Professional Documents
Culture Documents
LISANDRO ALVARADO
FABIOLA VILLASMIL
Barquisimeto, 2006
UNIVERSIDAD CENTROCCIDENTAL
LISANDRO ALVARADO
DECANATO DE CIENCIAS Y TECNOLOGA
COORDINACIN DE POSTGRADO
Barquisimeto, 2006
ii
_____________________
Jurado 1
_______________________
Jurado 2
_____________________________
Jurado 3
iii
AGRADECIMIENTOS
iv
INDICE DE CUADROS
Cuadro
1
2
3
4
5
Pg.
16
31
32
40
57
INDICE DE FIGURAS
Figura
1
2
3
4
5
6
7
8
9
10
Seguridad de la informacin
Modelo PDCA, Calidad de la Seguridad
Ciclo de la administracin de las polticas de seguridad
Medidas de Seguridad
Anlisis de Riesgos, Modelo de gestin
Proceso de la Administracin de Riesgos
Funcionamiento de Magerit
Evolucin del Estndar ISO-17799
Dominios de la ISO-17799
Esquema para la seguridad de la informacin para la PyME
vi
Pg.
20
26
30
31
33
36
37
44
46
82
INDICE DE GRFICOS
Grfico
Pg.
1
Riesgos que afectan la seguridad informtica. Indicador: 63
Sistemas y software en uso.
2
Riesgos que afectan la seguridad informtica. Indicador: 64
Permisos para acceso a la informacin.
Riesgos que afectan la seguridad informtica. Indicador: 65
3
Permisos para acceso a la informacin.
4
Riesgos que afectan la seguridad informtica. Indicador: 66
Normas para el uso de la informacin y equipos de
computacin.
Amenazas que afectan la seguridad informtica. Indicador: 67
5
Normas para el respaldo de datos.
6
Amenazas que afectan la seguridad informtica. Indicador: 67
Control de acceso a sistemas de informacin.
7
Vulnerabilidades que afectan la seguridad informtica. 68
Indicador: Control de acceso y seguridad fsica de las
instalaciones de la empresa.
8
Vulnerabilidades que afectan la seguridad informtica. 69
Indicador: Control de acceso y seguridad fsica de las
instalaciones de la empresa.
9
Vulnerabilidades que afectan la seguridad informtica. 70
Indicador: Control de acceso y seguridad fsica de las
instalaciones de la empresa.
10 Vulnerabilidades que afectan la seguridad informtica. 70
Indicador: Control de acceso y seguridad fsica de las
instalaciones de la empresa.
11 Controles para aplicaciones. Indicador: Uso de antivirus.
71
12 Controles para aplicaciones. Indicador: Uso de Firewalls
72
13 Auditorias de Sistemas y Control Interno. Indicador: Auditoria e 72
identificacin de problemas.
14 Auditorias de Sistemas y Control Interno. Indicador: Polticas 73
para la seguridad de la informacin y conocimiento sobre
normativa jurdica para la informacin.
15 Lineamientos de la Norma ISO-17799. Indicadores: 74
Conocimiento de la norma, Polticas documentadas para la
seguridad de la informacin y Asignacin de responsabilidades
en seguridad de la informacin
16 Lineamientos de la Norma ISO-17799. Indicadores: Asignacin 75
de responsabilidades en seguridad de la informacin.
