universidad regional autÓnoma de los andes uniandes...

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES

UNIANDES - BABAHOYO

FACULTAD SISTEMAS MERCANTILES

CARRERA SISTEMAS

PROYECTO DE INVESTIGACIÓN PREVIO A LA OBTENCIÓN DEL TÍTULO DE

INGENIERA EN SISTEMAS E INFORMÁTICA.

TEMA:

PLAN DE SEGURIDAD INFORMÁTICA EN REDES Y LA GESTIÓN OPERATIVA

DE LA COOPERATIVA DE AHORRO Y CRÉDITO

“SAN ANTONIO”.

AUTOR:

TATIANA YADIRA MOREIRA ASPIAZU.

TUTOR:

MGTR. OCHOA ESCOBAR LAURA MARLENE

Ambato – Ecuador

2019

APROBACION DEL TUTOR DEL TRABAJO DE TITULACION

CERTIFICACION

Quien suscribe, legalmente CERTIFICO QUE: El presente Proyecto de

Investigación desarrollado por la señorita TATIANA YADIRA MOREIRA ASPIAZU,

estudiante de la Carrera de Sistemas, Facultad de Sistemas Mercantiles, titulado

PLAN DE SEGURIDAD INFORMÁTICA EN REDES Y LA GESTIÓN OPERATIVA DE LA

COOPERATIVA DE AHORRO Y CRÉDITO “SAN ANTONIO”, ha sido revisado y

cumple con todos los requisitos establecidos en la normativa pertinente de la

Universidad Autónoma Regional de Los Andes UNIANDES, por lo que se aprueba

su presentación.

Babahoyo, Febrero del 2019

MGTR. OCHOA ESCOBAR LAURA MARLENE

TUTORA

DECLARACION DE AUTENTICIDAD

Yo, TATIANA YADIRA MOREIRA ASPIAZU estudiante de la carrera de Sistemas,

Facultad de Sistemas Mercantiles, declaro que todos los resultados obtenidos en

el presente trabajo de investigación, previo a la obtención del título de

INGENIERA EN SISTEMAS E INFORMÁTICA son absolutamente originales,

auténticos y personales; a excepción de las citas, por lo que son de mi exclusiva

responsabilidad.


TATIANA YADIRA MOREIRA ASPIAZU

AUTORA

CI: 1204451106

CERTIFICACIÓN DEL LECTOR DEL TRABAJO DE TITULACIÓN

Yo, Lcdo. Fredy Jordan Cordones, MIE. En calidad de lector del Proyecto de Titulación. CERTIFICO: Que el presente trabajo, de titulación realizado por la estudiante Tatiana Yadira Moreira Aspiazu sobre el tema: “PLAN DE SEGURIDAD INFORMATICA EN REDES Y LA GESTION OPERATIVA DE LA COOPERATIVA DE AHORRO Y CREDITO “SAN ANTONIO”, ha sido cuidadosamente revisado por la suscrita, por lo que he podido constatar que cumple con todos los requisitos de fondo y forma establecidos por la Universidad Regional Autónoma de Los Andes, para esta clase de trabajos, por lo que autorizo su presentación.


LCDO. FREDY JORDAN CORDONES.MIC LECTOR

DERECHO DE AUTOR

Yo, MOREIRA ASPIAZU TATIANA YADIRA, declaro que conozco y acepto la disposición constante en el literal d) del Art. 85 del Estatuto de la Universidad Regional Autónoma de Los Andes, que en su parte pertinente textualmente dice: El patrimonio de la UNIANDES, está constituido por: La propiedad intelectual sobre las investigaciones, trabajos científicos o técnicos, proyectos profesionales y consultoría que se realicen en la Universidad o por cuenta de ella;


MOREIRA ASPIAZU TATIANA YADIRA

C.I. 1204451106

AUTORA

DEDICATORIA

El presente trabajo de investigación está dedicado especialmente a Dios, ya que gracias a él y sus bendiciones he logrado culminar con mi carrera. A mis Padres, por su amor puro y sincero, por el sacrificio diario para que nada me falte ya que son el pilar fundamental en mi formación profesional, me han dado todo lo que soy como persona, mis valores, mis principios, mi perseverancia y mi empeño, todo ello para ser de mí una mujer profesional. A mis hermanos Darío, Danilo, Oscar por ser mis ejemplos a seguir, por motivarme a ser mejor cada día a seguir adelante y ser una profesional. A mi amado hijo Carlitos Moisés, por ser mi fuente de motivación e inspiración para poder superarme cada día más y así poder luchar para que la vida nos depare una vida mejor.

Tatiana Yadira Moreira Aspiazu

AGRADECIMIENTO

Primeramente agradezco a la Universidad UNIANDES por haberme aceptado ser parte de ella y abierto las puertas de su seno científico para poder estudiar mi carrera, así también a los diferentes docentes que me brindaron sus conocimientos y su apoyo para seguir adelante día a día. Agradezco también a mi asesor de tesis la MSc. Laura Ochoa por haberme brindado la oportunidad de recurrir a su capacidad y conocimiento científico, y darme la guía necesaria en este proceso de trabajo de investigación. Y para finalizar, también agradezco a todos los que fueron mis compañeros de clase durante todos los niveles de UNIVERSIDAD ya que gracias al compañerismo, amistad y apoyo han aportado un gran porcentaje a mis ganas de seguir adelante en mi carrera profesional.

Tatiana Yadira Moreira Aspiazu

RESUMEN EJECUTIVO

El presente trabajo de investigación tiene por objetivo examinar las debilidades de

los diferentes procesos que se llevan a cabo en el interior de la Cooperativa de

Ahorro y Crédito San Antonio Ltda. apoyados por la tecnología informática.

Para el desarrollo de la investigación se empleó el paradigma cuantitativa y

cualitativa. El método Bibliográfico permitió recopilar la información existente en

diferentes fuentes con ello se desarrolla el marco teórico donde se fundamentaron

científicamente las variables dependiente e independiente de trabajo de

investigación. El método de campo permitió llevar a cabo levantamiento de

información en el sitio donde se manifiestan los síntomas de la problemática,

como es la Cooperativa de Ahorro y Crédito “San Antonio Lta”. Y finalmente el

método aplicado permitió fusionar el aspecto teórico con lo práctico del trabajo de

grado.

Como resultado del presente Proyecto de Investigación se obtuvo un Plan de

Seguridad Informática en Redes que permitirá mejorar la gestión operativa de la

Cooperativa, el mismo que fue validado por peritos en el área de la seguridad

informática.

Este trabajo investigativo aportará de manera significativa al crecimiento de esta

entidad pública.

ABSTRACT

The objective of this investigation is to examine the weaknesses of the different processes

that are carried out within the Cooperativa de Ahorro y Crédito San Antonio supported by

computer technology.

For the development of the research, the quantitative and qualitative paradigms were used,

the bibliographic method allowed the collection of existing information from different

sources, thereby developing the theoretical framework where the dependent and

independent variables of the research were scientifically based. The field method allowed

to carry out a field investigation in the place where the problem was manifested, the

Cooperativa de Ahorro y Crédito "San Antonio". And finally, the Applied method allowed

to merge in the investigation the theoretical aspect with the practice.

As a result of this investigation, a networks computer security plan was created, which will

improve the operational management of the Cooperative. This plan was validated by

experts in the area of computer security.

This research will contribute significantly to the growth of this public entity.

INDICE GENERAL

CARATULA

APROBACION DEL TITULO DEL TRABAJO DE INVESTIGACION

DECLARACIÓN DE AUTENTICIDAD

CERTIFICACION DEL LECTOR DEL TRABAJO DE TITULACION DERECHOS DE AUTOR DEDICATORIA

AGRADECIMIENTO

RESUMEN EJECUTIVO

ABSTRACT

INTRODUCCIÓN

Actualidad e Importancia ................................................................................. 1

Descripción de la actualidad nacional e internacional sobre el proyecto ......... 3

Importancia del tema a desarrollar para el desarrollo socioeconomico………………..4

Situación Problémica ....................................................................................... 4

Problema Científico………………………………………………………………….5 Identificación de la Línea de Investigación …………………………….…………6 Objetivo General. ............................................................................................. 6

Objetivos Específicos:...................................................................................... 6

CAPITULO I

FUNDAMENTACIÓN TEÓRICA ...................................................................... 7

Antecedentes de la Investigación……………………………………………...…..7

Conceptos referentes a la Informática. ............................................................ 8

Sistemas de Información ................................................................................. 9

Sistemas de Gestión de la Información ..........................................................10

Sistemas de Gestión de seguridad de la Información .....................................11

Plan de Seguridad Informático ........................................................................12

Políticas de segurirdad informática de los usuarios ........................................13

Amenazas Informáticas ..................................................................................14

Virus Informaticos ...........................................................................................15

Hackers ...........................................................................................................15

Phishing ..........................................................................................................16

Administración de servicios y procesos tecnologícos .....................................17

Criterios de Evaluación de Riesgo ..................................................................18

Procesos para Ejecutar un plan de Seguridad Informática. ............................19

Aportes en el análisis de las teórias y de los trabajos desarrollados ..............21

Actualidad Ecuatoriana del sector donde se desarrolla el proyecto ................22

CAPITULO II

DISEÑO METODOLOGÍCO Y DIAGNOSTICO ..............................................24

Paradigma y tipo de Investigación ..................................................................24

Procedimiento para la busqueda y procesamiento de dato ............................25

Resultados del Diagnóstico de la situación Actual ..........................................25

Entrevista al Gerente y personal Administrativos de la Cooperativa ..............26

Resumen de las principales insuficiencias detectadas en la investigación . ...36

CAPITULO III

PROPUESTA DE SOLUCIÓN AL PROBLEMA. .............................................37

Nombre de la Propuesta .................................................................................37

Objetivo General .............................................................................................37

Objetivos Especificos ......................................................................................37

Diagnostico de la situación actual ...................................................................37

Administración de los Riesgos de la Tecnología de la Información ................39

Características de los Recursos Tecnológicos ...............................................49

Cableado Estructurado ...................................................................................55

Cableado Horizontal .......................................................................................55

Matriz de Riesgo según cada Elemento. ........................................................55

Matriz de Uso y Estrategia Tecnológica..........................................................57

CONCLUSIONES Y RECOMENDACIONES

Conclusiones. .................................................................................................64

Recomendaciones. .........................................................................................65

BIBLIOGRAFÍA

ANEXO 1

ANEXO 2

ÍNDICE DE TABLAS.

Tabla 1. Plan de Seguridad Informático……………………………………….. 21

Tabla 2. Población de la Cooperativa de Ahorro y Crédito “San Antonio”…. 25

Tabla 3. Muestra para la Investigación……………………………………….. 25

Tabla 4. Resultados encuesta pregunta 1 …………...……………………….. 26






Tabla 10. Resultados encuesta pregunta 7………........………………………. 32



Tabla 13. Resultados encuesta pregunta 10………......………………………. 35

Tabla 14. Nivel de Importancia por componentes…......………………………. 55

Tabla 15. Elementos vs Riesgo…………………….........………………………. 56

ÍNDICE DE GRÁFICOS.

