UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES
UNIANDES - BABAHOYO
FACULTAD SISTEMAS MERCANTILES
CARRERA SISTEMAS
PROYECTO DE INVESTIGACIÓN PREVIO A LA OBTENCIÓN DEL TÍTULO DE
INGENIERA EN SISTEMAS E INFORMÁTICA.
TEMA:
PLAN DE SEGURIDAD INFORMÁTICA EN REDES Y LA GESTIÓN OPERATIVA
DE LA COOPERATIVA DE AHORRO Y CRÉDITO
“SAN ANTONIO”.
AUTOR:
TATIANA YADIRA MOREIRA ASPIAZU.
TUTOR:
MGTR. OCHOA ESCOBAR LAURA MARLENE
Ambato – Ecuador
2019
APROBACION DEL TUTOR DEL TRABAJO DE TITULACION
CERTIFICACION
Quien suscribe, legalmente CERTIFICO QUE: El presente Proyecto de
Investigación desarrollado por la señorita TATIANA YADIRA MOREIRA ASPIAZU,
estudiante de la Carrera de Sistemas, Facultad de Sistemas Mercantiles, titulado
PLAN DE SEGURIDAD INFORMÁTICA EN REDES Y LA GESTIÓN OPERATIVA DE LA
COOPERATIVA DE AHORRO Y CRÉDITO “SAN ANTONIO”, ha sido revisado y
cumple con todos los requisitos establecidos en la normativa pertinente de la
Universidad Autónoma Regional de Los Andes UNIANDES, por lo que se aprueba
su presentación.
Babahoyo, Febrero del 2019
MGTR. OCHOA ESCOBAR LAURA MARLENE
TUTORA
DECLARACION DE AUTENTICIDAD
Yo, TATIANA YADIRA MOREIRA ASPIAZU estudiante de la carrera de Sistemas,
Facultad de Sistemas Mercantiles, declaro que todos los resultados obtenidos en
el presente trabajo de investigación, previo a la obtención del título de
INGENIERA EN SISTEMAS E INFORMÁTICA son absolutamente originales,
auténticos y personales; a excepción de las citas, por lo que son de mi exclusiva
responsabilidad.
Babahoyo, Febrero del 2019
TATIANA YADIRA MOREIRA ASPIAZU
AUTORA
CI: 1204451106
CERTIFICACIÓN DEL LECTOR DEL TRABAJO DE TITULACIÓN
Yo, Lcdo. Fredy Jordan Cordones, MIE. En calidad de lector del Proyecto de Titulación. CERTIFICO: Que el presente trabajo, de titulación realizado por la estudiante Tatiana Yadira Moreira Aspiazu sobre el tema: “PLAN DE SEGURIDAD INFORMATICA EN REDES Y LA GESTION OPERATIVA DE LA COOPERATIVA DE AHORRO Y CREDITO “SAN ANTONIO”, ha sido cuidadosamente revisado por la suscrita, por lo que he podido constatar que cumple con todos los requisitos de fondo y forma establecidos por la Universidad Regional Autónoma de Los Andes, para esta clase de trabajos, por lo que autorizo su presentación.
Babahoyo, Febrero del 2019
LCDO. FREDY JORDAN CORDONES.MIC LECTOR
DERECHO DE AUTOR
Yo, MOREIRA ASPIAZU TATIANA YADIRA, declaro que conozco y acepto la disposición constante en el literal d) del Art. 85 del Estatuto de la Universidad Regional Autónoma de Los Andes, que en su parte pertinente textualmente dice: El patrimonio de la UNIANDES, está constituido por: La propiedad intelectual sobre las investigaciones, trabajos científicos o técnicos, proyectos profesionales y consultoría que se realicen en la Universidad o por cuenta de ella;
Babahoyo, Febrero del 2019
MOREIRA ASPIAZU TATIANA YADIRA
C.I. 1204451106
AUTORA
DEDICATORIA
El presente trabajo de investigación está dedicado especialmente a Dios, ya que gracias a él y sus bendiciones he logrado culminar con mi carrera. A mis Padres, por su amor puro y sincero, por el sacrificio diario para que nada me falte ya que son el pilar fundamental en mi formación profesional, me han dado todo lo que soy como persona, mis valores, mis principios, mi perseverancia y mi empeño, todo ello para ser de mí una mujer profesional. A mis hermanos Darío, Danilo, Oscar por ser mis ejemplos a seguir, por motivarme a ser mejor cada día a seguir adelante y ser una profesional. A mi amado hijo Carlitos Moisés, por ser mi fuente de motivación e inspiración para poder superarme cada día más y así poder luchar para que la vida nos depare una vida mejor.
Tatiana Yadira Moreira Aspiazu
AGRADECIMIENTO
Primeramente agradezco a la Universidad UNIANDES por haberme aceptado ser parte de ella y abierto las puertas de su seno científico para poder estudiar mi carrera, así también a los diferentes docentes que me brindaron sus conocimientos y su apoyo para seguir adelante día a día. Agradezco también a mi asesor de tesis la MSc. Laura Ochoa por haberme brindado la oportunidad de recurrir a su capacidad y conocimiento científico, y darme la guía necesaria en este proceso de trabajo de investigación. Y para finalizar, también agradezco a todos los que fueron mis compañeros de clase durante todos los niveles de UNIVERSIDAD ya que gracias al compañerismo, amistad y apoyo han aportado un gran porcentaje a mis ganas de seguir adelante en mi carrera profesional.
Tatiana Yadira Moreira Aspiazu
RESUMEN EJECUTIVO
El presente trabajo de investigación tiene por objetivo examinar las debilidades de
los diferentes procesos que se llevan a cabo en el interior de la Cooperativa de
Ahorro y Crédito San Antonio Ltda. apoyados por la tecnología informática.
Para el desarrollo de la investigación se empleó el paradigma cuantitativa y
cualitativa. El método Bibliográfico permitió recopilar la información existente en
diferentes fuentes con ello se desarrolla el marco teórico donde se fundamentaron
científicamente las variables dependiente e independiente de trabajo de
investigación. El método de campo permitió llevar a cabo levantamiento de
información en el sitio donde se manifiestan los síntomas de la problemática,
como es la Cooperativa de Ahorro y Crédito “San Antonio Lta”. Y finalmente el
método aplicado permitió fusionar el aspecto teórico con lo práctico del trabajo de
grado.
Como resultado del presente Proyecto de Investigación se obtuvo un Plan de
Seguridad Informática en Redes que permitirá mejorar la gestión operativa de la
Cooperativa, el mismo que fue validado por peritos en el área de la seguridad
informática.
Este trabajo investigativo aportará de manera significativa al crecimiento de esta
entidad pública.
ABSTRACT
The objective of this investigation is to examine the weaknesses of the different processes
that are carried out within the Cooperativa de Ahorro y Crédito San Antonio supported by
computer technology.
For the development of the research, the quantitative and qualitative paradigms were used,
the bibliographic method allowed the collection of existing information from different
sources, thereby developing the theoretical framework where the dependent and
independent variables of the research were scientifically based. The field method allowed
to carry out a field investigation in the place where the problem was manifested, the
Cooperativa de Ahorro y Crédito "San Antonio". And finally, the Applied method allowed
to merge in the investigation the theoretical aspect with the practice.
As a result of this investigation, a networks computer security plan was created, which will
improve the operational management of the Cooperative. This plan was validated by
experts in the area of computer security.
This research will contribute significantly to the growth of this public entity.
INDICE GENERAL
CARATULA
APROBACION DEL TITULO DEL TRABAJO DE INVESTIGACION
DECLARACIÓN DE AUTENTICIDAD
CERTIFICACION DEL LECTOR DEL TRABAJO DE TITULACION DERECHOS DE AUTOR DEDICATORIA
AGRADECIMIENTO
RESUMEN EJECUTIVO
ABSTRACT
INTRODUCCIÓN
Actualidad e Importancia ................................................................................. 1
Descripción de la actualidad nacional e internacional sobre el proyecto ......... 3
Importancia del tema a desarrollar para el desarrollo socioeconomico………………..4
Situación Problémica ....................................................................................... 4
Problema Científico………………………………………………………………….5 Identificación de la Línea de Investigación …………………………….…………6 Objetivo General. ............................................................................................. 6
Objetivos Específicos:...................................................................................... 6
CAPITULO I
FUNDAMENTACIÓN TEÓRICA ...................................................................... 7
Antecedentes de la Investigación……………………………………………...…..7
Conceptos referentes a la Informática. ............................................................ 8
Sistemas de Información ................................................................................. 9
Sistemas de Gestión de la Información ..........................................................10
Sistemas de Gestión de seguridad de la Información .....................................11
Plan de Seguridad Informático ........................................................................12
Políticas de segurirdad informática de los usuarios ........................................13
Amenazas Informáticas ..................................................................................14
Virus Informaticos ...........................................................................................15
Hackers ...........................................................................................................15
Phishing ..........................................................................................................16
Administración de servicios y procesos tecnologícos .....................................17
Criterios de Evaluación de Riesgo ..................................................................18
Procesos para Ejecutar un plan de Seguridad Informática. ............................19
Aportes en el análisis de las teórias y de los trabajos desarrollados ..............21
Actualidad Ecuatoriana del sector donde se desarrolla el proyecto ................22
CAPITULO II
DISEÑO METODOLOGÍCO Y DIAGNOSTICO ..............................................24
Paradigma y tipo de Investigación ..................................................................24
Procedimiento para la busqueda y procesamiento de dato ............................25
Resultados del Diagnóstico de la situación Actual ..........................................25
Entrevista al Gerente y personal Administrativos de la Cooperativa ..............26
Resumen de las principales insuficiencias detectadas en la investigación . ...36
CAPITULO III
PROPUESTA DE SOLUCIÓN AL PROBLEMA. .............................................37
Nombre de la Propuesta .................................................................................37
Objetivo General .............................................................................................37
Objetivos Especificos ......................................................................................37
Diagnostico de la situación actual ...................................................................37
Administración de los Riesgos de la Tecnología de la Información ................39
Características de los Recursos Tecnológicos ...............................................49
Cableado Estructurado ...................................................................................55
Cableado Horizontal .......................................................................................55
Matriz de Riesgo según cada Elemento. ........................................................55
Matriz de Uso y Estrategia Tecnológica..........................................................57
CONCLUSIONES Y RECOMENDACIONES
Conclusiones. .................................................................................................64
Recomendaciones. .........................................................................................65
BIBLIOGRAFÍA
ANEXO 1
ANEXO 2
ÍNDICE DE TABLAS.
Tabla 1. Plan de Seguridad Informático……………………………………….. 21
Tabla 2. Población de la Cooperativa de Ahorro y Crédito “San Antonio”…. 25
Tabla 3. Muestra para la Investigación……………………………………….. 25
Tabla 4. Resultados encuesta pregunta 1 …………...……………………….. 26
Tabla 5. Resultados encuesta pregunta 2 …………...……………………….. 27
Tabla 6. Resultados encuesta pregunta 3 …………...……………………….. 28
Tabla 7. Resultados encuesta pregunta 4 …………...……………………….. 29
Tabla 8. Resultados encuesta pregunta 5 …………...……………………….. 30
Tabla 9. Resultados encuesta pregunta 6 …………...……………………….. 31
Tabla 10. Resultados encuesta pregunta 7………........………………………. 32
Tabla 11. Resultados encuesta pregunta 8………........………………………. 33
Tabla 12. Resultados encuesta pregunta 9………........………………………. 34
Tabla 13. Resultados encuesta pregunta 10………......………………………. 35
Tabla 14. Nivel de Importancia por componentes…......………………………. 55
Tabla 15. Elementos vs Riesgo…………………….........………………………. 56
ÍNDICE DE GRÁFICOS.
Figura 1. Proceso de un Sistema de Gestión de Seguridad de la
Información.
12
Figura 2. Políticas de Seguridad Informática de los usuarios. 14
Figura 3. Administración de Servicios y Procesos Tecnológicos. 18
Figura 4. Proceso para ejecutar un plan de Seguridad Informático. 19
Figura 5. Gráfico estadístico Pregunta 1………………………………. 26
Figura 6. Gráfico estadístico Pregunta 2………………………………. 27
Figura 7. Gráfico estadístico Pregunta 3………………………………. 28
Figura 8. Gráfico estadístico Pregunta 4………………………………. 29
Figura 9. Gráfico estadístico Pregunta 5………………………………. 30
Figura 10. Gráfico estadístico Pregunta 6………………………………. 31
Figura 11. Gráfico estadístico Pregunta 7………….…………………… 32
Figura 12. Gráfico estadístico Pregunta 8…………..…………………... 33
Figura 13. Gráfico estadístico Pregunta 9…………..…………………... 34
Figura 14. Gráfico estadístico Pregunta 10……………………………... 35
Figura 15. Principales Insuficiencias Detectadas………………………. 36
Figura 16. Departamento TIC de Cooperativa Ahorro y Crédito……… 48
1
Introducción
Actualidad e importancia
El modelo económico social y solidario surge como un principio alternativo y
virtuoso, frente a la aparición de crisis del capitalismo mundial, basado en
patrones de consumo insostenibles en el tiempo. En la cooperativa de ahorro y
crédito “San Antonio” se han encontrado cada vez más falencias en los planes
estratégicos sobre su gestión operativa.