vii
UNIVERSIDAD CENTROCCIDENTAL
LISANDRO ALVARADO
DECANATO DE CIENCIAS Y TECNOLOGA
COORDINACIN DE POSTGRADO
viii
INDICE GENERAL
AGRADECIMIENTO
NDICE DE CUADROS
NDICE DE FIGURAS
INDICE DE GRFICOS
RESUMEN
INTRODUCCIN
CAPTULO
I EL PROBLEMA
Planteamiento del Problema
Objetivos
General
Especficos
Justificacin e Importancia
Alcance
II MARCO TERICO
Antecedentes de la Investigacin
Bases Tericas
Bases Legales
Definicin de Trminos
Definicin de las variables en estudio
Operacionalizacin de las variables
III MARCO METODOLOGICO
Diseo y Tipo de Investigacin
Poblacin y Muestra
Tcnicas e Instrumentos de Recoleccin de Datos
Tcnicas de Anlisis de los Datos
Presentacin de los Resultados
IV ANALISIS E INTERPRETACIN DE LOS RESULTADOS
OBTENIDOS
V CONCLUSIONES Y RECOMENDACIONES
REFERENCIAS BIBLIOGRFICAS
ANEXOS
B Instrumento de Recoleccin de Datos
C Validacin del Instrumento de recoleccin de datos por juicio de
expertos.
ix
Pg.
iv
v
vi
vii
viii
1
3
3
11
11
11
11
13
14
14
16
49
54
56
57
59
59
60
61
62
62
63
76
83
88
88
92
INTRODUCCIN
sus
relaciones
con clientes,
proveedores,
empleados.
Las
consiguiente,
la
seguridad
informtica
esta
estrechamente
CAPITULO I
EL PROBLEMA
Este capitulo trata sobre el planteamiento del problema, que ser objeto
de la investigacin. Se relatar de forma breve las situaciones que dan origen
al tema seleccionado por el investigador para la elaboracin de este trabajo,
asimismo, se formulan el objetivo general y los objetivos especficos, adems
de la justificacin del problema y su alcance.
la
seguridad
informtica
es
un
tema
de
honda
procesos
de
establecimiento
de
seguridad
informtica
en
las
ITSEC
(Information
Technology
Security
Evaluation
Criteria)
equivalente europeo del Libro Naranja, moderno y con mayor alcance que
el Libro Naranja. Se conoce como el Libro Blanco.
el
10
OBJETIVOS DE LA INVESTIGACIN
Objetivo General:
Analizar los Riesgos de Seguridad Informtica en las Pequeas y
Medianas Empresas (PyME's), usando el Estndar ISO-17799 para la
definicin de polticas de seguridad que protejan sus Sistemas de
Informacin, con la finalidad de apoyar y mejorar el desempeo de este
grupo empresarial.
Objetivos Especficos:
a.-
JUSTIFICACIN E IMPORTANCIA
En
la
actualidad
las
PyME's
nivel
mundial,
trabajan
ALCANCE
13
CAPITULO II
MARCO TERICO
ANTECEDENTES DE LA INVESTIGACIN
relacionadas
con
el
tema,
las
cuales
proporcionaron
seguridad informtica en la
14
involucrados:
tecnologa,
marco
legal,
compatible
con
la
15
BASES TERICAS
Tipo de Industria
Ventas anuales en UT
Pequea
11 a 50
9001 a 100.000
Mediana
51 a 100
100.001 a 250.000
16
17
El autor sugiere una lista de pasos para la adopcin de TICs por parte
de este grupo empresarial:
Se debe identificar el rea de la empresa. Para sealar cuales
son las necesidades de informacin que tiene.
Establecer los Objetivos. Por cada una de las reas que integra
una empresa, los cuales deben corresponderse con el objetivo
principal de la organizacin.
Deben establecerse las formas de medir los objetivos y los
requerimientos de informacin necesarios.
Determinar un presupuesto disponible para el proyecto.
Proveedores de TIC Comprar o desarrollar? Consultar los
diferentes proveedores de servicios de TICs de la localidad,
preguntar a otras empresas, a los empresarios del mismo ramo o
de otro, en busca de opciones y posibilidades de compra de
sistemas de informacin. Es necesario evaluar las alternativas
tomando como referencia los objetivos establecidos y el
presupuesto.
Involucrar al personal. todos deben identificarse con el proceso
de cambio, deben formar parte de l, conocer sus beneficios.
Prepararlos con capacitacin para el uso de las TIC.