Figura 1. Proceso de un Sistema de Gestión de Seguridad de la

Información.

12

Figura 2. Políticas de Seguridad Informática de los usuarios. 14

Figura 3. Administración de Servicios y Procesos Tecnológicos. 18

Figura 4. Proceso para ejecutar un plan de Seguridad Informático. 19

Figura 5. Gráfico estadístico Pregunta 1………………………………. 26






Figura 11. Gráfico estadístico Pregunta 7………….…………………… 32

Figura 12. Gráfico estadístico Pregunta 8…………..…………………... 33

Figura 13. Gráfico estadístico Pregunta 9…………..…………………... 34

Figura 14. Gráfico estadístico Pregunta 10……………………………... 35

Figura 15. Principales Insuficiencias Detectadas………………………. 36

Figura 16. Departamento TIC de Cooperativa Ahorro y Crédito……… 48

1

Introducción

Actualidad e importancia

El modelo económico social y solidario surge como un principio alternativo y

virtuoso, frente a la aparición de crisis del capitalismo mundial, basado en

patrones de consumo insostenibles en el tiempo. En la cooperativa de ahorro y

crédito “San Antonio” se han encontrado cada vez más falencias en los planes

estratégicos sobre su gestión operativa.

La acumulación desmesurada de riesgos y mala administración de servicios

tecnológicos se ha visto atentado con la población que conforman todo el instituto,

provocando perdida de información, gastos por los daños causados y se ha

atentado contra la sostenibilidad de la institución. Los más afectados son las

personas en situación de vulnerabilidad, es decir, las personas que laboran y

manejan la administración de todos los datos requeridos y necesarios de la

institución.

La visión de un sistema de gestión de plan de seguridad en redes nace a partir de

los efectos que se han generado como ejemplo en otras instituciones de un

modelo de plan de seguridad que ha privilegiado la generación de nuevas formas

y métodos a costa de las nuevas tecnologías y su entorno, equilibrando los gastos

generados para la implementación del mismo y el desarrollo de la institución.

La estabilidad de la correcta administración de servicios tecnológicos dependerá

en buena parte de la capacidad de prevenir y responder a las situaciones de

pérdida y a través de esa pérdida se producen gastos, provenientes

principalmente desde el interior de la institución, muy comunes en el entorno de la

ciberseguridad provocado por personas que encuentran sectores vulnerables el

instituto ya que no existe un plan de seguridad. Sin embargo, uno de los factores

para consolidar un crecimiento de desarrollo tecnológico y sostenible dependerá

de la generación de condiciones que permitan niveles óptimos de producción y

seguridad en el marco de la sostenibilidad externa e interna.

2

El modelo económico ecuatoriano establecido en la Constitución reconoce la

generación de oportunidades para los ciudadanos a través de la reducción de

brechas sociales y económicas, y la posibilidad de crecer en armonía con el

medio ambiente. Para la consecución exitosa de los objetivos de un plan de

seguridad propuesto, es necesaria la vinculación entre los sectores

administrativos de la institución, y en conjunto con los directivos para la

generación de oportunidades de crecimiento tecnológico en un marco de

sostenibilidad, eliminando la precariedad de daños causados por déficit en los

servicios y procesos tecnológicos y contando con bases sólidas para enfrentar

situaciones económicas adversas.

En el plan nacional del buen vivir en la Constitución se establece que las finanzas

públicas, en todos los niveles de gobierno, se conducirán de forma sostenible,

responsable y transparente y procurarán la estabilidad económica (Constitución

del Ecuador, art. 285). Además, manda que la política tributaria debe promover la

redistribución y estimular el empleo, la producción de bienes y servicios y

conductas ecológicas, sociales y económicas responsables.

En la cooperativa de ahorro y crédito “San Antonio” desea suministrar los medios

de servicios y procesos tecnológicos necesarios para que todo sea realizado y

ejecutado con eficiencia; se desean establecer niveles de seguridad informática

que garanticen la seguridad de la información; orientar y estar prevenido a los

ataques que se pueden dar en referente a datos pertinentes de la institución y

promover medios de seguridad que estimulen la eficiencia y la disminución de

pérdida de información.

El objetivo del plan nacional del buen vivir: Consolidar la sostenibilidad del

sistema económico social y solidario, y afianzar la dolarización tiene referencia

con el proyecto de investigación propuesto ya que se desea evitar la afectación

generalizada de gastos operacionales, no sólo para mantener seguridad a través

de normas y un plan de seguridad de servicios y procesos tecnológicos, sino

también para evitar la pérdida de información necesaria que es de vital

importancia en la Institución. Por medio de un sistema de gestión de seguridad se

desea generar confianza y mejorar el clima de los procesos.

3

Descripción de la actualidad internacional y nacional con respecto al

proyecto de investigación

Muchas organizaciones tienen dentro de sus objetivos mejorar de manera

continua sus servicios y procesos, para esto tratan de gestionar y medir cada

parámetro, lo que les permite poder determinar cuándo algún cambio puede

afectar la producción o los servicios que brindan. Esto mismo se debe hacer con

la seguridad de la información.

Uno de los asuntos más importantes para medir y analizar en la seguridad de la

información son los incidentes, es decir, los eventos no deseados que se detectan

en la red o en los servicios y que pueden poner en riesgo la disponibilidad, la

confidencialidad o la integridad de la información. Cada evento debe ser

registrado y calificado para así poder determinar cómo reaccionar ante cada

incidente.

Los incidentes de seguridad siempre van a existir sin importar los controles que

implementen las organizaciones. Pero a pesar de ello hay que tener claro cuáles

son los incidentes más comunes en la empresa, permite orientar las inversiones

en seguridad hacia las brechas que mayor impacto pueden generar en caso que

un incidente se materialice.

Todos los sistemas de gestión de seguridad en este caso para servicios y

procesos que normalmente se usan, priorizan la gestión de incidentes, con el

objeto de poder detectarlo en el menor tiempo posible y así poder actuar según la

criticidad del mismo en su mitigación y control.

Alguna de las otras ventajas que se obtiene al gestionar incidentes son las

evidencias, lo cual para casos de fraudes internos o externos dentro de la

institución permitiría entregar al área legal una prueba concreta y válida ante un

posible proceso administrativo interno o judicial, para lo cual es conveniente que

esta recopilación de evidencias se realice cumpliendo las normas legales para

esos procedimientos.

4

Importancia del tema a desarrollar para el desarrollo socioeconómico del

cantón y de la provincia

En la actualidad en la provincia de Los Ríos y en el cantón Babahoyo la mayor

cantidad de empresas, cuentan gracias a los avances tecnológicos y a la

disponibilidad de herramientas y recursos con un buen sistema de gestión que le

resulta viable y que le acompañe en su crecimiento, incentive mejorar los

procesos y servicios tecnológicos de cada compañía, resguardando la información

que es de vital importancia en organización.

En ese sentido, es totalmente necesario que toda empresa, opte por hacer uso de

la mayoría de las herramientas de gestión que le sirvan tanto en los procesos

diarios como para poder medir todas las variables relacionadas a su negocio. El

objetivo de los sistemas de gestión relacionados a la seguridad de la información

es lograr una planificación de las actividades en el mediano y largo plazo que le

redunden en beneficios operativos y económicos todos los datos que pertenecen

a la empresa.

Una de las principales ventajas que brindaría a las empresas del cantón

Babahoyo contar con un sistema de gestión de seguridad de los procesos y

servicios tecnológicos es que logra establecer un planeamiento estratégico de la

compañía, facilitando a sus directivos el enfoque en lo realmente importante, con

la seguridad garantizada del resto de los procesos, ya que se evita la sobrecarga

de trabajos y la dificultad para acceder a la información del negocio. Si bien la

primera etapa del proceso de implementación es ardua, el sistema generará, en

un mediano plazo, la posibilidad de organizar estratégicamente la información y

permitirá obtener mejores resultados administrativos.

Situación problémica.

El uso de las redes en las empresas es vital para el manejo de la información,

pues en los actuales momentos sin el uso de las mismas no podemos realizar

ningún proceso o mantener un negocio, inclusive las redes LAN han traspasado

sus límites y al integrarse al internet los procesos se vuelven más dinámicos, sin

5

embargo, los procedimientos de seguridad en muchas ocasiones no se toman en

cuentas por no existir políticas de seguridad.

En algunas de las visitas técnicas realizadas a la Institución, se han podido

apreciar algunas dificultades relacionadas con elevados niveles de riesgo

operativo debido a la carencia de políticas asociadas a la seguridad informática

necesaria en todas las operaciones de la Cooperativa que son apoyadas por la

tecnología informática, así tenemos:

La carencia de elementos de seguridad básica como redes perimetrales

(Dmz), firewall, routers en la Cooperativa, imposibilita las seguridades en esta

empresa.

Muchas redes inalámbricas no poseen clave de acceso, y las que tienen no

son cambiadas periódicamente.

La conectividad a Internet posibilita que se tengan accesos externos, los

cuales no han sido controlados adecuadamente, produciéndose incluso

perdidas de información por accesos indebidos, y por daños debido a virus y

más.

No se tiene una cultura de la seguridad local empezando por los usuarios,

muchos equipos no tienen sus claves de acceso, de igual forma los

protectores de pantalla, lo cual posibilita que, si por alguna razón un usuario

deja su computador, este puede ser mal utilizado.

No se tiene elementos de seguridad informática en Internet relacionados con

el control de ancho de banda y el impedimento de ingresar a determinados

sitios.

Todo lo descrito anteriormente lleva a concluir que la Institución posee niveles

muy bajos de seguridad informática, esto conlleva un elevado riesgo en la

operatividad institucional, ya que se maneja mucha información confidencial de

los clientes.

Problema Científico.

¿Cómo disminuir los elevados niveles de riesgo operativo que se producen en los

diferentes procesos apoyados por la tecnología informática, al interior de la

Cooperativa San Antonio?

6

Identificación de la línea de investigación.

Tecnologías de la Información y Comunicación.

Objetivo general.

Desarrollar un Plan de seguridad informática en redes para la Cooperativa de

ahorro y crédito San Antonio, el mismo que luego de ser aplicado producirá un

mejoramiento de la gestión operativa que realiza la empresa.

Objetivos específicos

Fundamentar bibliográficamente las seguridades informáticas

especialmente en redes y la gestión operativa.

Diagnosticar los niveles de seguridad informática existente en la

Cooperativa de ahorro y crédito San Antonio especialmente a nivel de

redes.

Desarrollar un plan de seguridad informática especializado en redes, el

cual constara de algunas estrategias como por ejemplo firewall lógicos,

físicos, redes perimetrales, servidores de direcciones seguras y más.

7

CAPÍTULO 1

FUNDAMENTACIÓN TEÓRICA

Antecedentes de la Investigación.

El auge de las Nuevas tecnologías de la información en todas las esferas da paso

al movimiento conocido como SOCIEDAD DE LA INFORMACIÓN. En esta toma

una vital importancia la Información que poseen las empresas surgiendo asi la

necesidad de sistemas de gestión de la seguridad de la información, que

garanticen que los conflictos de la seguridad de la información sean distinguidos,

asumidos, gestionados y minimizados por las empresas de una forma

documentada, sistemática, estructurada, repetible, eficiente y adaptada a los

cambios que se produzcan en los riesgos, el entorno y las tecnologías.