La acumulación desmesurada de riesgos y mala administración de servicios
tecnológicos se ha visto atentado con la población que conforman todo el instituto,
provocando perdida de información, gastos por los daños causados y se ha
atentado contra la sostenibilidad de la institución. Los más afectados son las
personas en situación de vulnerabilidad, es decir, las personas que laboran y
manejan la administración de todos los datos requeridos y necesarios de la
institución.
La visión de un sistema de gestión de plan de seguridad en redes nace a partir de
los efectos que se han generado como ejemplo en otras instituciones de un
modelo de plan de seguridad que ha privilegiado la generación de nuevas formas
y métodos a costa de las nuevas tecnologías y su entorno, equilibrando los gastos
generados para la implementación del mismo y el desarrollo de la institución.
La estabilidad de la correcta administración de servicios tecnológicos dependerá
en buena parte de la capacidad de prevenir y responder a las situaciones de
pérdida y a través de esa pérdida se producen gastos, provenientes
principalmente desde el interior de la institución, muy comunes en el entorno de la
ciberseguridad provocado por personas que encuentran sectores vulnerables el
instituto ya que no existe un plan de seguridad. Sin embargo, uno de los factores
para consolidar un crecimiento de desarrollo tecnológico y sostenible dependerá
de la generación de condiciones que permitan niveles óptimos de producción y
seguridad en el marco de la sostenibilidad externa e interna.
2
El modelo económico ecuatoriano establecido en la Constitución reconoce la
generación de oportunidades para los ciudadanos a través de la reducción de
brechas sociales y económicas, y la posibilidad de crecer en armonía con el
medio ambiente. Para la consecución exitosa de los objetivos de un plan de
seguridad propuesto, es necesaria la vinculación entre los sectores
administrativos de la institución, y en conjunto con los directivos para la
generación de oportunidades de crecimiento tecnológico en un marco de
sostenibilidad, eliminando la precariedad de daños causados por déficit en los
servicios y procesos tecnológicos y contando con bases sólidas para enfrentar
situaciones económicas adversas.
En el plan nacional del buen vivir en la Constitución se establece que las finanzas
públicas, en todos los niveles de gobierno, se conducirán de forma sostenible,
responsable y transparente y procurarán la estabilidad económica (Constitución
del Ecuador, art. 285). Además, manda que la política tributaria debe promover la
redistribución y estimular el empleo, la producción de bienes y servicios y
conductas ecológicas, sociales y económicas responsables.
En la cooperativa de ahorro y crédito “San Antonio” desea suministrar los medios
de servicios y procesos tecnológicos necesarios para que todo sea realizado y
ejecutado con eficiencia; se desean establecer niveles de seguridad informática
que garanticen la seguridad de la información; orientar y estar prevenido a los
ataques que se pueden dar en referente a datos pertinentes de la institución y
promover medios de seguridad que estimulen la eficiencia y la disminución de
pérdida de información.
El objetivo del plan nacional del buen vivir: Consolidar la sostenibilidad del
sistema económico social y solidario, y afianzar la dolarización tiene referencia
con el proyecto de investigación propuesto ya que se desea evitar la afectación
generalizada de gastos operacionales, no sólo para mantener seguridad a través
de normas y un plan de seguridad de servicios y procesos tecnológicos, sino
también para evitar la pérdida de información necesaria que es de vital
importancia en la Institución. Por medio de un sistema de gestión de seguridad se
desea generar confianza y mejorar el clima de los procesos.
3
Descripción de la actualidad internacional y nacional con respecto al
proyecto de investigación
Muchas organizaciones tienen dentro de sus objetivos mejorar de manera
continua sus servicios y procesos, para esto tratan de gestionar y medir cada
parámetro, lo que les permite poder determinar cuándo algún cambio puede
afectar la producción o los servicios que brindan. Esto mismo se debe hacer con
la seguridad de la información.
Uno de los asuntos más importantes para medir y analizar en la seguridad de la
información son los incidentes, es decir, los eventos no deseados que se detectan
en la red o en los servicios y que pueden poner en riesgo la disponibilidad, la
confidencialidad o la integridad de la información. Cada evento debe ser
registrado y calificado para así poder determinar cómo reaccionar ante cada
incidente.
Los incidentes de seguridad siempre van a existir sin importar los controles que
implementen las organizaciones. Pero a pesar de ello hay que tener claro cuáles
son los incidentes más comunes en la empresa, permite orientar las inversiones
en seguridad hacia las brechas que mayor impacto pueden generar en caso que
un incidente se materialice.
Todos los sistemas de gestión de seguridad en este caso para servicios y
procesos que normalmente se usan, priorizan la gestión de incidentes, con el
objeto de poder detectarlo en el menor tiempo posible y así poder actuar según la
criticidad del mismo en su mitigación y control.
Alguna de las otras ventajas que se obtiene al gestionar incidentes son las
evidencias, lo cual para casos de fraudes internos o externos dentro de la
institución permitiría entregar al área legal una prueba concreta y válida ante un
posible proceso administrativo interno o judicial, para lo cual es conveniente que
esta recopilación de evidencias se realice cumpliendo las normas legales para
esos procedimientos.
4
Importancia del tema a desarrollar para el desarrollo socioeconómico del
cantón y de la provincia
En la actualidad en la provincia de Los Ríos y en el cantón Babahoyo la mayor
cantidad de empresas, cuentan gracias a los avances tecnológicos y a la
disponibilidad de herramientas y recursos con un buen sistema de gestión que le
resulta viable y que le acompañe en su crecimiento, incentive mejorar los
procesos y servicios tecnológicos de cada compañía, resguardando la información
que es de vital importancia en organización.
En ese sentido, es totalmente necesario que toda empresa, opte por hacer uso de
la mayoría de las herramientas de gestión que le sirvan tanto en los procesos
diarios como para poder medir todas las variables relacionadas a su negocio. El
objetivo de los sistemas de gestión relacionados a la seguridad de la información
es lograr una planificación de las actividades en el mediano y largo plazo que le
redunden en beneficios operativos y económicos todos los datos que pertenecen
a la empresa.
Una de las principales ventajas que brindaría a las empresas del cantón
Babahoyo contar con un sistema de gestión de seguridad de los procesos y
servicios tecnológicos es que logra establecer un planeamiento estratégico de la
compañía, facilitando a sus directivos el enfoque en lo realmente importante, con
la seguridad garantizada del resto de los procesos, ya que se evita la sobrecarga
de trabajos y la dificultad para acceder a la información del negocio. Si bien la
primera etapa del proceso de implementación es ardua, el sistema generará, en
un mediano plazo, la posibilidad de organizar estratégicamente la información y
permitirá obtener mejores resultados administrativos.
Situación problémica.
El uso de las redes en las empresas es vital para el manejo de la información,
pues en los actuales momentos sin el uso de las mismas no podemos realizar
ningún proceso o mantener un negocio, inclusive las redes LAN han traspasado
sus límites y al integrarse al internet los procesos se vuelven más dinámicos, sin
5
embargo, los procedimientos de seguridad en muchas ocasiones no se toman en
cuentas por no existir políticas de seguridad.
En algunas de las visitas técnicas realizadas a la Institución, se han podido
apreciar algunas dificultades relacionadas con elevados niveles de riesgo
operativo debido a la carencia de políticas asociadas a la seguridad informática
necesaria en todas las operaciones de la Cooperativa que son apoyadas por la
tecnología informática, así tenemos:
La carencia de elementos de seguridad básica como redes perimetrales
(Dmz), firewall, routers en la Cooperativa, imposibilita las seguridades en esta
empresa.
Muchas redes inalámbricas no poseen clave de acceso, y las que tienen no
son cambiadas periódicamente.
La conectividad a Internet posibilita que se tengan accesos externos, los
cuales no han sido controlados adecuadamente, produciéndose incluso
perdidas de información por accesos indebidos, y por daños debido a virus y
más.
No se tiene una cultura de la seguridad local empezando por los usuarios,
muchos equipos no tienen sus claves de acceso, de igual forma los
protectores de pantalla, lo cual posibilita que, si por alguna razón un usuario
deja su computador, este puede ser mal utilizado.
No se tiene elementos de seguridad informática en Internet relacionados con
el control de ancho de banda y el impedimento de ingresar a determinados
sitios.
Todo lo descrito anteriormente lleva a concluir que la Institución posee niveles
muy bajos de seguridad informática, esto conlleva un elevado riesgo en la
operatividad institucional, ya que se maneja mucha información confidencial de
los clientes.
Problema Científico.
¿Cómo disminuir los elevados niveles de riesgo operativo que se producen en los
diferentes procesos apoyados por la tecnología informática, al interior de la
Cooperativa San Antonio?
6
Identificación de la línea de investigación.
Tecnologías de la Información y Comunicación.
Objetivo general.
Desarrollar un Plan de seguridad informática en redes para la Cooperativa de
ahorro y crédito San Antonio, el mismo que luego de ser aplicado producirá un
mejoramiento de la gestión operativa que realiza la empresa.
Objetivos específicos
Fundamentar bibliográficamente las seguridades informáticas
especialmente en redes y la gestión operativa.
Diagnosticar los niveles de seguridad informática existente en la
Cooperativa de ahorro y crédito San Antonio especialmente a nivel de
redes.
Desarrollar un plan de seguridad informática especializado en redes, el
cual constara de algunas estrategias como por ejemplo firewall lógicos,
físicos, redes perimetrales, servidores de direcciones seguras y más.
7
CAPÍTULO 1
FUNDAMENTACIÓN TEÓRICA
Antecedentes de la Investigación.
El auge de las Nuevas tecnologías de la información en todas las esferas da paso
al movimiento conocido como SOCIEDAD DE LA INFORMACIÓN. En esta toma
una vital importancia la Información que poseen las empresas surgiendo asi la
necesidad de sistemas de gestión de la seguridad de la información, que
garanticen que los conflictos de la seguridad de la información sean distinguidos,
asumidos, gestionados y minimizados por las empresas de una forma
documentada, sistemática, estructurada, repetible, eficiente y adaptada a los
cambios que se produzcan en los riesgos, el entorno y las tecnologías.
Se ha realizado una investigación preliminar en varios repositorios pertenecientes
a Universidades del país, en esta se han localizado algunos proyectos de
investigación relacionados con el aspecto de la seguridad informática, estos
trabajos serán tomados como antecedentes para el desarrollo de la presente
investigación:
El proyecto del señor Diego Paul Palma Rivera, (2010). “Implementación,
configuración de un servidor RADIUS para la administración y seguridad de
acceso al servicio Wireless en la Uniandes extensión Santo Domingo”.
El trabajo investigativo de los autores Marcel Eduardo León Lafebré, Evelyn
Anabell Mota Orrala (2011). “Implementación, de un sistema de gestión de
seguridad de la información usando la norma ISO 27002 sobre un sitio de
comercio electrónico para una nueva institución bancaria aplicando los dominios
de control ISO 27002:2005 y la utilización de la metodología MAGERIT”.
El proyecto de investigación del Magister Albiño Mendoza Miguel Antonio, (2016).
“Sistema de gestión y comercialización electrónica desarrollado en software libre
para la publicidad y ventas en la empresa EDU-LIQUID en la ciudad de Quevedo”,
8
en este trabajo el autor tiene como objetivo mejorar la gestión comercial de la
empresa mediante la utilización de las TIC.
Y el trabajo de grado del Magister Mejía Viteri, José, (2015). “Plan de seguridad
informática del departamento de Tecnologías de la Información y Comunicación
de la Universidad Técnica de Babahoyo para mejorar la gestión en la
confidencialidad e integridad de la información”.
Todos estos trabajos investigativos hacen énfasis en la importancia de la
seguridad informática hoy en día en las empresas para asegurar un control,
gestión y administración de la información confiable, segura y oportuna.
