocio.

 El dominio en el Cumplimiento de los requisitos legales aplicables.

La certificación del sistema de gestión de seguridad de la información contribuye a mejorar la competitividad en el mercado, diferenciando a las empresas que lo han conseguido y haciéndolos más fiables e incrementando su prestigio.

Plan Informático

“El plan informático debe definir claramente la estrategia tecnológica y lo recursos que son necesarios para desarrollarla. Cuando hablamos de recursos, nos referimos a todos: financieros, humanos, materiales, planta física, apoyo institucional, etcétera...” (EUNED, 2010, pág. 29)

(36)

22

Actualidad ecuatoriana del sector donde desarrolla el proyecto

El Ministerio de Telecomunicaciones y de la Sociedad de la información, a través de la publicación de un estudio de usabilidad y acceso a las Tecnologías de la Información y Comunicación (TIC), revela que en el Ecuador las microempresas, pequeñas y medianas empresas (MYPIMES) utilizan la red de Internet, ya sea para vender productos, servicios, realizar contactos mediante el correo electrónico o redes sociales. La proporción de empresas que utilizan Internet son: las microempresas alcanzan un 48,6%, las medianas empresas un 56,9% y las pequeñas empresas un 52,9%, dando un total general de 52,8%. Las personas que conforman las Mipymes, ubicadas en Quito, Guayaquil, Ambato, Cuenca, Machala, Manta, entre otras ciudades, creen que el uso de las TIC, como es uso del Internet, les ayudó a mejorar la gestión de la empresa, con un total del 95%. (MINTEL, 2013)

(37)

23 CAPITULO II

DISEÑO METODOLÓGICO Y DIAGNÓSTICO

Caracterización del sector

La comisión de Tránsito fue creada en la provincia del Guayas el 29 de Enero de 1948, la misma que mantenía el nombre de Comisión de Tránsito del Guayas “CTG”; para luego de 63 años con fecha el 17 de marzo del 2011, mediante la ley de Transporte Terrestre, Tránsito y Seguridad Vial; ser reemplazada por la Comisión del Tránsito del Ecuador “CTE”. Esta institución tiene como propósito el cumplir con los objetivos que la comunidad reclame, por ende se ha generado por parte de las autoridades de tránsito, actitudes e índices de trabajo, proyectos y normativas que están determinando un cambio fundamental en la Institución.

Misión Institucional

Dirigir y controlar la actividad operativa de los servicios de transporte terrestre, tránsito y seguridad vial, en la red vial estatal y sus troncales nacionales y demás circunscripciones territoriales que le fueren delegadas por los Gobiernos Autónomos Descentralizados, con sujeción a las regulaciones emanadas por la ANT, la investigación de accidentes de tránsito y la formación del Cuerpo de Vigilantes y de Agentes Civiles de Tránsito.

Visión Institucional

(38)

24 Valores Institucionales

 Responsabilidad: Cumplir con el deber.

 Excelencia: Rendimiento sobresaliente y liderazgo de gestión.

 Eficiencia: Lograr la máxima productividad con los recursos que se disponen.

 Innovación: Aplicar la tecnología de punta en los procesos.

 Transparencia: Mantener a disposición de la ciudadanía todos los actos

inherentes a la gestión.

Organigrama laboral de la Comisión de Tránsito del Ecuador UCT2 del cantón Santo Domingo

Figura 2 Organigrama CTE Santo Domingo

(39)

25 Paradigma y tipo de investigación

Paradigma de la investigación

La metodología o modalidad que se emplea en el presente trabajo de investigación tiene dos enfoques, Cualitativo y Cuantitativo, esto es debido a que la investigación se encuentra basada en principios teóricos y en la relación entre variables cuantificadas.

La modalidad Cualitativa es aplicada mediante el desarrollo de los principios hipotéticos, actividades, medios, materiales y registros narrativos de los fenómenos que son estudiados mediante técnicas como la observación, en el estudio de la situación actual de la Comisión de Tránsito del Ecuador UCT2 del cantón Santo Domingo.

La modalidad Cuantitativa se utilizó mediante la recopilación, análisis e interpretación de los resultados y gráficos estadísticos, mediante técnicas como la encuesta, para de esta manera lograr establecer con precisión los patrones de comportamiento en la población a investigar.