Cuanto durar el Proyecto? Determinar el tiempo adecuado
para la puesta en funcionamiento de los nuevos recursos en
tecnologas de la informacin. Crear un plan de trabajo claro y
preciso.
Ledn (2005), agrega que actualmente la tecnologa ha resultado
ser vital para las PyMEs, debe ser una herramienta integrada en los
procesos de estas organizaciones. Es un catalizador de innovacin y
transformacin en las empresas.
De lo antes expuesto, se puede concluir que las empresas tipo PyME,
necesitan de alguien que las gue u oriente en la adquisicin de TICs, las
cuales podran resultar ampliamente beneficiosas, si son administradas de
forma oportuna, responsable y eficiente, con el fin de aprovechar las ventajas
competitivas que estas les ofrecen.
Otro factor que afecta el desarrollo de la PyME, es el relativo a las
personas, o capital humano como tambin se le conoce.
18
19
Figura 1.
Fuente: Tomado y adaptado de Espieira, Sheldon y Asociados (2005), Seguridad de la
Informacin: Componente Organizacional, Recursos, Procesos y Tecnologa.
20
21
Laudon
(2002),
menciona
algunos
argumentos
que
podran
23
de
los
sistemas
ante
las
amenazas
fsicas,
incendios,
informacin.
Con relacin a lo anterior, Donado y otros (2002), proporcionan una
definicin de seguridad informtica lgica, en la que se refiere como todos
los recursos de computacin lgicos como: sistemas operativos, bases de
datos, programas de desarrollo, editores, etc. Los cuales intervienen en el
manejo de la informacin, incluye adems los procedimientos y la
administracin de los programas.
Ellos explican algunos de los objetivos de la seguridad lgica que se
desglosan a continuacin:
Informacin disponible: indica que el usuario debe tenerla
siempre que la requiera.
24
Figura 2.
Fuente: Villaln (2005). Modelo PDCA, Calidad de la seguridad.
26
27
informtica,
asignar
los
recursos
comunicar
clara
29
2.
Desarrollo:
Conformar los
equipos de
trabajo
3.
Publicacin
4.
Educacin:
entrenamiento y
aceptacin de
las polticas
1.
Creacin:
Soporte en las
mejores
prcticas
5.
Cumplimiento:
indicadores de
cumplimiento
Figura 3.
Fuente: tomado y adaptado ITELLIGENCE de Venezuela (2005), Ciclo de Administracin de
las polticas de Seguridad.
30
como
Figura 4
Fuente: Barzanallana (2006), Medidas de Seguridad
31
Para
concluir,
es
necesario
comprender
que
las
medidas
32
Impacto: consecuencia
amenaza.
Figura 5.
Fuente: Witte (2003), Anlisis de riesgos, modelo de gestin.
33
porque
le
ayuda
prevenir
futuros
inconvenientes,
35
2. Identificar Riesgos
Monitorear y
Revisar
3. Anlisis de Riesgos
de
carcter
pblico,
perteneciente
al
Ministerio
de
36
Figura 7.
Fuente: Consejo Superior de Informtica, Ministerio de Administraciones Pblicas, Espaa.
Funcionamiento de Magerit.
Amenazas
Entre los objetivos de la seguridad de la informacin, est la de
protegerla, tanto de amenazas fortuitas, como deliberadas. Ellas, afectan
principalmente al hardware, al software y a los datos.
37
Bossio y Gros (2003), listan algunas de las posibles amenazas a las que
se enfrenta una organizacin en la actualidad:
La mayor parte de los fraudes ocurren a travs del uso de los
sistemas.
Una empresa puede ser enjuiciada por incumplimiento de leyes
y reglamentaciones (Habeas Data, (propiedad Intelectual).
legalidad)
En los equipos puede haber software no licenciado (pirata).
La propiedad de la informacin y el desarrollo a favor de la
empresa puede no estar asegurada (falta de contratos).
Algunos empleados y terceros pueden no conservar o respetar
los contratos de confidencialidad.