Actualidad del objeto de investigación, principales conceptos expuestos por
autores nacionales e internacionales
1.1. Conceptos referentes a la informática
La informática es una ciencia que permite estudiar el tratamiento automático de
toda la información que está en las computadoras, dispositivos electrónicos y
sistemas informáticos. La informática ayuda a establecer los métodos y técnicas
necesarios para guardar, procesar y transmitir información y datos de una manera
más eficiente. La informática estudia las computadoras, sus aplicaciones y más.
(Alegsa Leandro 2016).
La informática es aquella que estudiar programas lo que son capaces de realizar,
de la eficacia de las operaciones que se emplean, de cómo están organizados y
almacenados los datos y de cómo es la comunicación entre programas, humanos
y máquinas. La informática es esencial en procesos tecnológicos, en cada
suministración de los procesos informáticos a realizar en un tema planteado.
(Pérez Porto Julián 2008).
Un programa informático es un conjunto de herramientas, instrucciones y
comandos escritos en código para elaborar tareas específicas en una
computadora. Por ello, en cualquier equipo tecnológico se requiere de diversos
programas para que este siga ejecutándose en las instrucciones a través
9
procesador central. Con una dimensión ejecutable, el ordenador puede hacer uso
directamente de las instrucciones para compilar el programa. (Vialfa Carlos 2017).
Un sistema es un conjunto de elementos que se encuentran relacionados entre sí,
para lograr un fin en especial, puede ser el de resolver un problema requerido por
una empresa. Fuente: El autor.
1.2. Sistemas de información
Un sistema de información es cualquier sistema que utiliza equipos de
computación para la recopilación, adquisición, almacenamiento,
modificación y actualización de datos pertinentes en una compañía. Los
sistemas de información administran toda la información requerida en una
base de datos. Estos sistemas de información proveen los datos que
necesita una organización para realizar las tareas correspondientes. Los
sistemas de información son muy importantes dentro de los negocios de
una compañía, ya que son requeridos para dar el apoyo correcto en la
toma de decisiones por parte de los ejecutivos de una empresa. (González
Francisco 2012).
Según (Hernández Alejandro 2012, pág. 3), Un sistema de información es
aquel que proporciona información para el eficiente control de la totalidad
de las actividades de la empresa, logrando así comprobar el cumplimiento
de cada una de las metas establecidas por la empresa. Los sistemas de
información prácticamente abarcan a todos los departamentos de la
empresa y a la gestión en general de la organización. Un SI permite
interactuar con los diferentes agentes (ejecutivos) de la empresa,
brindando que estos hagan uso del sistema de información para satisfacer
sus necesidades de una manera eficaz.
Un sistema de información es un conjunto de herramientas que logran interacción
entre sí con un fin en especial; estos sistemas permiten que la información esté
accesible para satisfacer cada una de las necesidades en una empresa, un
sistema de información no siempre se requiere contar con un recurso de computo,
10
aunque estos sistemas disponen del mismo, facilitando el manejo e interpretación
de toda la información por los usuarios. (Calzada Roosevelt 2013).
1.3. Sistemas de gestión de información
El autor (Palmero Raúl 2010) manifiesta que los sistemas de información,
son parte principal de la infraestructura para la eficiente gestión
empresarial, administran la información e impulsan la generación de
nuevos conocimientos para la búsqueda de soluciones a los diferentes
problemas que enfrentan la mayoría de las empresas. La gestión de la
información es un proceso que brinda la oportunidad de administrar y
gestionar todos los recursos requeridos para la toma de decisiones, así
como para restablecer los procesos, productos y servicios de la compañía,
estos sistemas son de vital importancia en las empresas actuales.
Un sistema de gestión de la información es necesario en una empresa, ya
que permite recopilar toda la información necesaria realizando procesos
como almacenamiento, recopilación, modificación, actualización de todos
los datos importantes en una organización. Los sistemas de gestión de
información son esenciales en la toma de decisiones porque a raíz de
muchos datos tomados se ven las necesidades que la compañía tiene,
estos sistemas por lo general son utilizados en la mayoría de las empresas
a nivel mundial. Los sistemas de gestión de información utilizan motores
de base de datos o gestores de base de datos, que son almacenamientos
para guardar grandes cantidades de información, estos gestores de base
de datos utilizan herramientas importantes. Fuente: El autor.
El propósito más importante de un sistema de gestión de la información es
lograr que cada una de la toma de decisiones en base de los gerentes sea
más ágil, rápida, eficiente y productiva. A través de la combinación de la
información de diferentes fuentes en una sola base de datos y muestra de
toda la información de una manera lógica, un MIS puede brindar la
oportunidad a los administradores con todo lo que requieren para tomar
excelentes decisiones altamente informadas y así llegar a realizar un claro
análisis en profundidad de las cuestiones operativas. (Ingram David 2017).
11
1.4. Sistemas de gestión de seguridad de la información
Un sistema de gestión de seguridad de la información ayuda a tomar una decisión
estratégica de negocio, de acuerdo a que se ve influenciada la empresa a raíz de
las necesidades, objetivos, requisitos de seguridad y los procesos de la
compañía. Los sistemas de gestión de seguridad de la información ayudan a
incrementar la seguridad de la información mediante el mantenimiento de la
integridad, disponibilidad y confidencialidad de la información. (Manzano Karen
2014).
Un sistema de gestión de la seguridad de la información consiste en el
resguarda miento de su confidencialidad, integridad y disponibilidad, así en
conjunto con cada uno de los sistemas implicados en su tratamiento, dentro
de una organización. La gestión de la seguridad de la información debe
realizarse a través de procesos sistemáticos, documentados y que sean
conocidos por toda la empresa. Para dar confianza a una compañía de que
la seguridad de la información es suministrada correctamente, se tiene que
realizar informes que sean conocidos por todos los que conforman la
organización, desde un enfoque de riesgo empresarial. Los sistemas de
gestión de seguridad de la información ayudan a establecer estas diversas
políticas y procedimientos para lograr los objetivos de negocio de la
empresa, con el propósito de mantener un bajo al nivel de los riesgos que
la organización ha admitido tener. (Normas ISO 27001, 2016).
En las (Normas ISO 27001, 2016) se declara que la única forma de
manejar todas las medidas de seguridad correspondientes es implementar
los procesos de seguridad y dar las respuestas debidamente claras. Todos
esos enfoques se encuentran basados en los procesos dentro de los
estándares de gestión. Si se tomara la norma ISO 9001 como una norma
muy parecida, el propósito seria el siguiente: no se puede esperar de parte
de una empresa que para producir problemas de alta gama sólo es
completamente necesaria la realización de un excelente control de la
calidad de los sistemas implementados para mantener la seguridad de la
información, lo necesario es diseñar nuevos procesos de producción que
enfaticen desde normas para la calidad, a la contribución de la formación
12
de todos los empleados, para así hacerle frente a la eficiencia de los
productos que son conformes.
1.4.1. Proceso de un sistema de gestión de seguridad de la información
Figura 1
Fuente: El autor
1.5. Plan de seguridad informático
Un Plan de Seguridad Informática permite la agrupación de documentos
fundamentales e importantes para el control y la seguridad a cualquier
problema o déficit que amenace contra las tecnologías informáticas de
alguna institución, empresa u organización. Los planes de seguridad
informática toman medidas que son establecidas para proteger y
resguardar ya sea la información, procesos, activos de una empresa. Estos
planes permiten realizar un monitoreo constante de todas las operaciones
que se llevan a cabo, los ejecutores y vigilantes que se realicen estos
planes son los administradores y desarrolladores del mismo. (Castro Raúl
2014).
.
Crear
Guardar Utilizar
Compartir Archivar
Destruir
13
Según (Ramírez Mara 2015, pág. 1) manifiesta que un plan de seguridad
informática hace énfasis en la implementación de la seguridad, las normas
y las políticas definidas, las medidas y cada uno de los procedimientos
dados. Un plan de seguridad informática se va desarrollando en la base de
cada uno de los recursos informáticos obtenidos en la completa
dependencia de cada uno de los niveles de seguridad alcanzados y de los
niveles de seguridad que se puedan cumplir. Los planes de seguridad
informática se tienen que enfocar sobre todas las acciones que se realizan
para lograr los objetivos superiores de la seguridad de todos los procesos
que se llevan a cabo en una organización. Es de completa importancia el
definir los alcances de un plan de seguridad informática. En concordancia
con los especialistas de la informática especialidad en los servicios de
seguridad lógica para diversas empresas, el alcance y la visión ayuda en
establecer la definición de las prioridades y medidas de las acciones
haciéndose dependiente de los recursos informáticos.
Un plan de seguridad informático es necesario implementarlo en cada empresa
para mantener seguros ya sean los procesos, los activos y la información
importante de cada empresa. Los planes de seguridad informática facilitan la
visualización de las vulnerabilidades que posee una empresa. Fuente: El autor.
1.5.1. Políticas de seguridad informática de los usuarios que utilizan
las tecnologías informáticas.
A continuación, se declaran políticas de seguridad informática para las personas
que hacen uso de las tecnologías informáticas.
14
Figura 2
Fuente: El autor.
Las políticas de seguridad informática en una empresa o centro educativo deben y
tienen que ser analizadas, estructuras y correctamente definidas para resguardar
cada uno de los procesos y activos que se poseen. Las políticas de seguridad no
solo dependerán de los administradores del mismo sino también de los que hacen
uso (usuarios) de los servicios tecnológicos. El autor.
1.6. Amenazas informáticas
Según Cacuango Andrew (2008), menciona las siguientes amenazas
informáticas:
Los usuarios sonresponsables dela informacionque usen.
Los usuariossolo tienenacceso a losrecursos quenecesiten parasu labor.
Los jefes de área deben garantizar la
seguridad informática.
Todo softwareutilizado debeser examinadopara resguardarla seguridad dela empresa.
15
1.6.1. Virus informático
Un virus informático es un tipo de programa y virus que se copia
automáticamente y fácilmente y que tiene como fin objeto alterar
funcionamiento normal de la computadora, sin ningún permiso o aviso del
conocimiento del usuario. Los virus tipos de virus que se replican,
reproducen y se ejecutan automáticamente. Los virus, normalmente,
utilizan el reemplazo de archivos compilados por otros que ya se
encuentran infectados con el código del mismo. Los virus son capaces de
hasta destruir, de manera muy intencionada, todos los datos almacenados
que se encuentran en una computadora, aunque a veces también existen
otros que son tranquilos, y solo se conocen por ser molestos.
1.6.1.1. Formas de contagio
Las formas de contagio más comunes son las siguientes: la primera es por motivo
del internet que se usa diariamente y directamente a lo que hace es disminuir la
velocidad de conexión, y la otra manera es compilado códigos de un archivo que
ya está contagiado por efecto del mismo usuario.
1.6.1.2. Forma de combatirlos
Ya que todos los virus son demasiado fastidiosos y al mismo tiempo pueden
dañar, destruir e infectar gran parte de los archivos que se encuentran en el
ordenador, es totalmente recomendable estar protegido y seguro con un
excelente antivirus, todos los antivirus son encargados de buscar los archivos
contagiados y eliminarlos de la computadora.
1.6.2. Hackers
A los hackers se les es conocido como informáticos capacitados
extremadamente y con un nivel de conocimiento mucho más elevado,
aunque por lo general a ellos se los denomina como maestros de los
maestros. Un hacker en informática es normalmente especificado como un
usuario ajeno y fuera que ingresa en la computadora con intenciones de
16
dañar, robar información y de causar problemas muy parecidos al de un
spyware. La única distinción que existe es que en este caso se hace
referencia a una persona física que a por medio de sus diversos
conocimientos, va rompiendo las barreras de seguridad que se le
atraviesen para entrar a un lugar específico o computador.
1.6.2.1. Daños
Los daños más comunes que se pueden causar por medio de un hacker
informático son como tantos problemas como daños totalmente
irreparables debido a que es una persona que los provoca a través de sus
conocimientos obtenidos, los daños que surgen son muy parecidos que al
nivel de maldad de la persona que usurpa y roba dentro de tu computadora
o lo que él quiera hackear, se han encontrado casos que después de que
los hackers roban toda la información o se llevan algo del ordenador que
ellos necesitan, son capaces de hasta dañar y destruir el computador que
ellos usaron.
1.6.2.2. Formas de combatirlos
La mejor manera de poder combatirlos es no ingresar a páginas de Internet que
sean de dudosa procedencia ni tampoco dar ningún tipo de información por
medios de los cuales no existen una total confianza del mismo, pero además de
eso la mejor vía para poder evitarlos pude ser que sea la más fácil, pero en
realidad no es de mucha confianza, es que con otro hacker mucho mejor
capacitado que el que ha usurpado tu información se lo pueda combatir.