Tipos de investigación

Investigación Bibliográfica

(40)

26 Investigación de campo

Este tipo de investigación fue utilizada para diagnosticar y ratificar como se está llevando actualmente la gestión de la seguridad informática y los problemas que se presentan en base a la seguridad de la información, procesos informáticos y recursos tecnológicos de la Comisión de Tránsito del Ecuador UCT2 del cantón Santo Domingo.

Procedimiento para la búsqueda y procesamiento de datos

Población y muestra

Para el desarrollo del presente proyecto de investigación se analiza una población, la cual estará determinada por los funcionarios de la Comisión de Tránsito del Ecuador UCT2 del cantón Santo Domingo, tal como se detalla en el siguiente cuadro:

Tabla 1 Población y muestra

PERSONAL EMPRESARIAL TOTAL

Personal Operativo 66

Personal Administrativo 26

Total 92

Fuente: Guillin, A. (2018). Investigación de campo realizada por el autor. Tabla donde consta el personal que labora en la institución. Santo Domingo, Ecuador.

(41)

27 Plan de recolección de la información

Métodos

Método Inductivo-Deductivo

Este método es aplicado en el presente trabajo con la finalidad de pasar del fundamento teórico a lo práctico y así entender de mejor manera los procesos que sustentarán la solución de la problemática en la Comisión de Tránsito del Ecuador del cantón Santo Domingo.

Método Hipotético-Deductivo

Este método se empleó para crear una posible solución en la investigación realizada en la Comisión de Transito del Ecuador, con alternativas lógicas para los diferentes problemas planteados en la institución, tales como la falta de seguridad de la información y recursos tecnológicos; lo que permite deducir conclusiones que deberán confrontarse con los hechos reales.

Técnicas e instrumentos

En el presente proyecto de investigación se utilizó la técnica de la observación para determinar los hechos que se suscitan en la institución referente a la seguridad de la información, procesos informáticos y recursos tecnológicos; además se utilizó la técnica de la encuesta con la finalidad de requerir información a un grupo socialmente significativo de personas acerca del problema en estudio para luego, mediante un análisis de tipo cualitativo, sacar las conclusiones que se corresponda con los datos.

(42)

28

Tabla 2 Técnicas e instrumentos

Fuente: Guillin, A. (2018). Tabla donde constan las técnicas e instrumentos utilizados en la investigación. Santo Domingo, Ecuador.

Resultados del diagnóstico de la situación actual

Encuesta realizada al personal de la Comisión de Tránsito del Ecuador UCT2 del cantón Santo Domingo.

1. ¿Según su criterio, existen en la institución procedimientos a seguir en caso de ocurrir algún problema con su computador, recursos o servicios informáticos que necesita para laborar?

Tabla 3 Procedimientos a seguir en caso de ocurrir algún problema

PARÁMETRO FRECUENCIA TOTAL

SI 92 100%

NO 0 0%

Total 92 100%

Fuente: Guillin, A. (2018).Tabla donde consta la interpretación de resultados de la encuesta planteada a los funcionarios de la CTE del cantón Santo Domingo. Santo Domingo, Ecuador.

Figura 3 Procedimientos a seguir en caso de ocurrir algún problema

Fuente: Guillin, A. (2018). Gráfico de Interpretación de resultados. Santo Domingo, Ecuador. 100%

0%

SI NO

Técnicas Instrumentos

Observaciones Fichas de Observación, Fotografías, notas.

(43)

29

Interpretación: Como resultado todos los encuestados dieron a conocer que no existen procedimientos a seguir en caso de ocurrir algún problema con los servicios o recursos informáticos que necesita para laborar.

2. ¿Existe en la Comisión de Tránsito del Ecuador de Santo Domingo alguna política o normativa que indique en qué periodo o lapso de tiempo debe respaldar la información de su equipo de cómputo?

Tabla 4 Políticas o normativas para respaldo de información

SI 25 27%

NO 67 73%

Total 92 100%

Figura 4 Políticas o normativas para respaldo de información

Fuente: Guillin, A. (2018). Gráfico de Interpretación de resultados. Santo Domingo, Ecuador.

Interpretación: El setenta y tres por ciento de los encuestados responden que no existe ninguna política o normativa que indique el periodo de tiempo para el respaldo de la información institucional.