Confidencialidad relacionada con:
Distribuir informacin.
Distribuir datos que atenten contra la privacidad de los
empleados.
Obtener la documentacin impresa de la basura.
Acceso a la informacin no recogida de las impresoras
por parte de personas ajenas a la organizacin.
Disponibilidad: Se puede no disponer de la informacin en el
momento adecuado.
Witte (2003), complementa la lista anterior agregando las siguientes
variables:
Accidentes: Averas, Catstrofes, Interrupciones.
Errores: de Uso, Diseo, Control.
Intencionales Presnciales: Atentado con acceso fsico no
autorizado.
Intencionales Remotas: Requieren acceso al canal de
comunicacin. Dentro de las cuales se encuentran:
Interceptacin pasiva de la informacin (amenaza a la
confidencialidad).
Corrupcin o destruccin de la informacin (amenaza a la
integridad).
Suplantacin de origen (amenaza a la autenticacin).
Por otra parte, Witte (2003), relaciona algunas de las causas que han
aumentado las amenazas para la seguridad de la informacin:
Crecimiento exponencial de las redes y
Interconectados.
38
de los usuarios
Ataques informticos
Al momento de establecer polticas de seguridad para la informacin,
es necesario determinar que tipos de ataques informticos podran afectar a
dicho sistema. Hoy da con los avances tecnolgicos del momento, cualquier
organizacin puede ser victima de un ataque informtico en sus sistemas.
Partiendo de la premisa de que la seguridad total no existe, es un indicativo
de que se deben conocer los ataques o amenazas que pueden afectar una
empresa.
39
Fraude
Sabotaje
Revelacin
Gusanos
Malversacin
Espionaje
Virus
Caballos de Troya
Robo
Chantaje
Mascarada
Spam
Virus
de
Computadora:
definidos
como
cdigo
de
programacin,
Personas:
Generalmente relacionadas con el rea de informtica, pueden ser
desarrollares
programadores
de
software,
expertos
en
redes
acadmicos
tcnicos
para
infringir,
causar
daos
40
para
los
delincuentes
informticos,
quienes
tienen
los
43
Figura 8.
Fuente: Villaln, (2005). Evolucin del estndar ISO 17799.
44
las
45
Figura 9.
Fuente: Tomado y adaptado, Villaln (2004). Dominios de la ISO-17799.
46
Cada uno de los dominios (ver figura 9), establece una serie de
controles que sern seleccionados dependiendo de los resultados obtenidos
en el anlisis de riesgos, adems, existen controles obligatorios para toda
organizacin, como los de polticas de seguridad cuyo nmero depender
ms de la organizacin que del estndar, el cual no establece este nivel de
detalle.
Beneficios que puede aportar la implementacin de esta norma a una
organizacin:
Establecimiento de metodologas de gestin de la seguridad
claras y estructuradas.
Reduccin del riesgo de prdida, robo o corrupcin de
informacin.
Los clientes tienen acceso a la informacin a travs medidas de
seguridad.
Los riesgos y sus controles respectivos son continuamente
revisados.
Confianza de clientes y socios estratgicos por la garanta de
calidad y confidencialidad comercial.
Las auditorias externas ayudan a identificar las debilidades del
sistema y las reas que se pueden mejorar.
El sistema se integra con otros sistemas de gestin (ISO9001,
ISO14001, etc.).
Continuidad de las operaciones necesarias de negocio tras
incidentes de gravedad.
Conformidad con la legislacin vigente sobre informacin
personal, propiedad intelectual y otras.
Imagen de empresa a nivel internacional y elemento
diferenciador de la competencia.
Proporciona confianza y reglas claras a las personas de la
organizacin.
Reduce costes y mejora los procesos y el servicio.
Aumenta la motivacin y satisfaccin del personal.
Seguridad garantizada en base a la gestin de procesos en vez
de en la compra sistemtica de productos y tecnologas.