Se ha realizado una investigación preliminar en varios repositorios pertenecientes

a Universidades del país, en esta se han localizado algunos proyectos de

investigación relacionados con el aspecto de la seguridad informática, estos

trabajos serán tomados como antecedentes para el desarrollo de la presente

investigación:

El proyecto del señor Diego Paul Palma Rivera, (2010). “Implementación,

configuración de un servidor RADIUS para la administración y seguridad de

acceso al servicio Wireless en la Uniandes extensión Santo Domingo”.

El trabajo investigativo de los autores Marcel Eduardo León Lafebré, Evelyn

Anabell Mota Orrala (2011). “Implementación, de un sistema de gestión de

seguridad de la información usando la norma ISO 27002 sobre un sitio de

comercio electrónico para una nueva institución bancaria aplicando los dominios

de control ISO 27002:2005 y la utilización de la metodología MAGERIT”.

El proyecto de investigación del Magister Albiño Mendoza Miguel Antonio, (2016).

“Sistema de gestión y comercialización electrónica desarrollado en software libre

para la publicidad y ventas en la empresa EDU-LIQUID en la ciudad de Quevedo”,

8

en este trabajo el autor tiene como objetivo mejorar la gestión comercial de la

empresa mediante la utilización de las TIC.

Y el trabajo de grado del Magister Mejía Viteri, José, (2015). “Plan de seguridad

informática del departamento de Tecnologías de la Información y Comunicación

de la Universidad Técnica de Babahoyo para mejorar la gestión en la

confidencialidad e integridad de la información”.

Todos estos trabajos investigativos hacen énfasis en la importancia de la

seguridad informática hoy en día en las empresas para asegurar un control,

gestión y administración de la información confiable, segura y oportuna.

Actualidad del objeto de investigación, principales conceptos expuestos por

autores nacionales e internacionales

1.1. Conceptos referentes a la informática

La informática es una ciencia que permite estudiar el tratamiento automático de

toda la información que está en las computadoras, dispositivos electrónicos y

sistemas informáticos. La informática ayuda a establecer los métodos y técnicas

necesarios para guardar, procesar y transmitir información y datos de una manera

más eficiente. La informática estudia las computadoras, sus aplicaciones y más.

(Alegsa Leandro 2016).

La informática es aquella que estudiar programas lo que son capaces de realizar,

de la eficacia de las operaciones que se emplean, de cómo están organizados y

almacenados los datos y de cómo es la comunicación entre programas, humanos

y máquinas. La informática es esencial en procesos tecnológicos, en cada

suministración de los procesos informáticos a realizar en un tema planteado.

(Pérez Porto Julián 2008).

Un programa informático es un conjunto de herramientas, instrucciones y

comandos escritos en código para elaborar tareas específicas en una

computadora. Por ello, en cualquier equipo tecnológico se requiere de diversos

programas para que este siga ejecutándose en las instrucciones a través

9

procesador central. Con una dimensión ejecutable, el ordenador puede hacer uso

directamente de las instrucciones para compilar el programa. (Vialfa Carlos 2017).

Un sistema es un conjunto de elementos que se encuentran relacionados entre sí,

para lograr un fin en especial, puede ser el de resolver un problema requerido por

una empresa. Fuente: El autor.

1.2. Sistemas de información

Un sistema de información es cualquier sistema que utiliza equipos de

computación para la recopilación, adquisición, almacenamiento,

modificación y actualización de datos pertinentes en una compañía. Los

sistemas de información administran toda la información requerida en una

base de datos. Estos sistemas de información proveen los datos que

necesita una organización para realizar las tareas correspondientes. Los

sistemas de información son muy importantes dentro de los negocios de

una compañía, ya que son requeridos para dar el apoyo correcto en la

toma de decisiones por parte de los ejecutivos de una empresa. (González

Francisco 2012).

Según (Hernández Alejandro 2012, pág. 3), Un sistema de información es

aquel que proporciona información para el eficiente control de la totalidad

de las actividades de la empresa, logrando así comprobar el cumplimiento

de cada una de las metas establecidas por la empresa. Los sistemas de

información prácticamente abarcan a todos los departamentos de la

empresa y a la gestión en general de la organización. Un SI permite

interactuar con los diferentes agentes (ejecutivos) de la empresa,

brindando que estos hagan uso del sistema de información para satisfacer

sus necesidades de una manera eficaz.

Un sistema de información es un conjunto de herramientas que logran interacción

entre sí con un fin en especial; estos sistemas permiten que la información esté

accesible para satisfacer cada una de las necesidades en una empresa, un

sistema de información no siempre se requiere contar con un recurso de computo,

10

aunque estos sistemas disponen del mismo, facilitando el manejo e interpretación

de toda la información por los usuarios. (Calzada Roosevelt 2013).

1.3. Sistemas de gestión de información

El autor (Palmero Raúl 2010) manifiesta que los sistemas de información,

son parte principal de la infraestructura para la eficiente gestión

empresarial, administran la información e impulsan la generación de

nuevos conocimientos para la búsqueda de soluciones a los diferentes

problemas que enfrentan la mayoría de las empresas. La gestión de la

información es un proceso que brinda la oportunidad de administrar y

gestionar todos los recursos requeridos para la toma de decisiones, así

como para restablecer los procesos, productos y servicios de la compañía,

estos sistemas son de vital importancia en las empresas actuales.

Un sistema de gestión de la información es necesario en una empresa, ya

que permite recopilar toda la información necesaria realizando procesos

como almacenamiento, recopilación, modificación, actualización de todos

los datos importantes en una organización. Los sistemas de gestión de

información son esenciales en la toma de decisiones porque a raíz de

muchos datos tomados se ven las necesidades que la compañía tiene,

estos sistemas por lo general son utilizados en la mayoría de las empresas

a nivel mundial. Los sistemas de gestión de información utilizan motores

de base de datos o gestores de base de datos, que son almacenamientos

para guardar grandes cantidades de información, estos gestores de base

de datos utilizan herramientas importantes. Fuente: El autor.

El propósito más importante de un sistema de gestión de la información es

lograr que cada una de la toma de decisiones en base de los gerentes sea

más ágil, rápida, eficiente y productiva. A través de la combinación de la

información de diferentes fuentes en una sola base de datos y muestra de

toda la información de una manera lógica, un MIS puede brindar la

oportunidad a los administradores con todo lo que requieren para tomar

excelentes decisiones altamente informadas y así llegar a realizar un claro

análisis en profundidad de las cuestiones operativas. (Ingram David 2017).

11

1.4. Sistemas de gestión de seguridad de la información

Un sistema de gestión de seguridad de la información ayuda a tomar una decisión

estratégica de negocio, de acuerdo a que se ve influenciada la empresa a raíz de

las necesidades, objetivos, requisitos de seguridad y los procesos de la

compañía. Los sistemas de gestión de seguridad de la información ayudan a

incrementar la seguridad de la información mediante el mantenimiento de la

integridad, disponibilidad y confidencialidad de la información. (Manzano Karen

2014).

Un sistema de gestión de la seguridad de la información consiste en el

resguarda miento de su confidencialidad, integridad y disponibilidad, así en

conjunto con cada uno de los sistemas implicados en su tratamiento, dentro

de una organización. La gestión de la seguridad de la información debe

realizarse a través de procesos sistemáticos, documentados y que sean

conocidos por toda la empresa. Para dar confianza a una compañía de que

la seguridad de la información es suministrada correctamente, se tiene que

realizar informes que sean conocidos por todos los que conforman la

organización, desde un enfoque de riesgo empresarial. Los sistemas de

gestión de seguridad de la información ayudan a establecer estas diversas

políticas y procedimientos para lograr los objetivos de negocio de la

empresa, con el propósito de mantener un bajo al nivel de los riesgos que

la organización ha admitido tener. (Normas ISO 27001, 2016).

En las (Normas ISO 27001, 2016) se declara que la única forma de

manejar todas las medidas de seguridad correspondientes es implementar

los procesos de seguridad y dar las respuestas debidamente claras. Todos

esos enfoques se encuentran basados en los procesos dentro de los

estándares de gestión. Si se tomara la norma ISO 9001 como una norma

muy parecida, el propósito seria el siguiente: no se puede esperar de parte

de una empresa que para producir problemas de alta gama sólo es

completamente necesaria la realización de un excelente control de la

calidad de los sistemas implementados para mantener la seguridad de la

información, lo necesario es diseñar nuevos procesos de producción que

enfaticen desde normas para la calidad, a la contribución de la formación

12

de todos los empleados, para así hacerle frente a la eficiencia de los

productos que son conformes.

1.4.1. Proceso de un sistema de gestión de seguridad de la información

Figura 1

Fuente: El autor

1.5. Plan de seguridad informático

Un Plan de Seguridad Informática permite la agrupación de documentos

fundamentales e importantes para el control y la seguridad a cualquier

problema o déficit que amenace contra las tecnologías informáticas de

alguna institución, empresa u organización. Los planes de seguridad

informática toman medidas que son establecidas para proteger y

resguardar ya sea la información, procesos, activos de una empresa. Estos

planes permiten realizar un monitoreo constante de todas las operaciones

que se llevan a cabo, los ejecutores y vigilantes que se realicen estos

planes son los administradores y desarrolladores del mismo. (Castro Raúl

2014).

.

Crear

Guardar Utilizar

Compartir Archivar

Destruir

13

Según (Ramírez Mara 2015, pág. 1) manifiesta que un plan de seguridad

informática hace énfasis en la implementación de la seguridad, las normas

y las políticas definidas, las medidas y cada uno de los procedimientos

dados. Un plan de seguridad informática se va desarrollando en la base de

cada uno de los recursos informáticos obtenidos en la completa

dependencia de cada uno de los niveles de seguridad alcanzados y de los

niveles de seguridad que se puedan cumplir. Los planes de seguridad

informática se tienen que enfocar sobre todas las acciones que se realizan

para lograr los objetivos superiores de la seguridad de todos los procesos

que se llevan a cabo en una organización. Es de completa importancia el

definir los alcances de un plan de seguridad informática. En concordancia

con los especialistas de la informática especialidad en los servicios de

seguridad lógica para diversas empresas, el alcance y la visión ayuda en

establecer la definición de las prioridades y medidas de las acciones

haciéndose dependiente de los recursos informáticos.

Un plan de seguridad informático es necesario implementarlo en cada empresa

para mantener seguros ya sean los procesos, los activos y la información

importante de cada empresa. Los planes de seguridad informática facilitan la

visualización de las vulnerabilidades que posee una empresa. Fuente: El autor.

1.5.1. Políticas de seguridad informática de los usuarios que utilizan

las tecnologías informáticas.

A continuación, se declaran políticas de seguridad informática para las personas

que hacen uso de las tecnologías informáticas.

14

Figura 2

Fuente: El autor.