1.6.3. Phishing
El phishing es comúnmente un fraude online, y los phishers nada menos que los
estafadores en informática tecnológica. Ellos hacen utilización de los spams,
portales Web de dudosa procedencia y fraudulentos, e-mails y mensajes
instantáneos para lograr que los usuarios envíen información muy delicada, como
información de datos bancarios y de tarjetas de crédito, o puede ser acceso a
cuentas personales.
17
1.6.3.1. ¿Cómo se lo puede descubrir?
Los phishers, por lo general se hacen pasar por empresas legales, que pueden
hacer uso de e-mails para requerir información y hacer que los usuarios que
recién el aviso responda a través de muchas páginas Web dudosas. También se
pueden avisar de lo que es necesaria una acción de urgencia para lograr que los
usuarios descarguen programas con malas intenciones en las computadoras.
1.6.3.2. ¿Qué puedes hacer?
Para saber que se puede hacer, hay que asegurarse de lo siguiente:
- Hay que asegurarse de que las cuentas online estén aseguradas -- cambia
las claves de tus cuentas constantemente.
- Hay que asegurarse de que se encuentran activados los filtros anti
phishing, una característica de Internet Explorer.
- Hay que ponerse en contacto con los proveedores de anti-spyware/anti
virus para ver qué otros pasos pueden dar.
- Tener activo el antivirus.
1.7. Administración de servicios y procesos tecnológicos
La administración de servicios y procesos tecnológicos ayudan al cumplimiento de
las disposiciones diversas legales que se encuentran en vigencia, con el objetivo
de gestionar correctamente la seguridad de toda la información como los sistemas
informáticos y el ambiente tecnológico en una empresa. (Manzano Karen 2014).
La correcta administración de servicios tecnológico hace referencia a:
18
Figura 3
Fuente: El autor
Los pasos correspondientes a seguir facilitan el monitoreo de las vulnerabilidad y
problemas que lleguen a aparecer en cada servicio y proceso tecnológico, el
resguardo de la información y de los activos dependerá de cada norma de
seguridad informática establecida para ejecutar un plan de seguridad informática
eficiente. Fuente: El autor.
1.7.1. Criterios de evaluación de riesgos
Según (Vargas Ana María 2011) manifiesta en que los criterios de evaluación de
riesgos hacen énfasis en la observación directa y el análisis de los problemas que
puedan darse en el área tecnológica de una empresa, para ello de declaran tres
ítems importantes:
- Hay que identificar los riesgos que pueden aparecer conjuntamente en el
momento que se esté ejecutando cada proceso tecnológico, por medio del
control y el seguimiento se puede llevar a cabo mejores formas para logar
mejorar constantemente los servicios y que puedan disminuir los factores
de riesgo.
Documentacion correspondiente parasaber cuales son las vulnerabiliudades dela institución
Implementar normas de seguridad a partirde los resultados obtenidos a traves delos informes.
Evualar esas normas a por medio deauditorias internas y externas.
Mejorar continuamente la eficiencia detodas esas normas de seguridadinformática.
19
- Debe existir un reconocimiento y se tiene que realizar reportes de los
factores, eventos y problemas de riesgo, todos esos aspectos dependerán
de la responsabilidad de los ejecutores del plan de seguridad informática.
- Los jefes del área de tecnología o Tics serán los que estén totalmente
responsables de validar, documentar y firmar el registro de los eventos o
incidente y problemas de seguridad de la información que lleguen a
suceder, a raíz de eso se tendrán que elaborar informes para tomar las
medidas necesarias al mismo.
Según (Rodríguez Marcos 2013) es posible disminuir los riesgos que se
presentan en cada proceso y servicio tecnológico, pero no todos los riesgos
son susceptibles hacer que sean tratados de una manera muy rápida. El
tiempo que se tome en corregir los problemas que aparezcan dependerán del
nivel de daños que se ha efectuado, las decisiones también dependerán de
cómo se encuentren los informes de los datos obtenidos a través de
información resumida por medio de una matriz o perfil de riesgo. Los riesgos
que poseen un nivel muy alto y crítico se consideran inaceptables y por lo
general siempre se les da la prioridad a todos esos riesgos y daños que
aparecen.
1.7.2. Proceso para ejecutar un plan de seguridad informático
En la siguiente figura se declaran los procesos a realizar para que se pueda
ejecutar un plan de seguridad informático.
20
Figura 4
Fuente: El autor
Este es un modelo aplicado para que pueda ser usado en la planificación de un
plan de seguridad informática. Si se siguen los pasos de acuerdo al modelo
planteado los procesos que se realicen serán eficientes. (Vargas Ana María
2011).
Explicación de los procesos para realizar un plan de seguridad informático
Planificar
Se establecen objetivos, procesos y procedimientos, para
saber ¿Qué es lo que se va a hacer?, ¿Cómo se lo va a
hacer?, analizando las herramientas que se van a usar para la
correcta planificación del mismo.
Planificar
Hacer
Verificar
Actuar
21
Hacer
A través de este ítem se garantiza la correcta implementación
de todos los controles elegidos para el correcto funcionamiento
del plan de seguridad informático.
Verificar
Se evalúan y se analizan los procesos para el resguardo de
toda la información y activos de la institución.
Actuar
Después de todos los pasos nombrados anteriormente, en este
ahora si ejecutan las normas establecidas por el plan de
seguridad informática.
Tabla 1
Fuente: El autor.
La realización de un plan de seguridad informática ejecutándolo con cada uno de
los pasos nombrados anteriormente seria de mucha ayuda para que sea
implementado en la mayoría de las empresas. A través de un plan de seguridad
informática no solo se pueden disminuir las vulnerabilidades de los servicios
tecnológicos, sino también tomar las mejores decisiones para saber que hacer
antes tales situaciones.
Aportes en el análisis de las teorías y de los trabajos desarrollados en el
área del conocimiento.
Según González Francisco 2012, mencionan que un sistema de información es un
sistema que hace uso de equipos de computación para la recopilación,
adquisición, almacenamiento, modificación y actualización de información
necesaria en una empresa. Los sistemas de información son capaces de
suministrar toda la información que se encuentran en una base de datos.
El autor de este proyecto de investigación da un análisis acerca de los sistemas
de gestión de la información, el comenta que estos sistemas son necesarios para
22
todas las empresas, ya que por medio de esos sistemas se pueden estructura los
datos de una manera eficiente y ágil a la vez. Los sistemas de gestión de
información facilitan la toma de decisiones porque estos sistemas recopilan
información necesaria para saber cómo se están ejecutando todos los procesos
en una organización.
Según Manzano Karen 2014, manifiesta que un sistema de gestión enfocado en
la seguridad de la información permite ayudar a tomar mejores decisiones, y esas
decisiones se trasforman en estrategias de negocio, estos sistemas permiten el
análisis de las necesidades de la empresa, protegiendo toda la información de la
misma. También estos sistemas ayudan a incrementar la seguridad de la
información.
El autor de este proyecto de investigación también menciona las políticas de
seguridad informática que se deben seguir, tales como:
- Los usuarios serán responsables del tipo de información que manejen
dentro de los servicios tecnológicos.
- Los usuarios solo tendrán acceso a los recursos que necesitan para
realizar sus labores.
- Todo software debe ser analizado y monitoreado para evitar cualquier
problema que se pueda dar.
Actualidad ecuatoriana del sector de donde se desarrolla el proyecto.
Babahoyo es un cantón agrícola donde por lo general se siembre y cosecha
banano y arroz. Existen muchas empresas y fabricas que se especializan en la
comercialización de los productos anteriormente mencionados. La ciudad de
Babahoyo tiene el mejor enlace comercial de la provincia debido a la agricultura
de alta escala y a sus cultivos de gran calidad. En esta zona del país se cultiva:
arroz, soya, maíz, banano, cacao, entre otros productos. El compromiso y la labor
de su pueblo montubio, fortalecen la actividad productiva agroindustrial
consolidándose como una zona fértil.
23
En las empresas del cantón Babahoyo también se utiliza tecnología y se realizan
servicios y procesos tecnológicos para ejecutar acciones en la mejora de las
mismas, pero, ¿será que podrían existir problemas, fallas o pérdida de
información en algunas de esas empresas?, para evitar o disminuir cualquier
riesgo que se llegue a subsistir, sería necesario para ellos la implementación de
un plan de seguridad informático que de acuerdo a la información tomada se
elaborarían normas y se establecerían procedimientos para evitar muchos daños
que perjudicarían a las diferentes empresas del cantón.
24
CAPITULO II
DISEÑO METODOLÓGICO Y DIAGNOSTICO.
2.1. Paradigma y tipo de investigación.
La modalidad de investigación empleada en el presente proyecto de investigación es el
paradigma cualitativo-cuantitativo, ya que se examina las características de la problemática
y se ratifica en base a la modalidad cuantitativa donde se cuantifica estadísticamente.
En cuanto se refieren a los tipos de investigación se empleó los siguientes:
Investigación Bibliográfica: Este tipo de investigación nos permitirá recopilar la
información existente en libros, revistas e internet, con ello se desarrolla el marco
teórico donde se fundamentará científicamente las variables dependiente e
independiente de trabajo de investigación.
Investigación de Campo: Esta investigación se lleva a cabo en el sitio mismo en
donde se manifiestan los síntomas de la problemática, en este caso la Cooperativa
de Ahorro y Crédito “San Antonio”. Este tipo de investigación se llevará a cabo
utilizando los siguientes métodos:
Histórico – Lógico: La historicidad de la gestión operativa de la
Cooperativa de Ahorro y Crédito “San Antonio” es muy importante para el
diagnóstico de la problemática.
Analítico – Sintético: Este par dialectico será útil, el momento de elaborar el
fundamento científico que sustenta la solución del problema.
Inductivo – Deductivo: En el desarrollo del trabajo investigativo se induce
una solución particular para deducir una solución general a la problemática.
Investigación Aplicada: Este tipo de investigación nos permite fusionar el aspecto
teórico con lo práctico del trabajo de grado.
La técnica que se aplicara en el proceso investigativo son las encuestas que se llevara a
cabo a los clientes de la Cooperativa de Ahorro y Crédito “San Antonio”.
25
2.2. Procedimiento para la búsqueda y procesamiento de los datos.
La población de la Cooperativa de Ahorro y Crédito “San Antonio” es la siguiente:
FUNCIÓN NÚMERO
Gerente. 1
Personal Administrativo. 25
Socios 1500
TOTAL 1526
Tabla No 2. Población de la Cooperativa de Ahorro y Crédito “San Antonio”.
Fuente: Autor del proyecto.
La muestra está formada por todos los involucrados en los procesos y manejo de la
información en la Cooperativa de Ahorro y Crédito “San Antonio”.
FUNCIÓN NÚMERO
Gerente. 1
Personal Administrativo. 25
TOTAL 26
Tabla No 3. Muestra para la investigación.
Fuente: Autor del proyecto.
Una vez definida la muestra, se procedió a diseñar los instrumentos para la recolección de
datos: La encuesta se aplicará al Gerente y al personal de los departamentos
Administrativo, Supervisión y Jefaturas.
2.3. Resultados del diagnóstico de la situación actual.
La siguiente encuesta ha sido realizada a la Gerencia, al personal administrativo bajo
los siguientes cargos: auditoría interna, riesgos y sistemas que son los eruditos en la
situación de la red de datos de la Cooperativa de Ahorro y Crédito “San Antonio”, y que
han alcanzado esta consideración gracias a los conocimientos o experiencia adquirida con el
paso de los años.
.
26
Entrevista al Gerente y personal Administrativo de la Cooperativa de Ahorro y
Crédito “San Antonio”.
Pregunta No 1.
¿La Cooperativa de Ahorro y Crédito dispone de políticas y procedimientos para la
seguridad de información aprobadas formalmente, difundidas e implementadas;
incluyendo aquellas relacionadas con servicios de transferencia y transacciones
electrónicas?
Indicador Frecuencia Porcentaje
Si 9 35,0%
No 17 65,0%
Total 26 100%
Tabla No 4
Elaborado por: Autor del proyecto.
Figura No 5
Elaborado por: Autor del proyecto.
Interpretación y Análisis.
El 65% de los encuestados manifiestan que la institución no cuenta con un manual de
políticas y procedimientos para la seguridad de la información en la institución, el 35%
manifiestan que sí disponen.
Podemos concluir que probablemente la cooperativa de ahorro y crédito no cuenta con un
manual de políticas y procedimientos que garantice el manejo y la seguridad de la
información.