El estndar ISO 17799, es revisado en el 2005 y se producen algunos
cambios, lo cuales sern recopilados en una nueva norma denominada ISO
27002. Adems la ISO, trabaja en otros estndares diseados para el rea
47
Definiciones y trminos
Controles esenciales
Factores crticos de xito
Estructura del estndar
Contenido de los controles.
Dos nuevas clusulas generales
Nueva clusula de control (rea de control o dominio de
control)
Clusulas, objetivos de control y controles modificados.
Adems incluye los aspectos nuevos dentro de la norma ISO
17799:
Seguridad en los servicios externos y de outsourcing.
Gestin de vulnerabilidades tecnolgicas.
Enfoque en la gestin de incidentes.
Comunicaciones mviles, remotas y distribuidas en el
tratamiento de la informacin.
Clarificacin en la evaluacin y tratamiento del riesgo.
Nuevos controles para la gestin de personal.
Nuevos controles en relacin con clientes y entrega de
servicios.
Culminando con la descripcin de las tareas de gestin y anlisis de
Riesgos en seguridad informtica, es necesario mencionar que en la
actualidad, todas estas funciones se estn agrupando bajo lo que se conoce
como SGSI (Sistemas de Gestin de la Seguridad de la informacin). Dado
que la seguridad de la informacin, es un elemento que evoluciona rpida y
continuamente, y se hace necesario el control y seguimiento de los
procedimientos aplicados, en forma permanente.
48
BASES LEGALES
49
de
informacin entre
los
diferentes
51
TITULO VI
DERECHOS Y GARANTAS DE LOS CIUDADANOS
Carcter confidencial y privado de la informacin.
Artculo 66. La informacin sobre la vida privada e intimidad de las
personas es de carcter confidencial y privado. Los datos
personales asentados en archivos, registros, bases de datos, u
otros medios electrnicos de tratamiento de datos, estarn
ntegramente protegidos para garantizar el derecho al honor y a la
intimidad de las personas, as como tambin el acceso a la
informacin que sobre las mismas se registre, de conformidad a lo
establecido en los artculos 28, 60 y 143 de la Constitucin
Nacional.
Ley para el establecimiento, control, y desarrollo de las tecnologas de
la informacin en el pas, adems de incluir un apartado hacia el
aseguramiento de la informacin por parte de sus propietarios. Esta ley
establece lineamientos claros a seguir para la proteccin de la informacin
por parte de todas las organizaciones que utilizan TICs para el apoyo de sus
operaciones, donde se establece el carcter privado y confidencial de la
informacin, salvo las excepciones indicadas por las leyes de la repblica.
53
DEFINICIN DE TERMINOS
54
55
SISTEMA DE VARIABLES
56
Objetivo General
Analizar los
Riesgos de
Seguridad
Informtica en las
Pequeas y
Medianas
Empresas
(PyMEs), usando
el Estndar ISO17799 para la
definicin de
polticas de
seguridad que
protejan sus
Sistemas de
Informacin
Objetivos Especficos.
Dimensiones
Vulnerabilidades
57
Indicadores
Sistemas y software en
uso en la empresa.
Permisos para acceso a la
informacin.
Normas para el uso de la
informacin y
equipos de
computacin.
Normas para respaldo de
datos.
Control de acceso a
sistemas de informacin
Control de acceso y
seguridad fsica de las
instalaciones de la empresa.
Plizas de seguros.
tems
12,13, 14
2,17,18
1,2,6,16
2, 11
15,16,17,18
7,8,9
22
Objetivo General
Objetivos Especficos.
Analizar los
Riesgos de
Seguridad
Informtica en las
Pequeas y
Medianas
Empresas
(PyMEs), usando
el Estndar ISO17799 para la
definicin de
polticas de
seguridad que
protejan sus
Sistemas de
Informacin.
(2)
Determinar
las
herramientas necesarias para
el control
de la seguridad
informtica, a travs del
anlisis,
categorizacin
y
monitoreo de los riesgos que
afectan a los sistemas de
informacin que apoyan a las
PyMEs
Dimensiones
Indicadores
tems
Controles para
aplicaciones
Uso de antivirus.