3. ¿Ha entregado a otra persona dentro o fuera de la institución contraseñas de alguno de los servicios que usted utiliza (equipo, software, correo electrónico)?

27%

73%

(44)

30

Tabla 5 Divulgación de contraseñas dentro o fuera de la institución

SI 65 29%

NO 27 71%

Total 92 100%

Figura 5 Divulgación de contraseñas dentro o fuera de la institución

Interpretación: Más de la mitad de los encuestados, es decir l setenta y un porciento de los encuestados respondieron que si han facilitado sus contraseñas a otra persona fuera de la instrucción.

4. ¿La Empresa cuenta con algún manual que contenga normas y/o políticas de seguridad dirigidas al personal?

Tabla 6 Normas o políticas de seguridad dirigidas al personal

SI 0 0%

NO 92 100%

Total 92 100%

71% 29%

(45)

31

Figura 6 Normas o políticas de seguridad dirigidas al personal

Interpretación: En relación a la pregunta anterior la mayoría de los encuestados manifiestan que no existe ningún manual que contenga normas o políticas de seguridad dirigidas al personal de la CTE del cantón Santo Domingo.

5. ¿Existe algún procedimiento establecido por parte del encargado de tecnología para crear, cambiar o recuperar la contraseña del computador o sistemas informáticos que usted utiliza para el cumplimiento de sus labores?

Tabla 7 Procedimiento para crear, cambiar o recuperar contraseñas

SI 29 32%

NO 63 68%

Total 92 100%

Figura 7 Procedimiento para crear, cambiar o recuperar contraseñas

0%

100%

SI NO

32%

68%

(46)

32

Interpretación: El sesenta y ocho por ciento de las personas encuestadas indican que el departamento de tecnología de la CTE no cuenta con algún procedimiento para recuperar, cambiar o crear contraseñas de un ordenador.

6. ¿Se controla quien y cuando se utiliza dispositivos de almacenamiento en su computador por ejemplo USB, discos externos o celulares?

Tabla 8 Control de dispositivos de almacenamiento

SI 0 0%

NO 92 100%

Total 92 100%

Figura 8 Control de dispositivos de almacenamiento

Interpretación: El cien por ciento los encuestados respondieron que en la institución no se controla el uso de dispositivos de almacenamiento.

7. ¿La institución cuenta con algún plan de contingencia?

0%

100%

(47)

33

Tabla 9 Adopción de un plan de contingencia

SI 0 0%

NO 92 92%

Total 92 100%

Figura 9 Adopción de un plan de contingencia

Interpretación: El total de los encuestados respondieron que no existe ningún plan de contingencia en la institución del cual tienen conocimiento.

8. ¿Ha surgido algún tipo de suspensión en los servicios que usted necesita para realizar su trabajo diario en la oficina?

Tabla 10 Suspensión en los servicios de la CTE

SI 54 41%

NO 38 59%

Total 92 100%

0%

100%

(48)

34

Figura 10 Suspensión en los servicios de la CTE

Interpretación: Los resultados dan a conocer que la mayoría de los usuarios han tenido algún tipo de problema con la suspensión de los servicios que necesitan para realizar su trabajo diario en la oficina de la CTE.

9. ¿Considera usted que los equipos informáticos se encuentran ubicados y distribuidos con las precauciones y seguridades necesarias para precautelar su integridad?

Tabla 11 Ubicación y distribución de los equipos informáticos

SI 16 17%

NO 76 83%

Total 92 100%

Figura 11 Ubicación y distribución de los equipos informáticos

59% 41%

SI NO

17%

83%

(49)

35

Interpretación: El ochenta y tres por ciento de los encuestados no creen que su oficina o lugar de trabajo esta adecuado para resguardar la seguridad de los equipos informáticos que en ella se encuentran.

10. ¿Considera usted que un plan informático mejoraría la seguridad de la información, procesos informáticos y recursos tecnológicos en la Comisión de Tránsito del Ecuador UCT2 del cantón Santo Domingo?