Las políticas de seguridad informática en una empresa o centro educativo deben y

tienen que ser analizadas, estructuras y correctamente definidas para resguardar

cada uno de los procesos y activos que se poseen. Las políticas de seguridad no

solo dependerán de los administradores del mismo sino también de los que hacen

uso (usuarios) de los servicios tecnológicos. El autor.

1.6. Amenazas informáticas

Según Cacuango Andrew (2008), menciona las siguientes amenazas

informáticas:

Los usuarios sonresponsables dela informacionque usen.

Los usuariossolo tienenacceso a losrecursos quenecesiten parasu labor.

Los jefes de área deben garantizar la

seguridad informática.

Todo softwareutilizado debeser examinadopara resguardarla seguridad dela empresa.

15

1.6.1. Virus informático

Un virus informático es un tipo de programa y virus que se copia

automáticamente y fácilmente y que tiene como fin objeto alterar

funcionamiento normal de la computadora, sin ningún permiso o aviso del

conocimiento del usuario. Los virus tipos de virus que se replican,

reproducen y se ejecutan automáticamente. Los virus, normalmente,

utilizan el reemplazo de archivos compilados por otros que ya se

encuentran infectados con el código del mismo. Los virus son capaces de

hasta destruir, de manera muy intencionada, todos los datos almacenados

que se encuentran en una computadora, aunque a veces también existen

otros que son tranquilos, y solo se conocen por ser molestos.

1.6.1.1. Formas de contagio

Las formas de contagio más comunes son las siguientes: la primera es por motivo

del internet que se usa diariamente y directamente a lo que hace es disminuir la

velocidad de conexión, y la otra manera es compilado códigos de un archivo que

ya está contagiado por efecto del mismo usuario.

1.6.1.2. Forma de combatirlos

Ya que todos los virus son demasiado fastidiosos y al mismo tiempo pueden

dañar, destruir e infectar gran parte de los archivos que se encuentran en el

ordenador, es totalmente recomendable estar protegido y seguro con un

excelente antivirus, todos los antivirus son encargados de buscar los archivos

contagiados y eliminarlos de la computadora.

1.6.2. Hackers

A los hackers se les es conocido como informáticos capacitados

extremadamente y con un nivel de conocimiento mucho más elevado,

aunque por lo general a ellos se los denomina como maestros de los

maestros. Un hacker en informática es normalmente especificado como un

usuario ajeno y fuera que ingresa en la computadora con intenciones de

16

dañar, robar información y de causar problemas muy parecidos al de un

spyware. La única distinción que existe es que en este caso se hace

referencia a una persona física que a por medio de sus diversos

conocimientos, va rompiendo las barreras de seguridad que se le

atraviesen para entrar a un lugar específico o computador.

1.6.2.1. Daños

Los daños más comunes que se pueden causar por medio de un hacker

informático son como tantos problemas como daños totalmente

irreparables debido a que es una persona que los provoca a través de sus

conocimientos obtenidos, los daños que surgen son muy parecidos que al

nivel de maldad de la persona que usurpa y roba dentro de tu computadora

o lo que él quiera hackear, se han encontrado casos que después de que

los hackers roban toda la información o se llevan algo del ordenador que

ellos necesitan, son capaces de hasta dañar y destruir el computador que

ellos usaron.

1.6.2.2. Formas de combatirlos

La mejor manera de poder combatirlos es no ingresar a páginas de Internet que

sean de dudosa procedencia ni tampoco dar ningún tipo de información por

medios de los cuales no existen una total confianza del mismo, pero además de

eso la mejor vía para poder evitarlos pude ser que sea la más fácil, pero en

realidad no es de mucha confianza, es que con otro hacker mucho mejor

capacitado que el que ha usurpado tu información se lo pueda combatir.

1.6.3. Phishing

El phishing es comúnmente un fraude online, y los phishers nada menos que los

estafadores en informática tecnológica. Ellos hacen utilización de los spams,

portales Web de dudosa procedencia y fraudulentos, e-mails y mensajes

instantáneos para lograr que los usuarios envíen información muy delicada, como

información de datos bancarios y de tarjetas de crédito, o puede ser acceso a

cuentas personales.

17

1.6.3.1. ¿Cómo se lo puede descubrir?

Los phishers, por lo general se hacen pasar por empresas legales, que pueden

hacer uso de e-mails para requerir información y hacer que los usuarios que

recién el aviso responda a través de muchas páginas Web dudosas. También se

pueden avisar de lo que es necesaria una acción de urgencia para lograr que los

usuarios descarguen programas con malas intenciones en las computadoras.

1.6.3.2. ¿Qué puedes hacer?

Para saber que se puede hacer, hay que asegurarse de lo siguiente:

- Hay que asegurarse de que las cuentas online estén aseguradas -- cambia

las claves de tus cuentas constantemente.

- Hay que asegurarse de que se encuentran activados los filtros anti

phishing, una característica de Internet Explorer.

- Hay que ponerse en contacto con los proveedores de anti-spyware/anti

virus para ver qué otros pasos pueden dar.

- Tener activo el antivirus.

1.7. Administración de servicios y procesos tecnológicos

La administración de servicios y procesos tecnológicos ayudan al cumplimiento de

las disposiciones diversas legales que se encuentran en vigencia, con el objetivo

de gestionar correctamente la seguridad de toda la información como los sistemas

informáticos y el ambiente tecnológico en una empresa. (Manzano Karen 2014).

La correcta administración de servicios tecnológico hace referencia a:

18

Figura 3

Fuente: El autor

Los pasos correspondientes a seguir facilitan el monitoreo de las vulnerabilidad y

problemas que lleguen a aparecer en cada servicio y proceso tecnológico, el

resguardo de la información y de los activos dependerá de cada norma de

seguridad informática establecida para ejecutar un plan de seguridad informática

eficiente. Fuente: El autor.

1.7.1. Criterios de evaluación de riesgos

Según (Vargas Ana María 2011) manifiesta en que los criterios de evaluación de

riesgos hacen énfasis en la observación directa y el análisis de los problemas que

puedan darse en el área tecnológica de una empresa, para ello de declaran tres

ítems importantes:

- Hay que identificar los riesgos que pueden aparecer conjuntamente en el

momento que se esté ejecutando cada proceso tecnológico, por medio del

control y el seguimiento se puede llevar a cabo mejores formas para logar

mejorar constantemente los servicios y que puedan disminuir los factores

de riesgo.

Documentacion correspondiente parasaber cuales son las vulnerabiliudades dela institución

Implementar normas de seguridad a partirde los resultados obtenidos a traves delos informes.

Evualar esas normas a por medio deauditorias internas y externas.

Mejorar continuamente la eficiencia detodas esas normas de seguridadinformática.

19

- Debe existir un reconocimiento y se tiene que realizar reportes de los

factores, eventos y problemas de riesgo, todos esos aspectos dependerán

de la responsabilidad de los ejecutores del plan de seguridad informática.

- Los jefes del área de tecnología o Tics serán los que estén totalmente

responsables de validar, documentar y firmar el registro de los eventos o

incidente y problemas de seguridad de la información que lleguen a

suceder, a raíz de eso se tendrán que elaborar informes para tomar las

medidas necesarias al mismo.

Según (Rodríguez Marcos 2013) es posible disminuir los riesgos que se

presentan en cada proceso y servicio tecnológico, pero no todos los riesgos

son susceptibles hacer que sean tratados de una manera muy rápida. El

tiempo que se tome en corregir los problemas que aparezcan dependerán del

nivel de daños que se ha efectuado, las decisiones también dependerán de

cómo se encuentren los informes de los datos obtenidos a través de

información resumida por medio de una matriz o perfil de riesgo. Los riesgos

que poseen un nivel muy alto y crítico se consideran inaceptables y por lo

general siempre se les da la prioridad a todos esos riesgos y daños que

aparecen.

1.7.2. Proceso para ejecutar un plan de seguridad informático

En la siguiente figura se declaran los procesos a realizar para que se pueda

ejecutar un plan de seguridad informático.

20

Figura 4

Fuente: El autor

Este es un modelo aplicado para que pueda ser usado en la planificación de un

plan de seguridad informática. Si se siguen los pasos de acuerdo al modelo

planteado los procesos que se realicen serán eficientes. (Vargas Ana María

2011).

Explicación de los procesos para realizar un plan de seguridad informático

Planificar

Se establecen objetivos, procesos y procedimientos, para

saber ¿Qué es lo que se va a hacer?, ¿Cómo se lo va a

hacer?, analizando las herramientas que se van a usar para la

correcta planificación del mismo.

Planificar

Hacer

Verificar

Actuar

21

Hacer

A través de este ítem se garantiza la correcta implementación

de todos los controles elegidos para el correcto funcionamiento

del plan de seguridad informático.

Verificar

Se evalúan y se analizan los procesos para el resguardo de

toda la información y activos de la institución.

Actuar

Después de todos los pasos nombrados anteriormente, en este

ahora si ejecutan las normas establecidas por el plan de

seguridad informática.

Tabla 1

Fuente: El autor.

La realización de un plan de seguridad informática ejecutándolo con cada uno de

los pasos nombrados anteriormente seria de mucha ayuda para que sea

implementado en la mayoría de las empresas. A través de un plan de seguridad

informática no solo se pueden disminuir las vulnerabilidades de los servicios

tecnológicos, sino también tomar las mejores decisiones para saber que hacer

antes tales situaciones.

Aportes en el análisis de las teorías y de los trabajos desarrollados en el

área del conocimiento.

Según González Francisco 2012, mencionan que un sistema de información es un

sistema que hace uso de equipos de computación para la recopilación,

adquisición, almacenamiento, modificación y actualización de información

necesaria en una empresa. Los sistemas de información son capaces de

suministrar toda la información que se encuentran en una base de datos.

El autor de este proyecto de investigación da un análisis acerca de los sistemas

de gestión de la información, el comenta que estos sistemas son necesarios para

22

todas las empresas, ya que por medio de esos sistemas se pueden estructura los

datos de una manera eficiente y ágil a la vez. Los sistemas de gestión de

información facilitan la toma de decisiones porque estos sistemas recopilan

información necesaria para saber cómo se están ejecutando todos los procesos

en una organización.

Según Manzano Karen 2014, manifiesta que un sistema de gestión enfocado en

la seguridad de la información permite ayudar a tomar mejores decisiones, y esas

decisiones se trasforman en estrategias de negocio, estos sistemas permiten el

análisis de las necesidades de la empresa, protegiendo toda la información de la

misma. También estos sistemas ayudan a incrementar la seguridad de la

información.

El autor de este proyecto de investigación también menciona las políticas de

seguridad informática que se deben seguir, tales como:

- Los usuarios serán responsables del tipo de información que manejen

dentro de los servicios tecnológicos.

- Los usuarios solo tendrán acceso a los recursos que necesitan para

realizar sus labores.

- Todo software debe ser analizado y monitoreado para evitar cualquier

problema que se pueda dar.

Actualidad ecuatoriana del sector de donde se desarrolla el proyecto.