Uso de Firewalls
Auditorias de
Sistemas y Control
interno
19,20
Auditoria de sistemas e
identificacin de problemas.
Polticas de seguridad para
1,2,3,10, 21
uso de la informacin.
Conocimiento de las
normas jurdicas para el uso 24
de la informacin.
58
12
13
Conocimiento de la norma 23
ISO-17799.
Polticas documentadas
1,2,19,20
para el uso de la informacin.
Asignacin de
4,5
responsabilidades en materia
de seguridad de la
informacin.
CAPITULO III
MARCO METODOLGICO
Toda investigacin cientfica, requiere de una metodologa previa que
le indique al investigador, los pasos necesarios para lograr los objetivos
propuestos en la investigacin. Este capitulo refiere todo lo relacionado con
los principios metodolgicos que se usaron en el estudio planteado.
para la
59
Muestra:
la muestra se usa, el
60
61
y un
mtodologo.
Tcnicas de Anlisis de Datos
En esta fase se procede a la clasificacin, anlisis e interpretacin de la
informacin recolectada. Balestrini (1997), comenta: es una etapa de
carcter tcnico, pero de reflexin, que involucra la introduccin de tcnicas
adecuadas la para la organizacin de la informacin.
62
CAPITULO IV
ANALISIS E INTERPRETACIN
DE LOS RESULTADOS OBTENIDOS
Una vez concluida la fase de recoleccin de los datos, en una
investigacin cientfica, es necesario que se analice, interprete y se presente
la informacin obtenida. Este Capitulo trata lo relacionado con el anlisis e
interpretacin de los resultados encontrados en el estudio propuesto.
Luego de aplicarse el instrumento de recoleccin datos, que se diseo
para la investigacin en estudio, que trata sobre los Riesgos de Seguridad
Informtica, l cual se desarroll en las Pequeas y Medianas Empresas
(PyME's), se presenta a continuacin la informacin recaudada.
30
muestra
25
20
15
10
5
0
tem 14
Siempre
Casi Siempre
A veces
Nunca
Grafico Nro. 1. Riesgos que afectan la seguridad informtica. Indicador: Sistemas y software
en uso.
Fuente: Elaboracin propia, Villasmil (2006).
63
30
muestra
25
20
15
10
5
0
tem 17
Siempre
tem18
Casi Siempre
A veces
Nunca
Grafico Nro. 2. Riesgos que afectan la seguridad informtica. Indicador: Permisos para
acceso a la informacin.
Fuente: Elaboracin propia, Villasmil (2006).
64
sus
sistemas
de
informacin
siempre
tienen
estos
controles
establecidos, 23% manifest que casi siempre los sistemas tienen incluidos
los requerimientos para la seguridad de la informacin, un 7% respondi que
a veces estn incluidos, mientras que un grupo del 13% no los aplica con
regularidad. Lo que permite deducir que no todas las empresas controlan
adecuadamente el acceso a su informacin.
muestra
30
25
20
15
10
5
0
tem 2
Grafico Nro. 3. Riesgos que afectan la seguridad informtica. Indicador: Permisos para
acceso a la informacin.
Fuente: Elaboracin propia, Villasmil (2006).
contesto que poseen manuales para indicar el personal con acceso a los
computadores, mientras que el 17% selecciono la opcin horario de trabajo
en los equipos de computacin; de lo anterior se desprende que el uso de
manuales y normas para el rea de informtica, no es algo de uso comn
dentro de las empresas estudiadas, pudindose considerar un riesgo en
cuanto a la seguridad informtica.
30
muestra
25
20
15
10
5
0
tem 6
Siempre
tem 16
Casi Siempre
A veces
Nunca
Grafico Nro. 4. Riesgos que afectan la seguridad informtica. Indicador: Normas para el uso
de la informacin y equipos de computacin.