Si35%
No65%
PREGUNTA 1
27
Pregunta No 2.
¿La institución financiera ha precisado los requerimientos de seguridad relacionados
con la tecnología de información y ha efectuado controles necesarios para minimizar
el impacto de las vulnerabilidades e incidentes de seguridad?
Indicador Frecuencia Porcentaje
Si 6 23,0%
No 20 77,0%
Total 26 100%
Tabla No 5
Elaborado por: Autor del proyecto.
Figura No 6
Elaborado por: Autor del proyecto.
Interpretación y Análisis.
El 77% de los encuestados manifiestan que la institución financiera no ha precisado los
requerimientos de seguridad relacionados con la tecnología de información ni ha
efectuado controles necesarios para minimizar el impacto de las vulnerabilidades e
incidentes de seguridad, en cambio el 35% manifiestan que sí.
Podemos concluir que posiblemente la entidad financiera no ha establecido políticas de
seguridad en el manejo de la infraestructura tecnológica, por ende, no existe controles que
minimicen el impacto de las vulnerabilidades en los incidentes de seguridad.
Si23%
No77%
PREGUNTA 2
28
Pregunta No 3.
¿La institución cuenta con un plan que evalué el desempeño de los procedimientos
de gestión de la seguridad de la información, que permita tomar acciones para
mejorarlo?
Indicador Frecuencia Porcentaje
Si 0 00,0%
No 26 100,0%
Total 26 100%
Tabla No 6
Elaborado por: Autor del proyecto.
Figura No 7
Elaborado por: Autor del proyecto.
Interpretación y Análisis.
La totalidad de los encuestados manifiestan que la institución no cuenta con un plan que
evalué el desempeño de los procedimientos de gestión de la seguridad de la
información.
Podemos concluir que la institución posee un alto nivel de vulnerabilidad en el área
tecnológica.
Si0%
No100%
PREGUNTA 3
29
Pregunta No 4.
¿Considera usted que existe la necesidad de implementar ciertos niveles de seguridad en
la intranet y los servicios de la cooperativa?
Indicador Frecuencia Porcentaje
Si 5 19,0%
No 21 81,0%
Total 26 100%
Tabla No 7
Elaborado por: Autor del proyecto.
Figura No 8
Elaborado por: Autor del proyecto.
Interpretación y Análisis.
El 81% de los encuestados manifiestan que la institución necesita urgentemente la
implementación de niveles de seguridad en la intranet y los servicios de la cooperativa, por
otro lado, el 19% manifiestan que posiblemente la institución si posee ciertos niveles de
seguridad en su intranet.
Como conclusión de esta pregunta podemos manifestar que los empleados de la institución
consideran una necesidad la implementación de niveles de seguridad en la intranet y los
servicios de la cooperativa.
Si19%
No81%
PREGUNTA 4
30
Pregunta No 5.
¿Cree usted que se debe realizar pruebas de seguridad en la red de la cooperativa para
encontrar vulnerabilidades y determinar los niveles seguridad?
Indicador Frecuencia Porcentaje
Si 26 100,0%
No 0 00,0%
Total 26 100%
Tabla No 8
Elaborado por: Autor del proyecto.
Figura No 9
Elaborado por: Autor del proyecto.
Interpretación y Análisis.
El 100% de los encuestados declaran que se debe realizar pruebas de seguridad en la red de
la cooperativa para encontrar vulnerabilidades y determinar los niveles seguridad.
Como conclusión podemos manifestar que los empleados están conscientes que la
seguridad en la red de datos de la cooperativa es muy importante, y también que se debe
tener un conocimiento sobre el nivel de seguridad actual.
Si19%
No81%
PREGUNTA 5
31
Pregunta No 6.
¿Considera usted que el área de tecnología de la institución, ha definido
procedimientos para la administración de incidentes y problemas incluyendo su
registro, análisis y solución oportuna?
Indicador Frecuencia Porcentaje
Si 5 19,0%
No 21 81,0%
Total 26 100%
Tabla No 9
Elaborado por: Autor del proyecto.
Figura No 10
Elaborado por: Autor del proyecto.
Interpretación y Análisis.
El 81% de los encuestados consideran que el área de tecnología de la institución, debe
disponer de procedimientos para la administración de incidentes y problemas
incluyendo su registro, análisis y solución oportuna, en cambio el 19% manifiestan que
no es necesario dichos procedimientos.
Podemos concluir que la mayor parte de los empleados de la institución están conscientes
que se debe implementar procedimientos para la administración de incidentes y
problemas incluyendo su registro, análisis y solución oportuna.
Si19%
No81%
PREGUNTA 6
32
Pregunta No 7.
¿La institución financiera ha realizado un levantamiento de la documentación
correspondiente a la infraestructura tecnológica incluyendo información, bases de
datos, redes de datos, software de base y hardware?
Indicador Frecuencia Porcentaje
Si 9 35,0%
No 17 65,0%
Total 26 100%
Tabla No 10
Elaborado por: Autor del proyecto.
Figura No 11
Elaborado por: Autor del proyecto.
Interpretación y Análisis.
El 65% de los encuestados manifiestan que la institución debe realizado lo más pronto
posible un levantamiento de la documentación correspondiente a la infraestructura
tecnológica incluyendo información, bases de datos, redes de datos, software de base y
hardware. Por otro lado, el 35% considera que la seguridad de la institución no depende de
una documentación.
En esta pregunta podemos concluir que no existe una documentación técnica sobre la
infraestructura tecnología de la institución.
Si35%
No65%
PREGUNTA 7
33
Pregunta No 8.
¿En el departamento de auditoría interna, ejecutan periódicamente pruebas
orientadas a establecer el cumplimiento de las políticas, procedimientos y
requerimientos regulatorios para la administración del riesgo operativo y de
seguridad?
Indicador Frecuencia Porcentaje
Si 2 08,0%
No 24 92,0%
Total 26 100%
Tabla No 11
Elaborado por: Autor del proyecto.
Figura No 12
Elaborado por: Autor del proyecto.
Interpretación y Análisis.
El 92% de los encuestados manifiestan que el departamento de auditoria interna no está
ejecutando periódicamente pruebas orientadas a establecer el cumplimiento de las
políticas, procedimientos y requerimientos regulatorios para la administración del
riesgo operativo y de seguridad.
Se concluye que no existe un manual de funciones en el departamento de auditoria interna
de la institución financiera, lo que puede ocasionar un mal procedimiento al momento de
enfrentar un problema de seguridad.
Si8%
No92%
PREGUNTA 8
34
Pregunta No 9.
¿Apoyaría usted la idea de mejorar la seguridad y los servicios que presta la red de datos
de la cooperativa de ahorro y crédito?
Indicador Frecuencia Porcentaje
Si 26 100,0%
No 0 00,0%
Total 26 100%
Tabla No 12
Elaborado por: Autor del proyecto.
Figura No 13
Elaborado por: Autor del proyecto.
Interpretación y Análisis.
El 100% de los encuestados apoyarían la idea de mejorar la seguridad y los servicios que
presta la red de datos de la cooperativa de ahorro y crédito.
Se concluye que apremia la implementación de mejoras en la seguridad y los servicios que
presta la red de datos de la cooperativa de ahorro y crédito.
Si100%
No0%
PREGUNTA 9
35
Pregunta No 10.
De las siguientes medidas de seguridad.
¿Cuáles considera necesarias para proteger sus datos: contraseñas, encriptación de
datos, sistemas biométricos USB (huellas digitales)?
Indicador Frecuencia Porcentaje
Contraseñas 17 66,0%
Encriptación de datos. 5 19,0%
Sistemas Biométricos. 4 15,0%
Total 26 100%
Tabla No 13
Elaborado por: Autor del proyecto.
Figura No 14
Elaborado por: Autor del proyecto.
Interpretación y Análisis.
El 66% de los encuestados manifiestan que el uso de contraseñas para el ingreso a los
sistemas de información es una medida de seguridad importante. El 19% manifiestan que
la encriptación de datos es una medida de seguridad importante y el 15 que las huellas
digitales es una medida de seguridad importante.
Concluimos que se debe implementar políticas de manejo de claves de seguridad en la
institución.
Contraseñas66%
Encriptación datos19%
Huellas digitales15%
PREGUNTA 10
36
Resumen de las principales insuficiencias detectadas con la aplicación de los métodos
investigativos.
Figura No 15. Insuficiencias del Sindicato de Choferes de la ciudad de Babahoyo.
Elaborado por: Autor del proyecto.
Insuficiencias en el Sindicato de Choferes de
la ciudad de Babahoyo.
No realizan pruebas de
seguridad en la red de la cooperativa
para encontrar vulnerabilidades.
No dispone de políticas y
procedimientos para la seguridad de información .
No existe requerimientos de
seguridad relacionados con la
tecnología de información.
No disonen de un plan que evalué el desempeño de los procedimientos de
gestión de la seguridad de la
información.
No existe implementado
niveles de seguridad en la intranet y los servicios de la cooperativa.
37
CAPÍTULO III
PROPUESTA DE SOLUCIÓN AL PROBLEMA
Nombre de la propuesta.
Plan de Seguridad Informática en redes, para mejorar la Gestión Operativa de la
Cooperativa de Ahorro y Crédito “San Antonio”.
Objetivo General.
Desarrollar un plan de seguridad informática especializado en redes, el cual
constara de algunas estrategias como por ejemplo firewall lógicos, físicos, redes
perimetrales, servidores de direcciones seguras y más.
Objetivos Específicos:
Determinar las características de los Recursos Tecnológicos para la
comunicación de Información y el Impacto en la Cooperativa de Ahorro y
Crédito “San Antonio”.
Implementar la matriz de riesgo según cada elemento con que cuenta la
Cooperativa de Ahorro y Crédito “San Antonio”.
Desarrollar una matriz de Uso y Estrategia de Tecnología para la
Cooperativa de Ahorro y Crédito “San Antonio”.
Diagnóstico de la situación actual sobre la seguridad de la red en la
Cooperativa de Ahorro y Crédito “San Antonio”.
El departamento de Tecnologías de la Información y Comunicación (TIC) son los
encargados de establecer y monitorear las funciones y control de la seguridad de
la información en la cooperativa de Ahorro y Crédito “San Antonio”.
Este departamento cuenta con un manual básico de seguridad el mismo que es
aplicado de forma parcial en la cooperativa. Este manual contiene normas,
procedimientos y controles sobre la seguridad en las redes de comunicación en
un nivel básico, no posee una metodología de trabajo que propicie la identificación
de riesgos y controles para mitigar los mismos.
Dentro de los aspectos a considerar en la seguridad de las redes de
comunicación son los siguientes:
Carece de una adecuada organización en la administración de la
seguridad.
38
No se cuenta con una categorización sobre la seguridad de los activos
tecnológicos en la institución; no existen procedimientos para otorgar
credenciales de accesos a los dispositivos físicos; de igual manera existen
controles mínimos con respecto a la seguridad física y de personal.
Como ya se manifestó anteriormente, las tareas principales concerniente a
seguridad lo realiza actualmente el departamento de TIC y son las siguientes:
Dar de alta y baja a las credenciales de los usuarios.
Administran el acceso a las principales aplicaciones de la entidad.
Crean y asignan perfiles para las aplicaciones.
Controlan y administran de red informativa.
Administran los firewalls.
Mantienen un manual de seguridad aprobado con medidas básicas.
Difunden y socializan aspectos básicos de seguridad a los empleados de la
Cooperativa.
Emiten reportes de seguridad periódicamente a la Gerencia.
En base a la información recogida en el diagnóstico de la situación actual en la
cooperativa de ahorro y crédito “San Antonio”, proponemos crear un área
organizacional de seguridad informativa institucional independiente al
departamento de TIC, que entre una de las funciones administre la seguridad de
la red informática de la Cooperativa y sea la responsable de ejecutar las normas y
medidas de seguridad elaboradas y reportara de forma directa a la Gerencia.
Sugerimos que se conforme un comité de tecnología y de sus integrantes se
nomine un asistente de la Unidad de Riesgos, el mismo que será el encargado de
coordinar y definir los objetivos de la nueva área; además el Comité de
Tecnología será el ente que monitoree las actividades de la misma, determinará
el traslado gradual de las responsabilidades sobre la seguridad informática que
actualmente despliega el departamento de TIC al representante del área de
seguridad informática, monitoreará las labores realizadas por él, apoyando en el
entendimiento y conocimientos de la plataforma tecnológica vigente y los
procesos propios del negocio de la cooperativa; además que apoyará la
39
planificación inicial de actividades que desarrollará el encargado de la nueva área
a corto plazo.Es transcendental subrayar que luego que el área de seguridad
informática haya logrado una asimilación de sus funciones y un entendimiento
total de los procesos del negocio de la cooperativa, el jefe de seguridad
informática deberá reportar directamente a la Gerencia, de este modo el comité
de tecnología pasará a ser un ente consultivo, dejando las labores de monitoreo a
la Gerencia y Auditoría Interna.