Babahoyo es un cantón agrícola donde por lo general se siembre y cosecha

banano y arroz. Existen muchas empresas y fabricas que se especializan en la

comercialización de los productos anteriormente mencionados. La ciudad de

Babahoyo tiene el mejor enlace comercial de la provincia debido a la agricultura

de alta escala y a sus cultivos de gran calidad. En esta zona del país se cultiva:

arroz, soya, maíz, banano, cacao, entre otros productos. El compromiso y la labor

de su pueblo montubio, fortalecen la actividad productiva agroindustrial

consolidándose como una zona fértil.

23

En las empresas del cantón Babahoyo también se utiliza tecnología y se realizan

servicios y procesos tecnológicos para ejecutar acciones en la mejora de las

mismas, pero, ¿será que podrían existir problemas, fallas o pérdida de

información en algunas de esas empresas?, para evitar o disminuir cualquier

riesgo que se llegue a subsistir, sería necesario para ellos la implementación de

un plan de seguridad informático que de acuerdo a la información tomada se

elaborarían normas y se establecerían procedimientos para evitar muchos daños

que perjudicarían a las diferentes empresas del cantón.

24

CAPITULO II

DISEÑO METODOLÓGICO Y DIAGNOSTICO.

2.1. Paradigma y tipo de investigación.

La modalidad de investigación empleada en el presente proyecto de investigación es el

paradigma cualitativo-cuantitativo, ya que se examina las características de la problemática

y se ratifica en base a la modalidad cuantitativa donde se cuantifica estadísticamente.

En cuanto se refieren a los tipos de investigación se empleó los siguientes:

Investigación Bibliográfica: Este tipo de investigación nos permitirá recopilar la

información existente en libros, revistas e internet, con ello se desarrolla el marco

teórico donde se fundamentará científicamente las variables dependiente e

independiente de trabajo de investigación.

Investigación de Campo: Esta investigación se lleva a cabo en el sitio mismo en

donde se manifiestan los síntomas de la problemática, en este caso la Cooperativa

de Ahorro y Crédito “San Antonio”. Este tipo de investigación se llevará a cabo

utilizando los siguientes métodos:

Histórico – Lógico: La historicidad de la gestión operativa de la

Cooperativa de Ahorro y Crédito “San Antonio” es muy importante para el

diagnóstico de la problemática.

Analítico – Sintético: Este par dialectico será útil, el momento de elaborar el

fundamento científico que sustenta la solución del problema.

Inductivo – Deductivo: En el desarrollo del trabajo investigativo se induce

una solución particular para deducir una solución general a la problemática.

Investigación Aplicada: Este tipo de investigación nos permite fusionar el aspecto

teórico con lo práctico del trabajo de grado.

La técnica que se aplicara en el proceso investigativo son las encuestas que se llevara a

cabo a los clientes de la Cooperativa de Ahorro y Crédito “San Antonio”.

25

2.2. Procedimiento para la búsqueda y procesamiento de los datos.

La población de la Cooperativa de Ahorro y Crédito “San Antonio” es la siguiente:

FUNCIÓN NÚMERO

Gerente. 1

Personal Administrativo. 25

Socios 1500

TOTAL 1526

Tabla No 2. Población de la Cooperativa de Ahorro y Crédito “San Antonio”.

Fuente: Autor del proyecto.

La muestra está formada por todos los involucrados en los procesos y manejo de la

información en la Cooperativa de Ahorro y Crédito “San Antonio”.

FUNCIÓN NÚMERO

Gerente. 1

Personal Administrativo. 25

TOTAL 26

Tabla No 3. Muestra para la investigación.

Fuente: Autor del proyecto.

Una vez definida la muestra, se procedió a diseñar los instrumentos para la recolección de

datos: La encuesta se aplicará al Gerente y al personal de los departamentos

Administrativo, Supervisión y Jefaturas.

2.3. Resultados del diagnóstico de la situación actual.

La siguiente encuesta ha sido realizada a la Gerencia, al personal administrativo bajo

los siguientes cargos: auditoría interna, riesgos y sistemas que son los eruditos en la

situación de la red de datos de la Cooperativa de Ahorro y Crédito “San Antonio”, y que

han alcanzado esta consideración gracias a los conocimientos o experiencia adquirida con el

paso de los años.

.

26

Entrevista al Gerente y personal Administrativo de la Cooperativa de Ahorro y

Crédito “San Antonio”.

Pregunta No 1.

¿La Cooperativa de Ahorro y Crédito dispone de políticas y procedimientos para la

seguridad de información aprobadas formalmente, difundidas e implementadas;

incluyendo aquellas relacionadas con servicios de transferencia y transacciones

electrónicas?

Indicador Frecuencia Porcentaje

Si 9 35,0%

No 17 65,0%

Total 26 100%

Tabla No 4

Elaborado por: Autor del proyecto.

Figura No 5


Interpretación y Análisis.

El 65% de los encuestados manifiestan que la institución no cuenta con un manual de

políticas y procedimientos para la seguridad de la información en la institución, el 35%

manifiestan que sí disponen.

Podemos concluir que probablemente la cooperativa de ahorro y crédito no cuenta con un

manual de políticas y procedimientos que garantice el manejo y la seguridad de la

información.

Si35%

No65%

PREGUNTA 1

27

Pregunta No 2.

¿La institución financiera ha precisado los requerimientos de seguridad relacionados

con la tecnología de información y ha efectuado controles necesarios para minimizar

el impacto de las vulnerabilidades e incidentes de seguridad?


Si 6 23,0%

No 20 77,0%

Total 26 100%

Tabla No 5


Figura No 6



El 77% de los encuestados manifiestan que la institución financiera no ha precisado los

requerimientos de seguridad relacionados con la tecnología de información ni ha

efectuado controles necesarios para minimizar el impacto de las vulnerabilidades e

incidentes de seguridad, en cambio el 35% manifiestan que sí.

Podemos concluir que posiblemente la entidad financiera no ha establecido políticas de

seguridad en el manejo de la infraestructura tecnológica, por ende, no existe controles que

minimicen el impacto de las vulnerabilidades en los incidentes de seguridad.

Si23%

No77%

PREGUNTA 2

28

Pregunta No 3.

¿La institución cuenta con un plan que evalué el desempeño de los procedimientos

de gestión de la seguridad de la información, que permita tomar acciones para

mejorarlo?


Si 0 00,0%

No 26 100,0%

Total 26 100%

Tabla No 6


Figura No 7



La totalidad de los encuestados manifiestan que la institución no cuenta con un plan que

evalué el desempeño de los procedimientos de gestión de la seguridad de la

información.

Podemos concluir que la institución posee un alto nivel de vulnerabilidad en el área

tecnológica.

Si0%

No100%

PREGUNTA 3

29

Pregunta No 4.

¿Considera usted que existe la necesidad de implementar ciertos niveles de seguridad en

la intranet y los servicios de la cooperativa?


Si 5 19,0%

No 21 81,0%

Total 26 100%

Tabla No 7


Figura No 8



El 81% de los encuestados manifiestan que la institución necesita urgentemente la

implementación de niveles de seguridad en la intranet y los servicios de la cooperativa, por

otro lado, el 19% manifiestan que posiblemente la institución si posee ciertos niveles de

seguridad en su intranet.

Como conclusión de esta pregunta podemos manifestar que los empleados de la institución

consideran una necesidad la implementación de niveles de seguridad en la intranet y los

servicios de la cooperativa.

Si19%

No81%

PREGUNTA 4

30

Pregunta No 5.

¿Cree usted que se debe realizar pruebas de seguridad en la red de la cooperativa para

encontrar vulnerabilidades y determinar los niveles seguridad?


Si 26 100,0%

No 0 00,0%

Total 26 100%

Tabla No 8


Figura No 9



El 100% de los encuestados declaran que se debe realizar pruebas de seguridad en la red de

la cooperativa para encontrar vulnerabilidades y determinar los niveles seguridad.

Como conclusión podemos manifestar que los empleados están conscientes que la

seguridad en la red de datos de la cooperativa es muy importante, y también que se debe

tener un conocimiento sobre el nivel de seguridad actual.

Si19%

No81%

PREGUNTA 5

31

Pregunta No 6.

¿Considera usted que el área de tecnología de la institución, ha definido

procedimientos para la administración de incidentes y problemas incluyendo su

registro, análisis y solución oportuna?


Si 5 19,0%

No 21 81,0%

Total 26 100%

Tabla No 9


Figura No 10



El 81% de los encuestados consideran que el área de tecnología de la institución, debe

disponer de procedimientos para la administración de incidentes y problemas

incluyendo su registro, análisis y solución oportuna, en cambio el 19% manifiestan que

no es necesario dichos procedimientos.

Podemos concluir que la mayor parte de los empleados de la institución están conscientes

que se debe implementar procedimientos para la administración de incidentes y

problemas incluyendo su registro, análisis y solución oportuna.

Si19%

No81%

PREGUNTA 6

32

Pregunta No 7.

¿La institución financiera ha realizado un levantamiento de la documentación

correspondiente a la infraestructura tecnológica incluyendo información, bases de

datos, redes de datos, software de base y hardware?


Si 9 35,0%

No 17 65,0%

Total 26 100%

Tabla No 10


Figura No 11



El 65% de los encuestados manifiestan que la institución debe realizado lo más pronto

posible un levantamiento de la documentación correspondiente a la infraestructura

tecnológica incluyendo información, bases de datos, redes de datos, software de base y

hardware. Por otro lado, el 35% considera que la seguridad de la institución no depende de

una documentación.

En esta pregunta podemos concluir que no existe una documentación técnica sobre la

infraestructura tecnología de la institución.

Si35%

No65%

PREGUNTA 7

33

Pregunta No 8.

¿En el departamento de auditoría interna, ejecutan periódicamente pruebas

orientadas a establecer el cumplimiento de las políticas, procedimientos y

requerimientos regulatorios para la administración del riesgo operativo y de

seguridad?


Si 2 08,0%

No 24 92,0%

Total 26 100%

Tabla No 11


Figura No 12



El 92% de los encuestados manifiestan que el departamento de auditoria interna no está

ejecutando periódicamente pruebas orientadas a establecer el cumplimiento de las

políticas, procedimientos y requerimientos regulatorios para la administración del

riesgo operativo y de seguridad.

Se concluye que no existe un manual de funciones en el departamento de auditoria interna

de la institución financiera, lo que puede ocasionar un mal procedimiento al momento de

enfrentar un problema de seguridad.

Si8%

No92%

PREGUNTA 8

34

Pregunta No 9.

¿Apoyaría usted la idea de mejorar la seguridad y los servicios que presta la red de datos

de la cooperativa de ahorro y crédito?


Si 26 100,0%

No 0 00,0%

Total 26 100%

Tabla No 12


Figura No 13



El 100% de los encuestados apoyarían la idea de mejorar la seguridad y los servicios que

presta la red de datos de la cooperativa de ahorro y crédito.

Se concluye que apremia la implementación de mejoras en la seguridad y los servicios que

presta la red de datos de la cooperativa de ahorro y crédito.

Si100%

No0%

PREGUNTA 9

35

Pregunta No 10.

De las siguientes medidas de seguridad.

¿Cuáles considera necesarias para proteger sus datos: contraseñas, encriptación de

datos, sistemas biométricos USB (huellas digitales)?