Fuente: Elaboracin propia, Villasmil (2006).
66
pudindose
deducir que este grupo empresarial se preocupa por aplicar estas medidas
de seguridad para su informacin.
30
muestra
25
20
15
10
5
0
tem 11
Siempre
Casi Siempre
A veces
Nunca
Grafico Nro. 5. Amenazas que afectan la seguridad informtica. Indicador: Normas para el
respaldo de datos.
Fuente: Elaboracin propia, Villasmil (2006).
El grfico Nro. 5, muestra los resultados obtenidos para el tem 11, que
se relaciona con la frecuencia de respaldo de archivos o base de datos,
donde se puede apreciar que un 77% de la muestra estudiada siempre
realiza esta tarea, mientras que un 23% respondi que casi siempre hacen
los procesos de respaldo de informacin, induciendo que esta es una norma
comn en las empresas estudiadas.
30
muestra
25
20
15
10
5
0
tem 15
Siempre
Casi Siempre
A veces
Nunca
30
muestra
25
20
15
10
5
0
tem 7
Fuego
Sabotaje
Inundaciones
Terremotos
68
muestra
30
25
20
15
10
5
0
tem 8
Aire Acondicionado
Cerraduras especiales
Detectores de humo
todas respondieron
69
30
muestra
25
20
15
10
5
0
tem 9
Vigilancia slo en la Estrada principal
Circuito cerrado de TV
Control acceso por medios Electrnicos
muestra
25
20
15
10
5
0
tem 22
Siempre
Casi Siempre
A veces
Nunca
Grafico Nro. 10. Vulnerabilidades que afectan la seguridad informtica. Indicador: Control
de acceso y seguridad fsica de las instalaciones de la empresa.
Fuente: Elaboracin propia, Villasmil (2006).
70
muestra
25
20
15
10
5
0
tem 12
Siempre
Casi Siempre
A veces
Nunca
71
30
muestra
25
20
15
10
5
0
tem 13
Si
No
30
muestra
25
20
15
10
5
0
tem 19
Siempre
tem 20
Casi Siempre
A veces
Nunca
72
muestra
25
20
15
10
5
0
tem 3
tem 10
Si
tem 21
tem 24
No
Grafico Nro. 14. Auditorias de Sistemas y Control Interno. Indicador: Polticas para la
seguridad de la informacin y conocimiento sobre normativa jurdica para la informacin.
Fuente: Elaboracin propia, Villasmil (2006).
la
muestra
un
porcentaje
importante
muestra
25
20
15
10
5
0
tem 1
tem 4
Si
tem 23
No
referido al conocimiento de las empresas en estudio sobre el estndar ISO17799, en donde se encontr que un 60%, no tienen conocimiento sobre el
mencionado estndar, aunque un 40% manifest conocerlas. De lo anterior
se puede deducir que la mayora de los encuestados tienen polticas de
seguridad de la informacin, pero desconocen las normas ISO-17799.
30
muestra
25
20
15
10
5
0
tem 5
Siempre
Casi Siempre
A veces
Nunca
75
CAPITULO V
CONCLUSIONES Y RECOMENDACIONES
Se pudo observar que entre las PyMEs estudiadas se utilizan poco los
76
Una alta proporcin de las PyMEs, audita sus sistemas con relativa
Recomendaciones
77
78
1)
4)
Para concluir se presenta en la figura Nro. 10, un esquema sobre los pasos a
seguir por la PyME, para mejorar la seguridad de la informacin en sus
sistemas.
81
Evaluar:
Qu proteger?, De qu
protegerlo?, Cmo
protegerlo?
Identificar: Activos de la
informacin, amenazas,
vulnerabilidades,
riesgos.
Disear la normativa
que permita proteger,
los activos de la
informacin.
Aplicar las
herramientas y
controles
necesarios.
Difusin e
induccin del
personal
involucrado.
Revisar peridicamente
amenazas,
vulnerabilidades, riesgos.