Tabla 12 Implementación de un Plan Informático

SI 92 100%

NO 0 0%

Total 92 100%

Figura 12 Implementación de un Plan Informático

Interpretación: El 100% de encuestados consideran que un plan informático mejoraría la seguridad de información Infraestructura y recursos tecnológicos de la institución

100% 0%

(50)

36

CAPITULO III

Nombre de la Propuesta

Plan informático 2018 – 2022, basado en las normas ISO/IEC 27001:2013 para mejorar la seguridad de la información, procesos informáticos y recursos tecnológicos en la Comisión De Tránsito Del Ecuador UCT2 del cantón Santo Domingo.

Objetivos de la propuesta

Objetivo general

Diseñar un Plan Informático 2018 – 2022 basado en las normas ISO/IEC 27001:2013, para mejorar la seguridad de la información, procesos informáticos y recursos tecnológicos en la Comisión de Tránsito del Ecuador UCT2 del Cantón de Santo Domingo.

Objetivos específicos

a) Realizar el levantamiento de un inventario tecnológico para determinar el diagnóstico inicial y situación actual de los recursos y equipos tecnológicos que posee la institución.

b) Elaborar un manual de políticas de seguridad informáticas para concientizar a los funcionarios referentes al uso y cumplimiento de normativas de precaución tecnológicas.

(51)

37

d) Elaborar un manual de procesos y procedimientos informático para determinar las funciones y responsabilidades referentes a los servicios de tecnología.

Elementos que la conforman

El presente proyecto de investigación espera reducir los riesgos operativos que mantiene la Comisión de Tránsito del Ecuador UCT2 del Cantón de Santo Domingo con respecto a la seguridad de la información, procesos informáticos y recursos tecnológicos. Además la solución del mismo se basará en la descripción puntual de los problemas críticos, así como el desarrollo y diseño de las estrategias del plan informático.

Modelo a utilizar

La solución está basada en la norma ISO/IEC 27001:2013 que es un estándar para la seguridad de la información basada en la gestión de riesgos cuyo objetivo principal es la mejora continua, por ende adopta el modelo de gestión de seguridad conocido como el ciclo de Deming (Planificar, Hacer, Verificar y Actuar). Dicho modelo fue creado por Edwards Deming y es el que mejor se adapta a la solución que se busca en desarrollo de la propuesta ya que inspira confianza a la hora de mantener la confidencialidad, integridad y disponibilidad de la información en la Comisión de Tránsito del Ecuador.

Figura 13 Ciclo de Deming

Fuente: Guillin, A. (2018). Modelo a utilizar en la investigación. Santo Domingo, Ecuador. • Comprobación

y operación del SGSIT • Manteniminto

y mejora del SGSI

• Implantación y operación del SGSI • Definición y

Establecimient o del SGSI

PLANIFICAR HACER

(52)

38

Planificar: En esta fase se deben establecer las políticas, procesos y procedimientos referentes a la gestión del riesgo y optimizar la seguridad de la información, para brindar resultados de acuerdo con las políticas y objetivos generales de la Comisión de Tránsito del Ecuador.

Hacer: Esta fase se debe Implementar y gestionar de acuerdo a los controles, procesos y procedimientos diseñados. Además se deben definir las métricas e indicadores que se utilizarán para evaluar la eficacia de los diferentes controles.

Verificar: En esta fase se debe medir y revisar los procesos del SGSI y comprobar que las medidas adoptadas han surtido efecto, para ello se recopilará datos y revisará el comportamiento del proceso diseñado como solución en la Comisión de Tránsito del Ecuador.

Actuar: En esta fase se Adoptarán las acciones correctivas y preventivas basadas en auditorías y revisiones internas con el objetivo de mejorar el SGSI. En caso de presentarse un mal funcionamiento, se deberá repetir el ciclo nuevamente, caso contrario se instalarán las modificaciones en el sistema de manera definitiva.

El modelo que se propone se basa en un análisis que se realizó la Comisión de tránsito del Ecuador, por ende las etapas que comprenden el Plan Informático basadas en el modelo planteado son las siguientes:

Figura 14 Etapas del plan informático

Fuente: Guillin, A. (2018).Etapas del Plan Informático. Santo Domingo, Ecuador. • El objetivo de esta etapa

es determinar la estrategia de estudio, objetivos y alcances del Plan Informático.

Planeación

• El objetivo de esta etapa es analizar el estado actual de los procesos y recursos tecnologicos basándose en una revisión preliminar para conocer el punto de partida.