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL DE LA ADMINISTRACIÓN DE
LOS RIESGOS DE TECNOLOGÍA DE LA INFORMACIÓN.
A continuación, se muestran los puntos específicos de la situación actual en
cuanto a la administración de seguridad, se realiza una comparación con los
requerimientos que ha efectuado la superintendencia de bancos y Seguros del
Ecuador en las auditorías que se ha realizado a la cooperativa.
1. Estructura de la organización de seguridad de la información.
1.1 Roles y responsabilidades.
2. Plan de seguridad de la información.
2.1 Políticas, estándares y procedimientos de seguridad.
2.2 Seguridad lógica.
2.3 Seguridad de personal.
2.4 Seguridad física y ambiental.
2.5 Clasificación de seguridad.
3. Administración de las operaciones y comunicaciones.
4. Desarrollo y mantenimiento de sistemas informáticos.
5. Procedimientos de respaldo.
6. Subcontratación de servicios.
7. Cumplimiento normativo.
8. Privacidad de la información.
9. Auditoría interna y externa.
El detalle de la evaluación de las áreas mencionadas se muestra en una
matriz, cuyo contenido es el siguiente:
40
ESTRUCTURA ORGANIZACIONAL PARA LA ADMINISTRACIÓN DE TECNOLOGÍA DE INFORMACIÓN.
SITUACIÓN ACTUAL SUGERENCIA MEJOR
PRACTICA ANÁLISIS DE
BRECHA
Unidad de Riesgo: Órgano
dependiente de la Gerencia,
encargado de medir y
mantener adecuados niveles
de riesgos crediticio y riesgos
de mercado y liquidez. Así
mismo, los riesgos operativos
y de tecnología.
Área de Seguridad: Órgano
de velar por la seguridad de
las instalaciones de la
Cooperativa, así como del
personal y clientes que se
encuentran y transitan en
ellas.
Área de Seguridad
Informática: No está definida
Auditoria de Sistemas:
Función llevada a cargo por el
área de auditoría interna.
Verifica el cumplimento de las
normas y procedimientos
definidos.
Definición y mantenimiento de
una estructura organizacional
que permita administrar
adecuadamente los riesgos
asociados a la tecnología de
información.
La unidad de riesgos deberá
contar con un responsable de la
administración del riesgo de TI.
La responsabilidad de la
seguridad de la información
debería ser ejercida de forma
exclusiva por el asistente de la
unidad de riesgos.
0
PLAN DE SEGURIDAD DE LA INFORMACIÓN.
La Cooperativa no cuenta con
un plan de Seguridad de la
Evaluación de riegos de
seguridad de la información
10
41
información formalmente
documentado que sirva como
guía de las distintas normas
con que cuenta la Institución
referente a los riegos y
seguridad de la TI.
Selección de controles y
objetivos de control para
reducir, eliminar y evitar los
riesgos identificados, indicando
las razones de su inclusión o
exclusión.
Plan de implementación de los
controles y procedimientos de
revisión periódicos.
Mantenimientos de registros
adecuados que permitan
verificar el cumplimiento de las
normas, estándares, políticas,
procedimientos y otros definidos
por la institución, así como
mantener pistas de auditoría.
SEGURIDAD LÓGICA.
Procedimientos definidos en el
área de TIC para la concesión
y administración de perfiles y
accesos a usuarios,
incluyendo la revocación y
revisiones periódicas de los
mismos.
Accesos a los sistemas de
información de la Cooperativa
controlados al nivel de red de
datos y aplicación, para lo cual
cada usuario cuenta con IDs y
contraseñas de uso
Definición de procedimientos
formales para la administración
de perfiles y usuarios.
Identificación única de usuarios.
Controles sobre el uso de
herramientas de auditoría y
utilidades sensibles del sistema.
Controles sobre el acceso y uso
de los sistemas y otras
instalaciones físicas.
25
42
estrictamente personal y de
responsabilidad de los
usuarios.
Controles de acceso a
herramientas de auditoría en
los sistemas de información.
Controles de acceso parciales
a utilidades sensibles del
sistema.
Generación parcial de pistas
de auditoría en los sistemas
de información.
Controles de acceso a
utilidades sensibles del
sistema sobre estaciones de
trabajo Windows 10, Windows
Server 2010.
Habilitación de opciones de
auditoría en los sistemas
operativos de red.
Procedimientos de revisión de
pistas de auditoría que
contemplen no solo los
registros del computador
central.
Controles sobre usuarios
remotos y computación móvil.
Administración restringida de los
equipos de acceso remoto y
configuración del mismo.
43
SEGURIDAD DEL PERSONAL
Levantamiento de normas y
procedimientos de las distintas
áreas de la Cooperativa.
Formalización de normas y
procedimientos de las distintas
áreas de la cooperativa.
Normalización de entrega de
dicha información a los
actuales trabajadores
incluyendo documento de
confirmación de conocimiento.
Procedimientos de revisión de
datos en el proceso de
selección de personal previo a
su contratación.
Entrega formal de las políticas
de manejo de información
confidencial a los nuevos
empleados.
Definición apropiada de
responsabilidad sobre la
seguridad es pate de los
términos y condiciones de las
aceptaciones del empleado
(Términos en el contrato).
Difusión de las políticas con
respecto al monitoreo de
actividades en la red y sistemas
de información, antes de
entregas IDs a usuarios.
0
ADMINISTRACIÓN DE OPERACIONES Y COMUNICACIONES
Documentación no
formalizada relativa los
procedimientos de
operaciones en los sistemas
de información.
Procesos de revisión y reporte
de conformidad de dichas
Procedimientos y
responsabilidades de
operación.
Documentación formal de todos
los procedimientos de
operación, así como
procedimientos y niveles de
25
44
operaciones.
Adecuada separación de las
facilidades de los ambientes
de producción y desarrollo.
Un sistema a través del cual
se administran las actividades
de:
Actualización de los
programas;
Pase a producción; y
Administración de
versiones
Tareas realizadas por
personal del área de
sistemas.
Protección contra software
malicioso.
Controles de protección contra
virus y software malicioso.
Segregación de funciones
Todas las funciones
mencionadas se mantienes
independientes. Solo el
personal del área de sistemas
mantiene acceso a datos de
producción y desarrollo
poseen también acceso a la
autorización definidos para su
mantenimiento.
Procesos de revisión y reporte
de conformidad de dichas
operaciones. Controles
establecidos relativos a cambios
en los sistemas de información.
Programación de trabajos o
procesos debe ser
correctamente documentada,
así como el resultado de dichas
ejecuciones.
Administración de facilidades
externas.
Todo proceso realizado en o por
un tercero, debe ser evaluado a
los riesgos y seguridad para
desarrollar procedimientos que
mitiguen dichos riesgos.
Protección contra software
malicioso.
Se debería crear
procedimientos de revisión
periódica del cumplimiento o
efectividad de dichos controles;
labores que deben ser llevadas
a cabo por parte del área de
sistemas como por parte del
45
línea de comandos de ambos
entornos.
Operaciones de verificación.
Procedimientos de generación
y almacenamiento de copias
de contingencia definidos
Se usan formatos de reporte
de las actividades de
operación y generación de
copias de respaldo.
Administración de Red.
Se cuenta con un sistema
proxy. No se cuenta con una
DMZ ni con una arquitectura
de seguridad de red apropiada
con respecto al internet.
Manipulación y seguridad de
dispositivos de
almacenamiento de
información.
Las copias de respaldo se
encuentran tanto en el área de
sistemas como en una
localidad distinta en un
casillero de seguridad del
Banco del Pacifico.
auditor de sistemas.
Control en cambios
operacionales.
Todo cambio en la red de datos,
incluyendo software,
dispositivos, cableado o equipos
de comunicación debe seguir
procedimientos formales
definidor y adecuadamente
registrados.
Roles y responsabilidades
deben ser claramente definidos
y las funciones adecuadamente
segregadas.
Los cambios deben ser
adecuadamente aprobados.
Los resultados de todo cambio
deben ser correctamente
documentados. Roles y
responsabilidades en las
actividades de pase a
producción correctamente
definidos y segregados.
Adecuada separación de
ambientes de producción y
desarrollo.
46
No existen políticas con
respecto al manejo de otros
dispositivos de
almacenamiento de
información en el área de
sistemas.
Intercambio de información y
seguridad.
Existen controles y
restricciones respecto al uso
del correo electrónico.
Estándar de administración de
cambios definido, incluyendo
cambios de emergencia.
Control de accesos a escritura
sobre sistemas en producción.
Administración de incidentes
de seguridad
Definición de procedimientos y
equipos de respuesta ante
incidentes de seguridad
Segregación de funciones.
Las actividades de actualización
y operación de sistemas, así
como las de administración de
aplicaciones, helpdesk,
administración de red y de TI
deben ser correctamente
segregadas.
Planeamiento de sistemas.
Procedimientos formales
definidos de planeamiento de
recursos.
Protección contra software
malicioso
Controles preventivos y
47
detección sobre el uso de
software de procedencia
dudosa, virus; etc.)
Operaciones de verificación
Adecuado registro de fallas.
Adecuados procedimientos de
generación de copias de
respaldo.
Registros adecuados de todas
las actividades de operación.
Administración de Red
Adecuados controles de
operación de red
implementados
Protección de la red y
comunicaciones usando
dispositivos de control de
accesos, procedimientos y
sistemas de monitoreo de red
snifers (detección de intrusos) y
procedimientos de reporte.
Manipulación y seguridad de
dispositivos de
almacenamiento de
información.
48
Aseguramiento sobre medios de
almacenamiento y
documentación de sistemas.
Intercambio de información
(correo electrónico y otros) y
seguridad
Controles de seguridad en el
correo electrónico y cualquier
otro medio de transferencia de
información, por ejemplo,
Normas, filtros, sistemas de
protección contra virus etc.)
Seguridad en la Banca
Electrónica.
49
Características de los Recursos Tecnológicos para la comunicación de
Información y el Impacto en la Cooperativa de Ahorro y Crédito.
El Departamento de las TIC está ubicado en las instalaciones de la Matriz, sus
equipos tecnológicos están ubicados en una pequeña oficina.
Figura No 16. Departamento TIC Cooperativa de Ahorro y Crédito “San Antonio”. Elaborado por: Autor del proyecto.
La puerta de acceso principal tiene doble seguridad y la ventana tiene instalado
una protección (reja metálica), se cuenta con un extintor y un detector de
incendios.
El número de estaciones de trabajo PC que acceden al servidor principal es de
veinte máquinas las mismas que disponen del servicio de correo electrónico,
todas las máquinas tienen acceso a internet, todos los computadores y servidores
se encuentran conectados a un UPS central, existe una instalación a tierra a la
cual se conectan todos los equipos informáticos; la cooperativa no cuenta con
planta de energía propia.
En las interrupciones de fluido eléctrico; es el UPS central que proporciona un
tiempo de energía limitado con carga mínima. Por la ubicación y el aumento de
temperatura global la climatización del área de cómputo no es la adecuada, el
acceso al área de sistemas es limitado, solamente para las personas autorizadas
a estar en él; en este caso el personal de sistemas.
50
La Cooperativa cuenta con una oficina matriz y una agencia, la misma que se
comunica con la matriz a través de una conexión de radio. En la oficina Matriz
existe una red local, donde todas las máquinas se encuentran conectadas al área
principal a través de switches y un access point, para un total de 28 máquinas.
Esta red local con topología en estrella, como se observa en el Esquema de la
Red del Anexo A, tiene un cableado de par trenzado de nivel cinco, está
compuesta por 2 switches de 10/100 Mbits con 24 puertos cada uno, 3 Routers,
un access point.
En el departamento de TIC, se encuentran ubicados los 3 servidores de la
institución; un principal, uno de respaldo y otro servidor de internet y correos. Los
servidores principales y de respaldo poseen un sistema Operativo Centos 7.1 y el
servidor de internet un sistema operativo Centos 5.3, una PC´s cumple el rol de
switches para el cajero y la red conecta (ventanillas compartidas y bono de
desarrollo humano), tienen instalado Windows Server 2003 con Service Pack 3 y
Windows 2000 server. Estos son:
Servidor principal de Base de Datos.