Contraseñas 17 66,0%

Encriptación de datos. 5 19,0%

Sistemas Biométricos. 4 15,0%

Total 26 100%

Tabla No 13


Figura No 14



El 66% de los encuestados manifiestan que el uso de contraseñas para el ingreso a los

sistemas de información es una medida de seguridad importante. El 19% manifiestan que

la encriptación de datos es una medida de seguridad importante y el 15 que las huellas

digitales es una medida de seguridad importante.

Concluimos que se debe implementar políticas de manejo de claves de seguridad en la

institución.

Contraseñas66%

Encriptación datos19%

Huellas digitales15%

PREGUNTA 10

36

Resumen de las principales insuficiencias detectadas con la aplicación de los métodos

investigativos.

Figura No 15. Insuficiencias del Sindicato de Choferes de la ciudad de Babahoyo.


Insuficiencias en el Sindicato de Choferes de

la ciudad de Babahoyo.

No realizan pruebas de

seguridad en la red de la cooperativa

para encontrar vulnerabilidades.

No dispone de políticas y

procedimientos para la seguridad de información .

No existe requerimientos de

seguridad relacionados con la

tecnología de información.

No disonen de un plan que evalué el desempeño de los procedimientos de

gestión de la seguridad de la

información.

No existe implementado

niveles de seguridad en la intranet y los servicios de la cooperativa.

37

CAPÍTULO III

PROPUESTA DE SOLUCIÓN AL PROBLEMA

Nombre de la propuesta.

Plan de Seguridad Informática en redes, para mejorar la Gestión Operativa de la

Cooperativa de Ahorro y Crédito “San Antonio”.

Objetivo General.

Desarrollar un plan de seguridad informática especializado en redes, el cual

constara de algunas estrategias como por ejemplo firewall lógicos, físicos, redes

perimetrales, servidores de direcciones seguras y más.

Objetivos Específicos:

Determinar las características de los Recursos Tecnológicos para la

comunicación de Información y el Impacto en la Cooperativa de Ahorro y

Crédito “San Antonio”.

Implementar la matriz de riesgo según cada elemento con que cuenta la


Desarrollar una matriz de Uso y Estrategia de Tecnología para la


Diagnóstico de la situación actual sobre la seguridad de la red en la


El departamento de Tecnologías de la Información y Comunicación (TIC) son los

encargados de establecer y monitorear las funciones y control de la seguridad de

la información en la cooperativa de Ahorro y Crédito “San Antonio”.

Este departamento cuenta con un manual básico de seguridad el mismo que es

aplicado de forma parcial en la cooperativa. Este manual contiene normas,

procedimientos y controles sobre la seguridad en las redes de comunicación en

un nivel básico, no posee una metodología de trabajo que propicie la identificación

de riesgos y controles para mitigar los mismos.

Dentro de los aspectos a considerar en la seguridad de las redes de

comunicación son los siguientes:

Carece de una adecuada organización en la administración de la

seguridad.

38

No se cuenta con una categorización sobre la seguridad de los activos

tecnológicos en la institución; no existen procedimientos para otorgar

credenciales de accesos a los dispositivos físicos; de igual manera existen

controles mínimos con respecto a la seguridad física y de personal.

Como ya se manifestó anteriormente, las tareas principales concerniente a

seguridad lo realiza actualmente el departamento de TIC y son las siguientes:

Dar de alta y baja a las credenciales de los usuarios.

Administran el acceso a las principales aplicaciones de la entidad.

Crean y asignan perfiles para las aplicaciones.

Controlan y administran de red informativa.

Administran los firewalls.

Mantienen un manual de seguridad aprobado con medidas básicas.

Difunden y socializan aspectos básicos de seguridad a los empleados de la

Cooperativa.

Emiten reportes de seguridad periódicamente a la Gerencia.

En base a la información recogida en el diagnóstico de la situación actual en la

cooperativa de ahorro y crédito “San Antonio”, proponemos crear un área

organizacional de seguridad informativa institucional independiente al

departamento de TIC, que entre una de las funciones administre la seguridad de

la red informática de la Cooperativa y sea la responsable de ejecutar las normas y

medidas de seguridad elaboradas y reportara de forma directa a la Gerencia.

Sugerimos que se conforme un comité de tecnología y de sus integrantes se

nomine un asistente de la Unidad de Riesgos, el mismo que será el encargado de

coordinar y definir los objetivos de la nueva área; además el Comité de

Tecnología será el ente que monitoree las actividades de la misma, determinará

el traslado gradual de las responsabilidades sobre la seguridad informática que

actualmente despliega el departamento de TIC al representante del área de

seguridad informática, monitoreará las labores realizadas por él, apoyando en el

entendimiento y conocimientos de la plataforma tecnológica vigente y los

procesos propios del negocio de la cooperativa; además que apoyará la

39

planificación inicial de actividades que desarrollará el encargado de la nueva área

a corto plazo.Es transcendental subrayar que luego que el área de seguridad

informática haya logrado una asimilación de sus funciones y un entendimiento

total de los procesos del negocio de la cooperativa, el jefe de seguridad

informática deberá reportar directamente a la Gerencia, de este modo el comité

de tecnología pasará a ser un ente consultivo, dejando las labores de monitoreo a

la Gerencia y Auditoría Interna.

DIAGNÓSTICO DE LA SITUACIÓN ACTUAL DE LA ADMINISTRACIÓN DE

LOS RIESGOS DE TECNOLOGÍA DE LA INFORMACIÓN.

A continuación, se muestran los puntos específicos de la situación actual en

cuanto a la administración de seguridad, se realiza una comparación con los

requerimientos que ha efectuado la superintendencia de bancos y Seguros del

Ecuador en las auditorías que se ha realizado a la cooperativa.

1. Estructura de la organización de seguridad de la información.

1.1 Roles y responsabilidades.

2. Plan de seguridad de la información.

2.1 Políticas, estándares y procedimientos de seguridad.

2.2 Seguridad lógica.

2.3 Seguridad de personal.

2.4 Seguridad física y ambiental.

2.5 Clasificación de seguridad.

3. Administración de las operaciones y comunicaciones.

4. Desarrollo y mantenimiento de sistemas informáticos.

5. Procedimientos de respaldo.

6. Subcontratación de servicios.

7. Cumplimiento normativo.

8. Privacidad de la información.

9. Auditoría interna y externa.

El detalle de la evaluación de las áreas mencionadas se muestra en una

matriz, cuyo contenido es el siguiente:

40

ESTRUCTURA ORGANIZACIONAL PARA LA ADMINISTRACIÓN DE TECNOLOGÍA DE INFORMACIÓN.

SITUACIÓN ACTUAL SUGERENCIA MEJOR

PRACTICA ANÁLISIS DE

BRECHA

Unidad de Riesgo: Órgano

dependiente de la Gerencia,

encargado de medir y

mantener adecuados niveles

de riesgos crediticio y riesgos

de mercado y liquidez. Así

mismo, los riesgos operativos

y de tecnología.

Área de Seguridad: Órgano

de velar por la seguridad de

las instalaciones de la

Cooperativa, así como del

personal y clientes que se

encuentran y transitan en

ellas.

Área de Seguridad

Informática: No está definida

Auditoria de Sistemas:

Función llevada a cargo por el

área de auditoría interna.

Verifica el cumplimento de las

normas y procedimientos

definidos.

Definición y mantenimiento de

una estructura organizacional

que permita administrar

adecuadamente los riesgos

asociados a la tecnología de

información.

La unidad de riesgos deberá

contar con un responsable de la

administración del riesgo de TI.

La responsabilidad de la

seguridad de la información

debería ser ejercida de forma

exclusiva por el asistente de la

unidad de riesgos.

0

PLAN DE SEGURIDAD DE LA INFORMACIÓN.

La Cooperativa no cuenta con

un plan de Seguridad de la

Evaluación de riegos de

seguridad de la información

10

41

información formalmente

documentado que sirva como

guía de las distintas normas

con que cuenta la Institución

referente a los riegos y

seguridad de la TI.

Selección de controles y

objetivos de control para

reducir, eliminar y evitar los

riesgos identificados, indicando

las razones de su inclusión o

exclusión.

Plan de implementación de los

controles y procedimientos de

revisión periódicos.

Mantenimientos de registros

adecuados que permitan

verificar el cumplimiento de las

normas, estándares, políticas,

procedimientos y otros definidos

por la institución, así como

mantener pistas de auditoría.

SEGURIDAD LÓGICA.

Procedimientos definidos en el

área de TIC para la concesión

y administración de perfiles y

accesos a usuarios,

incluyendo la revocación y

revisiones periódicas de los

mismos.

Accesos a los sistemas de

información de la Cooperativa

controlados al nivel de red de

datos y aplicación, para lo cual

cada usuario cuenta con IDs y

contraseñas de uso

Definición de procedimientos

formales para la administración

de perfiles y usuarios.

Identificación única de usuarios.

Controles sobre el uso de

herramientas de auditoría y

utilidades sensibles del sistema.

Controles sobre el acceso y uso

de los sistemas y otras

instalaciones físicas.

25

42

estrictamente personal y de

responsabilidad de los

usuarios.

Controles de acceso a

herramientas de auditoría en

los sistemas de información.

Controles de acceso parciales

a utilidades sensibles del

sistema.

Generación parcial de pistas

de auditoría en los sistemas

de información.

Controles de acceso a

utilidades sensibles del

sistema sobre estaciones de

trabajo Windows 10, Windows

Server 2010.

Habilitación de opciones de

auditoría en los sistemas

operativos de red.

Procedimientos de revisión de

pistas de auditoría que

contemplen no solo los

registros del computador

central.

Controles sobre usuarios

remotos y computación móvil.

Administración restringida de los

equipos de acceso remoto y

configuración del mismo.

43

SEGURIDAD DEL PERSONAL

Levantamiento de normas y

procedimientos de las distintas

áreas de la Cooperativa.

Formalización de normas y

procedimientos de las distintas

áreas de la cooperativa.

Normalización de entrega de

dicha información a los

actuales trabajadores

incluyendo documento de

confirmación de conocimiento.

Procedimientos de revisión de

datos en el proceso de

selección de personal previo a

su contratación.

Entrega formal de las políticas

de manejo de información

confidencial a los nuevos

empleados.

Definición apropiada de

responsabilidad sobre la

seguridad es pate de los

términos y condiciones de las

aceptaciones del empleado

(Términos en el contrato).

Difusión de las políticas con

respecto al monitoreo de

actividades en la red y sistemas

de información, antes de

entregas IDs a usuarios.

0

ADMINISTRACIÓN DE OPERACIONES Y COMUNICACIONES

Documentación no

formalizada relativa los

procedimientos de

operaciones en los sistemas

de información.

Procesos de revisión y reporte

de conformidad de dichas

Procedimientos y

responsabilidades de

operación.

Documentación formal de todos

los procedimientos de

operación, así como

procedimientos y niveles de

25

44

operaciones.

Adecuada separación de las

facilidades de los ambientes

de producción y desarrollo.

Un sistema a través del cual

se administran las actividades

de:

Actualización de los

programas;

Pase a producción; y

Administración de

versiones

Tareas realizadas por

personal del área de

sistemas.