82
REFERENCIAS BIBLIOGRFICAS
83
ITELLIGENCE DE VENEZUELA,
(2005). Polticas de Seguridad
Informtica: Mejores Prcticas Internacionales. Conferencia. Url:
http://www.cavedatos.org.ve/download/cdt_289.pps
Consulta (25/04/2006)
IZQUIERDO, F., (2005). Administracin de Riesgos de TI. Conferencia.
Banco
de
la
Repblica
de
Colombia.
Url:
www.felaban.com/memorias_congreso_clain_2005/
10izquierdo_f_adm_riesgo_ti.pdf. Consulta (24/04/06)
JIMENEZ, J., (2005). Evaluacin seguridad de un sistema de
informacin.
Per: Ilustrados.com, 2005. (p 10 19). Url:
http://site.ebrary.com/lib/biblioelectronucla/Doc?id=10095478&ppg=10
Consulta (11/04/2006). Base de Datos E-Libro.
LAUNDON, K. y LAUNDON, J., (2002), Sistemas de Informacin
Gerencial, 6ta Edic. Editorial Prentice Hall.
84
la
Universidad
de
Carabobo.
Articulos.
http://www.gestiopolis.com/Canales4/emp/devepymes.htm.
Consulta (29/04/2006)
Url.
Espaa.
url.
http://www.criptored.upm.es/guiateoria/gt_m209d.htm
consulta (24/02/2006)
86
87
ANEXO B
.-Instrumento de Recoleccin de Datos
UNIVERSIDAD CENTROCCIDENTAL
LISANDRO ALVARADO
DECANATO DE CIENCIAS Y TECNOLOGA
COORDINACIN DE POSTGRADO
Estimado(a):
Atentamente,
AdS. Fabiola Villasmil
88
1)
No
No
No
casi siempre
a veces
nunca
casi siempre
a veces
89
nunca
7) La planta fsica donde estn las computadoras, est libre de riesgos como?
Inundaciones
Terremotos
Fuego
Sabotaje
Otros(indique)__________________________
8) Los locales donde estn las computadoras poseen?
Aire acondicionado
Alarmas contra fuego
Detectores de Humo
cerraduras especiales
Otros(indique) _________________________
9) El acceso de personas a la empresa es controlado por?
Circuito cerrado de TV
Control de acceso por medios electrnicos
Vigilancia solo en la entrada principal
Otro(indique)___________________________
10) Existen bateras o UPS para resguardo de los computadores importantes de
la empresa?
Si
No
casi siempre
a veces
nunca
casi siempre
a veces
nunca
No
90
casi siempre
a veces
nunca
casi siempre
a veces
nunca
casi siempre
a veces
nunca
casi siempre
a veces
nunca
casi siempre
a veces
nunca
casi siempre
a veces
nunca
casi siempre
a veces
nunca
No
casi siempre
a veces
nunca
No
No
91
ANEXO C
.-Validacin del Instrumento de Recoleccin de datos por Juicio de Expertos.
UNIVERSIDAD CENTROCCIDENTAL
LISANDRO ALVARADO
DECANATO DE CIENCIAS Y TECNOLOGA
COORDINACIN DE POSTGRADO
Estimado Profesor(a):
permitir
Atentamente,
AdS. Fabiola Villasmil
92
UNIVERSIDAD CENTROCCIDENTAL
LISANDRO ALVARADO
DECANATO DE CIENCIAS Y TECNOLOGA
COORDINACIN DE POSTGRADO
MATRIZ DE VALIDACIN PARA JUICIO DE EXPERTOS
Indicador
Informacin sobre:
Sistemas y software en uso en la empresa
tems
12,13,14
2,17,18
Apreciacin
A B C D
B = Modificar
C = Eliminar
15,16,17,18
1,2,19,20
23
4,5
D = Incluir otra
pregunta
Observaciones:_________________________________________
___________
_______________________________________________________
___________
_______________________________________________________
___________
93