Servidor de respaldo de Base de Datos.
Servidor Proxy, de Dominio y Mensajería.
Switch servidor de aplicación COONECTA de ventanillas compartidas,
bono de desarrollo y remesas.
Switch servidor de aplicación COONECTA de cajero automático.
La conexión de la agencia con el departamento de TIC de la oficina Matriz se la
hace a través de un sistema de antenas de radio EZ-Bridge y TRANZEO. La
conexión a Internet se hace a través de la oficina principal; con un enlace
dedicado de 1024 KB contratado con la CNT. Existe implementado un cortafuego
para la conexión segura a Internet a través de servidor Proxy (Linux Centos 5.3).
Las estaciones de trabajo PC con la que cuenta la institución emplean el sistema
operativos Windows 7 con licencias; y cuentan con el Antivirus Eset Smart
Security también con licencia.
51
Los servidores de la institución se ubican en la oficina de TIC sitio donde labora el
director de Sistemas, al cual solo tienen acceso el personal que labora en el
departamento. La institución cuenta con servicios informáticos y de
Comunicaciones, los cuales detallamos a continuación:
Sistema de transaccional conexus, cliente-servidor.
Sistema de gestión de riesgos Power Risk, cliente-servidor
Sistema de transaccional Coonecta, cliente-servidor
Sistema de gestión Full Time-Cliente
Red de interconexión interna
Red de interconexión externa
Sistema de correo electrónico
Sistema web, ftp
Conexión a internet
Conexión a Red Privada
Sistema de impresión
52
A continuación, se detalla los recursos tecnológicos con que cuenta la oficina matriz de la Cooperativa:
No. NOMBRE DE EQUIPO GRUPO
TRABAJO ÁREA USUARIO IP Mascara Gateway SW
SERVIDORES.
1 pc-cac-antonio1 SISTEMAS Sistemas administrador 192.168.1.1 255.255.255.0 192.168.1.3 1
2 pc-cac-antonio2 SISTEMAS Sistemas administrador 192.168.1.2 255.255.255.0 192.168.1.3 2
3 pc-cac-antonio3 SISTEMAS Sistemas administrador 192.168.1.3 255.255.255.0 190.152.71.121 3
ESTACIONES DE TRABAJO.
1 TIC001 SISTEMAS Sistemas Tic-u-ec 192.168.1.7 255.255.255.0 192.168.1.3 4
2 TIC 002 SISTEMAS Sistemas Tic-u-ec 192.168.1.8 255.255.255.0 192.168.1.3 5
3 caja001 SISTEMAS Cajas Tic-u-el 192.168.1.9 255.255.255.0 192.168.1.3 6
4 caja002 SISTEMAS Cajas Tic-u-en 192.168.1.10 255.255.255.0 192.168.1.3 7
5 TIC-Tesorería SISTEMAS Tesorería Tic-u-pv 192.168.1.11 255.255.255.0 192.168.1.3/51/52 8
6 TIC-Gerencia SISTEMAS Gerencia Tic-u-mj 192.168.1.12 255.255.255.0 192.168.1.3 9
7 TIC-Secretaria SISTEMAS Secretaria Tic-u-ag 192.168.1.13 255.255.255.0 192.168.1.51 10
8 TIC-Usuario1 SISTEMAS Atención Clientes Tic-u-dl 192.168.1.14 255.255.255.0 192.168.1.51 11
9 TIC-RHumano SISTEMAS Recursos Humanos Tic-u-gv 192.168.1.15 255.255.255.0 192.168.1.52 12
10 TIC-Credito SISTEMAS Crédito Tic-u-ht 192.168.1.16 255.255.255.0 192.168.1.51 13
53
AGENCIA No. 1
No. NOMBRE DE EQUIPO GRUPO TRABAJO ÁREA USUARIO IP Mascara Gateway SW
1 TIC-A-Caja1 SISTEMAS Cajas Tic-AU-ar 192.168.1.30 255.255.255.0 192.168.1.51 1
2 TIC-A-crédito SISTEMAS Crédito Tic-AU-pd 192.168.1.31 255.255.255.0 192.168.1.51 2
2 TIC-A-secretaria SISTEMAS Secretaria Tic-AU-gm 192.168.1.34 255.255.255.0 192.168.1.51 1
3 TIC-A-crédito SISTEMAS Crédito Tic-AU-gm 192.168.1.35 255.255.255.0 192.168.1.51 2
4 TIC-A-Caja2 SISTEMAS Cajas Tic-AU-sb 192.168.1.36 255.255.255.0 192.168.1.51 3
NO UBICACIÓN RESPONSABLE DESCRIPCIÓN IP
IMPRESORAS
1 Matriz-Sistemas José Vaca Impresora Lexmark 132 col. Type: 2481-100.
2 Matriz-Sistemas José Vaca Impresora HPDeskjet 3745.
3 Matriz-Cajas Elsa Lascano Impresora Epson LX-300++. Serie: *G8DY150859*
4 Matriz-Cajas Sonia Salgado Impresora Epson LX-300++. Serie: *G8DY150192*
5 Matriz-Tesorería Patricia Velastegui Impresora Epson LX-300+.. Serie: *ETUY224810*.
6 Sucursal-Cajas Patricia Candonga Impresora Epson LX-300+. Serie: *ETUY223342*.
7 Sucursal-Crédito Fernando Suarez Impresora Epson FX2190. 132 Col. *FCTY016864*
8 Sucursal-Crédito Fernando Suarez Impresora HP Deskjet 3535.
54
SWITCHES
OFICINA MATRIZ
1 Sistemas Administrador SWITCH 3 COM FAST CONNECT 24
puertos 10/100MB 19 pulg. para RACK
2 Sistemas Administrador SWITCH 3 COM FAST CONNECT 24
puertos 10/100MB 19 pulg. para RACK
3 Sistemas Administrador AP DLINK 6 puertos
192,168,1,50
4 Sistemas Administrador DLINK VPN 4 puertos
192,168,1,51
5 Sistemas Administrador Router Cisco (telnet)
192,168,1,81
6 Sistemas Administrador ADSL Dlink/CNT
AGENCIA No.
1 Bóveda Administrador Switck Dlink
EQUIPOS DE COMUNICACIÓN / ANTENAS
1 Matriz
EZBRIDGE WLAN, enlace punto a
punto de 11Mbps. 11 canales de
frecuencia de RF. Protocolo
IEE802.11b. Incluye antena
parabólica.
192.168,1,40 mulasal 11
1 Sucursal.
EZBRIDGE WLAN, enlace punto a
punto de 11Mbps. 11 canales de
frecuencia de RF. Protocolo
IEE802.11b. Incluye antena
parabólica.
192.168,1,41 mulasal 11
55
CABLEADO ESTRUCTURADO
Marca del Sistema: UTP – Nivel 5
Número de puntos de datos: 30
CABLEADO HORIZONTAL
Tipo de cable puntos de voz: NO
Tipo de cable puntos de datos: 30
El diagrama de flujo de información que ilustra la relación interna y externa, así
como los medios que utilizan para procesar la misma y topología de las redes de
transmisión de datos con que cuentan se muestra en el Anexo C.
Como se puede apreciar en el mismo existe un centro de informática, que es el
encargado de receptar y procesar toda la información que llega a la Matriz,
existiendo un intercambio de información a través de la red local y por el enlace
(radio) entre el centro de informática y las agencias; y, por el enlace externo con
instituciones gubernamentales y privadas. Se ha revisado que el departamento de
TIC de la cooperativa, en su plan de contingencias preventivo de bienes
informáticos, realiza un análisis y una descripción de todos los elementos que
conforman la Red Corporativa en orden de importancia de la siguiente manera:
ELEMENTOS DE LA RED PUNTAJE
1. Servidores 17
3. Routers 13
4. Switch, Hubs 12
5. Antenas 14
6. Estaciones 9
7. Cable horizontal 8
8. Entorno físico 7
Tabla No 14 Nivel de Importancia de los Componentes Elaborado por: Autor del proyecto.
56
Matriz de riesgo según cada elemento.
ELEMENTO
RIESGOS CATASTRÓFICOS TÉCNICOS HUMANOS
SUMINISTROS
PÚBLICOS
FALTA DE
SEGURIDAD
SERVIDORES Incendio, explosión,
desastres naturales
Falta de
mantenimiento,
estandarización,
información vital
Falta de
conocimiento,
errores y
omisiones, falta
de privacidad.
Falta de energía,
fallas en las
comunicaciones
Sabotaje,
hurto, retiro
de personal
ANTENAS Desastres naturales
Falta de
mantenimiento,
estandarización,
información vital
Falta de
conocimiento,
errores y
omisiones
Falla de energía,
fallas en las
comunicaciones
Hurto, retiro
de personal
ROUTERS Incendio, explosión,
desastres naturales
Falta de
mantenimiento,
estandarización,
información vital
Falta de
conocimiento,
errores y
omisiones
Falla de energía,
fallas en las
comunicaciones
Hurto, retiro
de personal
SWITCHES,
HUBS
Incendio, explosión,
desastres naturales
Falta de
mantenimiento,
estandarización,
información vital
Falta de
conocimiento,
errores y
omisiones
Falla de energía,
fallas en las
comunicaciones
Hurto, retiro
de personal
SISTEMA
ENERGIA
Incendio, explosión,
desastres naturales
Estandarización,
información vital
Errores y
omisiones Falla de energía. Sabotaje
CABLEADO Incendio, explosión,
desastres naturales
Estandarización,
información vital
Errores y
omisiones
Falla de energía,
fallas en las
comunicaciones
Sabotaje,
hurto, retiro
de personal
ESTACIONES
USUARIO
FINAL
Incendio, explosión,
desastres naturales
Falta de
mantenimiento,
estandarización,
información vital
Falta de
conocimiento,
errores y
omisiones
Falla de energía,
fallas en las
comunicaciones
Sabotaje,
hurto, retiro
de personal
ENTORNO
FÍSICO
Incendio, explosión,
desastres naturales
Errores y
omisiones
Falla de energía,
fallas en las
comunicaciones
Tabla No 15 Elementos vs Riesgo Elaborado por: Autor del proyecto.
57
Evaluación de Riesgos, Amenazas y Vulnerabilidades de los Sistemas que
actualmente utiliza la Cooperativa
Con el propósito de obtener un adecuado entendimiento de la implicancia que
tiene el uso de la tecnología, las amenazas y vulnerabilidades, así como las
iniciativas del negocio sobre la seguridad de la información de la Cooperativa, se
ha efectuado un análisis del cual hemos obtenido tres matrices, que nos muestran
la implicancia en seguridad que presentan cada uno de los factores mencionados
anteriormente, así como el estándar o medida a aplicar para minimizar los riesgos
correspondientes.
Matriz de Uso y Estrategia de Tecnología.
Esta matriz muestra la tecnología utilizada actualmente por la cooperativa y los
cambios estratégicos planificados que impactan en ella, las implicancias de
seguridad asociadas al uso de tecnología y los estándares o medidas propuestas
para minimizare los riesgos generados por la tecnología empleada.
TECNOLOGÍA IMPLICANCIA DE
SEGURIDAD
ESTÁNDAR O MEDIDA DE
SEGURIDAD A APLICAR ACTUAL
Windows 7
Se debe contar con
controles de acceso
adecuados a la data y
sistemas soportados por
el sistema operativo
Se debe definir una clave para la BIOS. Se debe crear usuarios con perfil limitado. Se debe definir usuario y clave. Se debe activar las directivas de contraseñas
- Parametrizar el cambio de clave
cada 30 días
- Historial de claves utilizadas
- Habilitar el nivel de complejidad
- Definir como mínimo ocho
caracteres.
Se debe suspender la combinación de teclas Ctrl+Alt+Del Se debe suspender el acceso al panel
58
Windows 2003
server
Se debe contar con
controles de acceso
adecuados a la data y
sistemas soportados por
el sistema operativo.
de control Se debe habilitar que el sistema solicite al usuario autenticarse al haber cierto período de inactividad. Se debe desactivar compartir discos duros. Se debe desactivar la opción de compartir archivos e impresoras. Se debe desactivar las conexiones de red que no se necesite o que estuvieran instaladas anteriormente. Se debe activar el servidor de seguridad incluido en Windows 7. Se debe mantener el sistema operativo con las actualizaciones críticas y periódicas al día.
Se debe aplicar estándares con mejores prácticas de seguridad para Windows 2003 server: Se debe definir una clave para la BIOS. Se debe crear usuario con perfil limitado Se debe crear y definir el active directory. Se debe parametrizar el cambio de clave cada 30 días. Se debe suspender el acceso al panel de control.