Protección contra software

malicioso.

Controles de protección contra

virus y software malicioso.

Segregación de funciones

Todas las funciones

mencionadas se mantienes

independientes. Solo el

personal del área de sistemas

mantiene acceso a datos de

producción y desarrollo

poseen también acceso a la

autorización definidos para su

mantenimiento.

Procesos de revisión y reporte

de conformidad de dichas

operaciones. Controles

establecidos relativos a cambios

en los sistemas de información.

Programación de trabajos o

procesos debe ser

correctamente documentada,

así como el resultado de dichas

ejecuciones.

Administración de facilidades

externas.

Todo proceso realizado en o por

un tercero, debe ser evaluado a

los riesgos y seguridad para

desarrollar procedimientos que

mitiguen dichos riesgos.


malicioso.

Se debería crear

procedimientos de revisión

periódica del cumplimiento o

efectividad de dichos controles;

labores que deben ser llevadas

a cabo por parte del área de

sistemas como por parte del

45

línea de comandos de ambos

entornos.

Operaciones de verificación.

Procedimientos de generación

y almacenamiento de copias

de contingencia definidos

Se usan formatos de reporte

de las actividades de

operación y generación de

copias de respaldo.

Administración de Red.

Se cuenta con un sistema

proxy. No se cuenta con una

DMZ ni con una arquitectura

de seguridad de red apropiada

con respecto al internet.

Manipulación y seguridad de

dispositivos de

almacenamiento de

información.

Las copias de respaldo se

encuentran tanto en el área de

sistemas como en una

localidad distinta en un

casillero de seguridad del

Banco del Pacifico.

auditor de sistemas.

Control en cambios

operacionales.

Todo cambio en la red de datos,

incluyendo software,

dispositivos, cableado o equipos

de comunicación debe seguir

procedimientos formales

definidor y adecuadamente

registrados.

Roles y responsabilidades

deben ser claramente definidos

y las funciones adecuadamente

segregadas.

Los cambios deben ser

adecuadamente aprobados.

Los resultados de todo cambio

deben ser correctamente

documentados. Roles y

responsabilidades en las

actividades de pase a

producción correctamente

definidos y segregados.

Adecuada separación de

ambientes de producción y

desarrollo.

46

No existen políticas con

respecto al manejo de otros

dispositivos de

almacenamiento de

información en el área de

sistemas.

Intercambio de información y

seguridad.

Existen controles y

restricciones respecto al uso

del correo electrónico.

Estándar de administración de

cambios definido, incluyendo

cambios de emergencia.

Control de accesos a escritura

sobre sistemas en producción.

Administración de incidentes

de seguridad

Definición de procedimientos y

equipos de respuesta ante

incidentes de seguridad

Segregación de funciones.

Las actividades de actualización

y operación de sistemas, así

como las de administración de

aplicaciones, helpdesk,

administración de red y de TI

deben ser correctamente

segregadas.

Planeamiento de sistemas.

Procedimientos formales

definidos de planeamiento de

recursos.


malicioso

Controles preventivos y

47

detección sobre el uso de

software de procedencia

dudosa, virus; etc.)

Operaciones de verificación

Adecuado registro de fallas.

Adecuados procedimientos de

generación de copias de

respaldo.

Registros adecuados de todas

las actividades de operación.

Administración de Red

Adecuados controles de

operación de red

implementados

Protección de la red y

comunicaciones usando

dispositivos de control de

accesos, procedimientos y

sistemas de monitoreo de red

snifers (detección de intrusos) y

procedimientos de reporte.

Manipulación y seguridad de

dispositivos de

almacenamiento de

información.

48

Aseguramiento sobre medios de

almacenamiento y

documentación de sistemas.

Intercambio de información

(correo electrónico y otros) y

seguridad

Controles de seguridad en el

correo electrónico y cualquier

otro medio de transferencia de

información, por ejemplo,

Normas, filtros, sistemas de

protección contra virus etc.)

Seguridad en la Banca

Electrónica.

49

Características de los Recursos Tecnológicos para la comunicación de

Información y el Impacto en la Cooperativa de Ahorro y Crédito.

El Departamento de las TIC está ubicado en las instalaciones de la Matriz, sus

equipos tecnológicos están ubicados en una pequeña oficina.

Figura No 16. Departamento TIC Cooperativa de Ahorro y Crédito “San Antonio”. Elaborado por: Autor del proyecto.

La puerta de acceso principal tiene doble seguridad y la ventana tiene instalado

una protección (reja metálica), se cuenta con un extintor y un detector de

incendios.

El número de estaciones de trabajo PC que acceden al servidor principal es de

veinte máquinas las mismas que disponen del servicio de correo electrónico,

todas las máquinas tienen acceso a internet, todos los computadores y servidores

se encuentran conectados a un UPS central, existe una instalación a tierra a la

cual se conectan todos los equipos informáticos; la cooperativa no cuenta con

planta de energía propia.

En las interrupciones de fluido eléctrico; es el UPS central que proporciona un

tiempo de energía limitado con carga mínima. Por la ubicación y el aumento de

temperatura global la climatización del área de cómputo no es la adecuada, el

acceso al área de sistemas es limitado, solamente para las personas autorizadas

a estar en él; en este caso el personal de sistemas.

50

La Cooperativa cuenta con una oficina matriz y una agencia, la misma que se

comunica con la matriz a través de una conexión de radio. En la oficina Matriz

existe una red local, donde todas las máquinas se encuentran conectadas al área

principal a través de switches y un access point, para un total de 28 máquinas.

Esta red local con topología en estrella, como se observa en el Esquema de la

Red del Anexo A, tiene un cableado de par trenzado de nivel cinco, está

compuesta por 2 switches de 10/100 Mbits con 24 puertos cada uno, 3 Routers,

un access point.

En el departamento de TIC, se encuentran ubicados los 3 servidores de la

institución; un principal, uno de respaldo y otro servidor de internet y correos. Los

servidores principales y de respaldo poseen un sistema Operativo Centos 7.1 y el

servidor de internet un sistema operativo Centos 5.3, una PC´s cumple el rol de

switches para el cajero y la red conecta (ventanillas compartidas y bono de

desarrollo humano), tienen instalado Windows Server 2003 con Service Pack 3 y

Windows 2000 server. Estos son:

Servidor principal de Base de Datos.

Servidor de respaldo de Base de Datos.

Servidor Proxy, de Dominio y Mensajería.

Switch servidor de aplicación COONECTA de ventanillas compartidas,

bono de desarrollo y remesas.

Switch servidor de aplicación COONECTA de cajero automático.

La conexión de la agencia con el departamento de TIC de la oficina Matriz se la

hace a través de un sistema de antenas de radio EZ-Bridge y TRANZEO. La

conexión a Internet se hace a través de la oficina principal; con un enlace

dedicado de 1024 KB contratado con la CNT. Existe implementado un cortafuego

para la conexión segura a Internet a través de servidor Proxy (Linux Centos 5.3).

Las estaciones de trabajo PC con la que cuenta la institución emplean el sistema

operativos Windows 7 con licencias; y cuentan con el Antivirus Eset Smart

Security también con licencia.

51

Los servidores de la institución se ubican en la oficina de TIC sitio donde labora el

director de Sistemas, al cual solo tienen acceso el personal que labora en el

departamento. La institución cuenta con servicios informáticos y de

Comunicaciones, los cuales detallamos a continuación:

Sistema de transaccional conexus, cliente-servidor.

Sistema de gestión de riesgos Power Risk, cliente-servidor

Sistema de transaccional Coonecta, cliente-servidor

Sistema de gestión Full Time-Cliente

Red de interconexión interna

Red de interconexión externa

Sistema de correo electrónico

Sistema web, ftp

Conexión a internet

Conexión a Red Privada

Sistema de impresión

52

A continuación, se detalla los recursos tecnológicos con que cuenta la oficina matriz de la Cooperativa:

No. NOMBRE DE EQUIPO GRUPO

TRABAJO ÁREA USUARIO IP Mascara Gateway SW

SERVIDORES.

1 pc-cac-antonio1 SISTEMAS Sistemas administrador 192.168.1.1 255.255.255.0 192.168.1.3 1



ESTACIONES DE TRABAJO.

1 TIC001 SISTEMAS Sistemas Tic-u-ec 192.168.1.7 255.255.255.0 192.168.1.3 4

2 TIC 002 SISTEMAS Sistemas Tic-u-ec 192.168.1.8 255.255.255.0 192.168.1.3 5

3 caja001 SISTEMAS Cajas Tic-u-el 192.168.1.9 255.255.255.0 192.168.1.3 6

4 caja002 SISTEMAS Cajas Tic-u-en 192.168.1.10 255.255.255.0 192.168.1.3 7

5 TIC-Tesorería SISTEMAS Tesorería Tic-u-pv 192.168.1.11 255.255.255.0 192.168.1.3/51/52 8

6 TIC-Gerencia SISTEMAS Gerencia Tic-u-mj 192.168.1.12 255.255.255.0 192.168.1.3 9

7 TIC-Secretaria SISTEMAS Secretaria Tic-u-ag 192.168.1.13 255.255.255.0 192.168.1.51 10

8 TIC-Usuario1 SISTEMAS Atención Clientes Tic-u-dl 192.168.1.14 255.255.255.0 192.168.1.51 11

9 TIC-RHumano SISTEMAS Recursos Humanos Tic-u-gv 192.168.1.15 255.255.255.0 192.168.1.52 12

10 TIC-Credito SISTEMAS Crédito Tic-u-ht 192.168.1.16 255.255.255.0 192.168.1.51 13

53

AGENCIA No. 1

No. NOMBRE DE EQUIPO GRUPO TRABAJO ÁREA USUARIO IP Mascara Gateway SW

1 TIC-A-Caja1 SISTEMAS Cajas Tic-AU-ar 192.168.1.30 255.255.255.0 192.168.1.51 1

2 TIC-A-crédito SISTEMAS Crédito Tic-AU-pd 192.168.1.31 255.255.255.0 192.168.1.51 2

2 TIC-A-secretaria SISTEMAS Secretaria Tic-AU-gm 192.168.1.34 255.255.255.0 192.168.1.51 1

3 TIC-A-crédito SISTEMAS Crédito Tic-AU-gm 192.168.1.35 255.255.255.0 192.168.1.51 2

4 TIC-A-Caja2 SISTEMAS Cajas Tic-AU-sb 192.168.1.36 255.255.255.0 192.168.1.51 3

NO UBICACIÓN RESPONSABLE DESCRIPCIÓN IP

IMPRESORAS

1 Matriz-Sistemas José Vaca Impresora Lexmark 132 col. Type: 2481-100.

2 Matriz-Sistemas José Vaca Impresora HPDeskjet 3745.

3 Matriz-Cajas Elsa Lascano Impresora Epson LX-300++. Serie: *G8DY150859*

4 Matriz-Cajas Sonia Salgado Impresora Epson LX-300++. Serie: *G8DY150192*

5 Matriz-Tesorería Patricia Velastegui Impresora Epson LX-300+.. Serie: *ETUY224810*.

6 Sucursal-Cajas Patricia Candonga Impresora Epson LX-300+. Serie: *ETUY223342*.

7 Sucursal-Crédito Fernando Suarez Impresora Epson FX2190. 132 Col. *FCTY016864*

8 Sucursal-Crédito Fernando Suarez Impresora HP Deskjet 3535.

54

SWITCHES

OFICINA MATRIZ

1 Sistemas Administrador SWITCH 3 COM FAST CONNECT 24

puertos 10/100MB 19 pulg. para RACK

2 Sistemas Administrador SWITCH 3 COM FAST CONNECT 24

puertos 10/100MB 19 pulg. para RACK

3 Sistemas Administrador AP DLINK 6 puertos

192,168,1,50

4 Sistemas Administrador DLINK VPN 4 puertos

192,168,1,51

5 Sistemas Administrador Router Cisco (telnet)

192,168,1,81

6 Sistemas Administrador ADSL Dlink/CNT

AGENCIA No.