Diagnostico Inicial

• En esta etapa se analiza la información obtenida en la etapa anterior con el fin de poder identificar el estado inicial de los procesos de la instiución.

Analisis de Resultados

• En esta etapa se debe elaborar la documentación de la propuesta teniendo en cuenta la información y resultados obtenidos en los procesos anteriores

(53)

39

Controles que componen el Plan informático basado en la norma ISO/IEC 27001:2013

Figura 15 Controles ISO/IEC 27001:2013

Fuente: Guillin, A. (2018).Etapas del Plan Informático. Santo Domingo, Ecuador.

La norma ISO 27001 generalmente se centra en la protección de la información de los servicios y conlleva 14 controles para su gestión. Por ende el presente Plan Informático en la elaboración de sus procesos tomará como referencia los siguientes controles:

Control de Política de seguridad

Documento en el cual se estipulan las políticas con respecto a la seguridad de la información de la Comisión de Transito del Ecuador UCT2.

 Objetivo: Ofrecer apoyo y orientación a la CTE con respecto a la seguridad de la información, de acuerdo con los requerimientos de la institución, reglamentos y leyes pertinentes.

(54)

40 Control de Organización de la información

Procedimientos y controles que le permiten gestionar la seguridad de la información dentro de la organización, asignar responsabilidades, gestionar la seguridad de todos los dispositivos y recursos tecnológicos de una institución.

 Objetivo: Gestionar la seguridad de los datos y sobre todo de la información dentro de la institución.

 Control: Definir las responsabilidades en cuanto a seguridad de la información e identificar y revisar con regularidad los acuerdos de confidencialidad.

Control de Gestión de incidentes de seguridad

Procedimientos y controles que buscan que los incidentes de seguridad de la información y las vulnerabilidades asociadas con los sistemas de información, sean comunicadas de tal manera que se tome una acción correctiva adecuada y en el momento indicado.

 Objetivo: Asegurar que los eventos y las debilidades de la seguridad de

(55)

41

Aplicación práctica parcial o total de la propuesta

Planeación

Alcance del plan informático

El plan Informático comprende el departamento de Tecnología y todos los equipos y recursos tecnológicos que se encuentren inmersos a él dentro de la Comisión de Transito del Ecuador UCT2 del cantón Santo Domingo.

Límites del plan informático

El plan informático incluye un manual de políticas de seguridad para establecer normativas de uso de los equipos y recursos tecnológicos, un manual de procesos y procedimientos para el departamento de Tecnología y un plan de contingencia que establezca acciones ejecutar en caso de suscitarse algún evento adverso que interrumpa los servicios normales que brinda la institución.

El objetivo principal del presente plan es dejar documentado los procesos y normativas que debe considerar el departamento de tecnología para mejorar el servicio tecnológico en la institución, es importante mencionar que dicho plan se lo desarrolla con la propuesta de que el mejoramiento se lo pueda realizar en el periodo comprendido entre los años 2018 – 2022, de esta manera la CTE podrá considerar los presupuestos para al aplicación priorizando las necesidades mas relevantes.

Diagnóstico inicial

(56)

42

otorgación de permisos y determinar ciertas características de la institución para el desarrollo del presente proyecto.

A continuación se detalla algunos aspectos analizados como situación actual de la institución:

 No existen políticas de seguridad las cuales estén disponibles para

conocimiento del personal administrativo que labora en la Comisión de Tránsito del Ecuador, ocasionando así pérdida de información y mal uso de los recursos informáticos.

 Los recursos informáticos que están ubicados en los diferentes departamentos que conforman la institución no se encuentran distribuidos de forma estética, es decir los cables de conexión de los equipos y redes se encuentran expuestos; además el personal encargado de manejar dichos recursos no hace buen uso de los mismos.

 El departamento de tecnología no cuenta con un área específica y adecuada para poder brindar un buen servicio a los usuarios de la institución, es decir no posee un espacio determinado para poder realizar cualquier tipo de mantenimiento a los equipos informáticos.

 No se han establecido ninguna norma para el cuidado de los recursos y equipos informáticos de la institución, lo cual demuestra indicios de daños o problemas en los mismos.

 La Comisión de Tránsito del Ecuador posee equipos electrónicos en el