Se debe configurar y proteger los logs de sistema. Se debe mantener el sistema operativo con las actualizaciones críticas y periódicas al día.
Se debe aplicar estándares con mejores prácticas de seguridad para
59
Windows 2000
server
Linux (Centos)
Se debe contar con
controles de acceso
adecuados a la data y
sistemas soportados por
el sistema operativo
Se debe contar con
controles de acceso
adecuados a la data y
sistemas soportados por
el computador central.
Los controles que posee
este servidor deben ser
lo más restrictivos
posibles pues es el
blanco potencial de la
mayoría de intentos de
acceso no autorizado.
Windows 2000 server: Se debe definir una clave para la BIOS. Se debe crear usuario con perfil limitado Se debe parametrizar el cambio de clave cada 30 días Se debe suspender el acceso al panel de control Se debe configurar y proteger los logs de sistema Se debe mantener el sistema operativo con las actualizaciones críticas y periódicas al día.
Se debe aplicar estándares con mejores prácticas de seguridad para Linux:
Se debe crear usuario con perfil limitado sólo para consultas. Se debe definir una clave para la BIOS. Se debe parametrizar el cambio de clave cada 30 días. Se debe verificar los registros (logs) del sistema, tales como /var/log/messages para no perder de vista al sistema. Se debe permitir el acceso sólo a usuarios autorizados, cada uno de cuales necesitará contar con niveles de acceso diferentes y con derechos y permisos diferenciados dependiendo de su perfil. Se debe asegurar que cada usuario que ingresa al sistema sea quien dice ser, eliminando cualquier posibilidad de suplantación de identidad (usuarios
60
y claves) Realizar un monitoreo periódico de la actividad realizada en el servidor. Se debe mantener el sistema operativo con las actualizaciones críticas y periódicas al día.
Base de datos
My SQL
Informix
Se debe contar con
controles de acceso de
información de los
sistemas que soportan el
negocio de la
Cooperativa.
Se debe definir un
esquema que garantice
que la base de datos
Informix siempre esté
disponible e integra.
Se debe aplicar estándares de mejores prácticas de seguridad para bases de datos Informix y MySQL Se debe monitorear periódicamente los accesos otorgados a los usuarios del sistema. Se debe definir un esquema de "replica" de la información que mantiene su base de datos Informix a otra BD Informix remota en un local fuera de la oficina matriz.
Banca
Electrónica
Red Coonecta
(ventanillas
compartidas,
bono de
desarrollo)
Sistema de
pagos
interbancarios
(SPI)
Cajero
Automático
La transmisión de los
datos es realizada a
través de un medio
público (internet), se
debe contar con
medidas adecuadas
para mantener la
confidencialidad de la
información. (encripción
de la data).
Los servidores web
pueden ser blanco de
actividad es vandálicas
con el propósito de
Estándares de encripción de información transmitida. Los contratos de servicios con proveedores deben contar con cláusulas de confidencialidad y delimitación de responsabilidades. Se debe contar con acuerdos de nivel de servicios mínimos con proveedores, en los cuales se detalle el porcentaje mínimo de disponibilidad de los sistemas. Auditorias de seguridad independientes de la seguridad del servidor que brinda el servicio. Un proceso previo de certificación de servicio antes de la puesta en producción, firmado por ambas entidades.
61
Pago de planillas
eléctricas
afectar la imagen de la
Cooperativa.
La disponibilidad es un
factor estratégico para el
éxito del servicio.
Sistema central
CONEXUS
El sistema central es el
sistema que soporta la
mayoría de los procesos
del negocio de la
Cooperativa, por lo tanto,
todo acceso no
autorizado al servidor
representa un riesgo
potencial para el
negocio.
Crear perfiles de usuarios (roles) Asignar opciones a los usuarios a través de roles y perfiles Parametrizar el cambio de clave cada treinta días. Parametrizar para que un usuario solo pueda hacer uso de una sesión abierta. Monitorear periódicamente los accesos otorgados a los usuarios del sistema. Revisar y depurar de forma periódica los accesos otorgados (privilegios) a los sistemas de información. Realizar un control dual de aprobaciones en transacciones sensibles. Parametrización de pistas de auditoría en el sistema Efectuar revisiones periódicas de los registros (logs) del sistema y de las operaciones realizadas.
62
Computadores
personales
Se debe contar con
adecuados controles de
acceso a información
existente en
computadoras
personales.
Se requieren adecuados
controles de accesos a
la información de los
sistemas desde las
computadoras
personales de usuarios.
La existencia de diversos
sistemas operativos en
el parque de
computadores impide
estandarizar la
configuración de los
sistemas.
Debe existir un control
sobre los dispositivos
que pudieran facilitar
fuga de información
(disqueteras, grabadoras
de cd´s, flash memorys,
discos externos, etc.)
Se debe controlar y
monitorear las
aplicaciones y sistemas
instalados en las PC´s
Concientizar y entrenar a los usuarios en temas de seguridad de la información. Implementar controles de seguridad para computadores personales. Estandarizar el sistema operativo de los computadores a una plataforma única. Mantener actualizado y de forma periódica los inventarios del software instalado en los computadores. Efectuar monitoreo de carpetas compartidas. Efectuar monitoreo de las actividades de los usuarios. Definir un usuario y clave única para el ingreso al computador. Prohibir la extracción de información en flash memorys o cds; así como la información impresa. Deshabilitar dispositivos de salida extraíbles Cd’s, flash memorys; etc.
63
Conexión a
Internet y redes
públicas / Firewall
Riesgos de accesos no
autorizados desde
Internet y redes externas
hacia los sistemas de la
Cooperativa.
Adecuado uso del
acceso a Internet por
parte de los usuarios.
Los dispositivos que
permiten controlar
accesos, tales como
firewalls, servidores
Proxy, etc. Deben contar
con medidas de
seguridad adecuadas
para evitar su
manipulación por
personas no
autorizadas.
Definir políticas de seguridad Delimitar responsabilidades referentes a la seguridad de información en contratos con proveedores. Diseñar e implementar una arquitectura de seguridad de red; usando herramientas firewall físicas o lógicas para la administración del tráfico de red interna y externa. Utilizar un sistema de detección de intrusos; definiendo controles y filtros para el acceso a internet. Especificar acuerdos mínimos de nivel de servicio con el proveedor. Habilitar el filtrado de protocolos SSL, para certificar las páginas a visitar.
64
CONCLUSIONES Y RECOMENDACIONES.
CONCLUSIONES:
La indiferencia por parte de la Gerencia y de los entes directivos; conlleva a
la falta de apoyo económico a la gestión de informática para implantar
medidas de seguridad, lo cual provoca que la entidad tenga una mayor
exposición a los riesgos.
La seguridad de la información es una responsabilidad compartida de todos
los niveles de la organización, que requiere del apoyo de todos ellos, pero
debe estar dirigida por un plan y debe contar con una adecuada
coordinación.
En la actualidad en todas las empresas existe una necesidad más
frecuente de utilizar esquemas de seguridad fuertes, que permitan una
mayor confiabilidad de la información utilizada para la toma de decisiones.
El avance de la tecnología y del conocimiento de los seres humanos ya
sean usadas con buena o mala intención, vuelven más vulnerable a la
información exponiéndola a diversas amenazas tanto internas como
externas y volviéndola poco confiable.
Con este trabajo se desea fomentar una cultura de seguridad en la
cooperativa de ahorro y crédito “San Antonio”.
65
RECOMENDACIONES:
El presente documento debe ser sociabilizado al interior de la Institución a
todos sus funcionarios.
Se debe ejecutar el proceso de implementación de alto nivel definido en el
presente proyecto.
Se debe realizar un proceso de concientización periódico; además se
deben firmar actas de conocimiento del plan de seguridad con acuerdos de
confidencialidad a todos los funcionarios de la cooperativa.
Se deben ejecutar procesos de revisión permanentes de las normas de
seguridad implementadas; así como el grado de cumplimiento por parte de
los funcionarios de la Institución.
BIBLIOGRAFÍA
Aldás, C. &. (2011). Políticas de seguridad informática y la vulnerabilidad
de los entornos Web de la empresa Turbotech durante el año 2010.
Banco Interamericano de Desarrollo. (2013). Gestión de riesgo de
desastres naturales. Obtenido de
http://www.bvsde.paho.org/bvsacd/cd47/riesgo.pdf
Royer, J.-M. (2004). Seguridad en la informática de empresa: riesgos,
amenazas, prevención y soluciones. En J-M. Royer, Seguridad en la
informática de empresa: riesgos, amenazas, prevención y soluciones
(págs. 31-32-33). Ediciones ENI.
Francisco, S. B. (2007). El Kaizen: La filosofía de mejora continua e
innovación incremental detrás de la administración por calidad total.
México: Panorama editorial.
Gómez Vieites, Álvaro; Suarez Rey, Carlos. (2007). Sistemas de
Información Herramientas prácticas para la gestión empresarial. México:
Alfaomega Grupo Editor.
González, G. R. (2000). El concepto y alcance de la gestión tecnológica.
Revista Facultad de Ingeniería Universidad de Antioquia N° 21, 178-185.
KORSTANJE, M. (2012). "Una introducción al pensamiento de Cass
Sunstein". A Contracorriente. Una revista de Historial Social y Literatura de
América Latina. Vol. 9 (3): 291-315. NC State University, USA
ISOTools. (19 de Marzo de 2015). Qué son las normas ISO y cuál es su
finalidad. Obtenido de https://www.isotools.org/2015/03/19/que-son-las-
normas-iso-y- cual-es-su-finalidad/
Javier, A. (2008). Seguridad de la información, Redes informática y
sistemas de información. España, Madrid: Cengage Leaning Paraninfo S.A.
Muñoz Razo, C. (2002). Auditoría en sistemas computacionales. México:
Pearson Educación.
Robledo, P. (2011). El libro del BPM 2011. Tecnologías, Conceptos,
Enfoques Metodológicos y Estándares. Madrid: Print Marketing, S.L.
Villacís Reyes José, Gualotuña Tatiana, Hinojosa Cecilia. (s.f.).
Metodología para el análisis, diseño e implementación de procesos con
tecnología BPM (Business Process Management).
VAN BON, J. (2009). Diseño del Servicio Basado en ITIL V3 Amersfoort
Holanda Primera edición Impresa.
Alegsa Leandro (2016), “Informática”, Editorial Alegsa, Argentina.
Pérez Porto Julián (2008), “Informática”, Editorial Definición. De, México.
Vialfa Carlos (2017), “Programa informático”, Editorial SoftDoit, Madrid.
González Francisco (2012), “Introducción a los sistemas de información”,
Editorial UV.
Hernández Alejandro (2012), “Los sistemas de información: Evolución y
desarrollo”, Departamento de Economía y Dirección de Empresas,
Zaragoza.
Calzada Roosevelt (2013), “Sistema de información”, Editorial SISVAN,
Panamá.
Palmero Raúl (2010), “Sistemas integrados en la gestión de la
información”, Editorial Gestiopolis, Cuba.
Ingram David (2017), “Sistemas de gestión de información”, Editorial La voz
Houston, Houston.
Manzano Karen (2014), “Manual del sistema de gestión de seguridad de la
información”, Editorial Leasing, Bolívar.
Normas ISO 27001 (2016), “Sistemas de gestión normalizados”, IsoTools,
España.
Castro Raúl (2014), “Plan de seguridad informática”, Facultad de sistemas.
Ramírez Mara (2015), “¿Cómo definir un plan de seguridad informática?”,
TG.
Cacuango Andrew (2008), “Seguridad de la información”, Editorial Press.
Vargas Ana María (2011), “Gestión tecnológica: conceptos y casos de
aplicación”, Universidad industrial de Santander, Bucaramanga – Colombia.
Rodríguez Marcos (2013), “Metodología para la gestión de seguridad
informática”, Departamento de seguridad en redes informáticas.
ANEXOS.
A. ESQUEMA DE RED DE COMUNICACIÓN ACTUAL.
B. ESQUEMA DE RED DE COMUNICACIÓN PROPUESTA.
C. ESQUEMA DE ENLACE SUGERIDO PARA LA COOPERATIVA
Sugerimos la modificación de la infraestructura de comunicación actual por
partes, con el objetivo de mejorar la velocidad de transmisión de datos para ello
se instalarán antenas Marca TRANZEO TR-6000-N, 2,4Ghz (punto de
repetición) con antena direccional de frecuencia 2,4Ghz tipo grilla con conector
para cada agencia.
ATENA
DIRECCION
AL
MATRIZ
AGENCIA No. 1