1 Bóveda Administrador Switck Dlink

EQUIPOS DE COMUNICACIÓN / ANTENAS

1 Matriz

EZBRIDGE WLAN, enlace punto a

punto de 11Mbps. 11 canales de

frecuencia de RF. Protocolo

IEE802.11b. Incluye antena

parabólica.

192.168,1,40 mulasal 11

1 Sucursal.

EZBRIDGE WLAN, enlace punto a

punto de 11Mbps. 11 canales de

frecuencia de RF. Protocolo

IEE802.11b. Incluye antena

parabólica.

192.168,1,41 mulasal 11

55

CABLEADO ESTRUCTURADO

Marca del Sistema: UTP – Nivel 5

Número de puntos de datos: 30

CABLEADO HORIZONTAL

Tipo de cable puntos de voz: NO

Tipo de cable puntos de datos: 30

El diagrama de flujo de información que ilustra la relación interna y externa, así

como los medios que utilizan para procesar la misma y topología de las redes de

transmisión de datos con que cuentan se muestra en el Anexo C.

Como se puede apreciar en el mismo existe un centro de informática, que es el

encargado de receptar y procesar toda la información que llega a la Matriz,

existiendo un intercambio de información a través de la red local y por el enlace

(radio) entre el centro de informática y las agencias; y, por el enlace externo con

instituciones gubernamentales y privadas. Se ha revisado que el departamento de

TIC de la cooperativa, en su plan de contingencias preventivo de bienes

informáticos, realiza un análisis y una descripción de todos los elementos que

conforman la Red Corporativa en orden de importancia de la siguiente manera:

ELEMENTOS DE LA RED PUNTAJE

1. Servidores 17

3. Routers 13

4. Switch, Hubs 12

5. Antenas 14

6. Estaciones 9

7. Cable horizontal 8

8. Entorno físico 7

Tabla No 14 Nivel de Importancia de los Componentes Elaborado por: Autor del proyecto.

56

Matriz de riesgo según cada elemento.

ELEMENTO

RIESGOS CATASTRÓFICOS TÉCNICOS HUMANOS

SUMINISTROS

PÚBLICOS

FALTA DE

SEGURIDAD

SERVIDORES Incendio, explosión,

desastres naturales

Falta de

mantenimiento,

estandarización,

información vital

Falta de

conocimiento,

errores y

omisiones, falta

de privacidad.

Falta de energía,

fallas en las

comunicaciones

Sabotaje,

hurto, retiro

de personal

ANTENAS Desastres naturales

Falta de

mantenimiento,

estandarización,

información vital

Falta de

conocimiento,

errores y

omisiones

Falla de energía,

fallas en las

comunicaciones

Hurto, retiro

de personal

ROUTERS Incendio, explosión,

desastres naturales

Falta de

mantenimiento,

estandarización,

información vital

Falta de

conocimiento,

errores y

omisiones

Falla de energía,

fallas en las

comunicaciones

Hurto, retiro

de personal

SWITCHES,

HUBS

Incendio, explosión,

desastres naturales

Falta de

mantenimiento,

estandarización,

información vital

Falta de

conocimiento,

errores y

omisiones

Falla de energía,

fallas en las

comunicaciones

Hurto, retiro

de personal

SISTEMA

ENERGIA


desastres naturales

Estandarización,

información vital

Errores y

omisiones Falla de energía. Sabotaje

CABLEADO Incendio, explosión,

desastres naturales

Estandarización,

información vital

Errores y

omisiones

Falla de energía,

fallas en las

comunicaciones

Sabotaje,

hurto, retiro

de personal

ESTACIONES

USUARIO

FINAL


desastres naturales

Falta de

mantenimiento,

estandarización,

información vital

Falta de

conocimiento,

errores y

omisiones

Falla de energía,

fallas en las

comunicaciones

Sabotaje,

hurto, retiro

de personal

ENTORNO

FÍSICO


desastres naturales

Errores y

omisiones

Falla de energía,

fallas en las

comunicaciones

Tabla No 15 Elementos vs Riesgo Elaborado por: Autor del proyecto.

57

Evaluación de Riesgos, Amenazas y Vulnerabilidades de los Sistemas que

actualmente utiliza la Cooperativa

Con el propósito de obtener un adecuado entendimiento de la implicancia que

tiene el uso de la tecnología, las amenazas y vulnerabilidades, así como las

iniciativas del negocio sobre la seguridad de la información de la Cooperativa, se

ha efectuado un análisis del cual hemos obtenido tres matrices, que nos muestran

la implicancia en seguridad que presentan cada uno de los factores mencionados

anteriormente, así como el estándar o medida a aplicar para minimizar los riesgos

correspondientes.

Matriz de Uso y Estrategia de Tecnología.

Esta matriz muestra la tecnología utilizada actualmente por la cooperativa y los

cambios estratégicos planificados que impactan en ella, las implicancias de

seguridad asociadas al uso de tecnología y los estándares o medidas propuestas

para minimizare los riesgos generados por la tecnología empleada.

TECNOLOGÍA IMPLICANCIA DE

SEGURIDAD

ESTÁNDAR O MEDIDA DE

SEGURIDAD A APLICAR ACTUAL

Windows 7

Se debe contar con

controles de acceso

adecuados a la data y

sistemas soportados por

el sistema operativo

Se debe definir una clave para la BIOS. Se debe crear usuarios con perfil limitado. Se debe definir usuario y clave. Se debe activar las directivas de contraseñas

- Parametrizar el cambio de clave

cada 30 días

- Historial de claves utilizadas

- Habilitar el nivel de complejidad

- Definir como mínimo ocho

caracteres.

Se debe suspender la combinación de teclas Ctrl+Alt+Del Se debe suspender el acceso al panel

58

Windows 2003

server

Se debe contar con

controles de acceso



el sistema operativo.

de control Se debe habilitar que el sistema solicite al usuario autenticarse al haber cierto período de inactividad. Se debe desactivar compartir discos duros. Se debe desactivar la opción de compartir archivos e impresoras. Se debe desactivar las conexiones de red que no se necesite o que estuvieran instaladas anteriormente. Se debe activar el servidor de seguridad incluido en Windows 7. Se debe mantener el sistema operativo con las actualizaciones críticas y periódicas al día.

Se debe aplicar estándares con mejores prácticas de seguridad para Windows 2003 server: Se debe definir una clave para la BIOS. Se debe crear usuario con perfil limitado Se debe crear y definir el active directory. Se debe parametrizar el cambio de clave cada 30 días. Se debe suspender el acceso al panel de control.

Se debe configurar y proteger los logs de sistema. Se debe mantener el sistema operativo con las actualizaciones críticas y periódicas al día.

Se debe aplicar estándares con mejores prácticas de seguridad para

59

Windows 2000

server

Linux (Centos)

Se debe contar con

controles de acceso



el sistema operativo

Se debe contar con

controles de acceso



el computador central.

Los controles que posee

este servidor deben ser

lo más restrictivos

posibles pues es el

blanco potencial de la

mayoría de intentos de

acceso no autorizado.

Windows 2000 server: Se debe definir una clave para la BIOS. Se debe crear usuario con perfil limitado Se debe parametrizar el cambio de clave cada 30 días Se debe suspender el acceso al panel de control Se debe configurar y proteger los logs de sistema Se debe mantener el sistema operativo con las actualizaciones críticas y periódicas al día.

Se debe aplicar estándares con mejores prácticas de seguridad para Linux:

Se debe crear usuario con perfil limitado sólo para consultas. Se debe definir una clave para la BIOS. Se debe parametrizar el cambio de clave cada 30 días. Se debe verificar los registros (logs) del sistema, tales como /var/log/messages para no perder de vista al sistema. Se debe permitir el acceso sólo a usuarios autorizados, cada uno de cuales necesitará contar con niveles de acceso diferentes y con derechos y permisos diferenciados dependiendo de su perfil. Se debe asegurar que cada usuario que ingresa al sistema sea quien dice ser, eliminando cualquier posibilidad de suplantación de identidad (usuarios

60

y claves) Realizar un monitoreo periódico de la actividad realizada en el servidor. Se debe mantener el sistema operativo con las actualizaciones críticas y periódicas al día.

Base de datos

My SQL

Informix

Se debe contar con

controles de acceso de

información de los

sistemas que soportan el

negocio de la

Cooperativa.

Se debe definir un

esquema que garantice

que la base de datos

Informix siempre esté

disponible e integra.

Se debe aplicar estándares de mejores prácticas de seguridad para bases de datos Informix y MySQL Se debe monitorear periódicamente los accesos otorgados a los usuarios del sistema. Se debe definir un esquema de "replica" de la información que mantiene su base de datos Informix a otra BD Informix remota en un local fuera de la oficina matriz.

Banca

Electrónica

Red Coonecta

(ventanillas

compartidas,

bono de

desarrollo)

Sistema de

pagos

interbancarios

(SPI)

Cajero

Automático

La transmisión de los

datos es realizada a

través de un medio

público (internet), se

debe contar con

medidas adecuadas

para mantener la

confidencialidad de la

información. (encripción

de la data).

Los servidores web

pueden ser blanco de

actividad es vandálicas

con el propósito de

Estándares de encripción de información transmitida. Los contratos de servicios con proveedores deben contar con cláusulas de confidencialidad y delimitación de responsabilidades. Se debe contar con acuerdos de nivel de servicios mínimos con proveedores, en los cuales se detalle el porcentaje mínimo de disponibilidad de los sistemas. Auditorias de seguridad independientes de la seguridad del servidor que brinda el servicio. Un proceso previo de certificación de servicio antes de la puesta en producción, firmado por ambas entidades.

61

Pago de planillas

eléctricas

afectar la imagen de la

Cooperativa.

La disponibilidad es un

factor estratégico para el

éxito del servicio.

Sistema central

CONEXUS

El sistema central es el

sistema que soporta la

mayoría de los procesos

del negocio de la

Cooperativa, por lo tanto,

todo acceso no

autorizado al servidor

representa un riesgo

potencial para el

negocio.

Crear perfiles de usuarios (roles) Asignar opciones a los usuarios a través de roles y perfiles Parametrizar el cambio de clave cada treinta días. Parametrizar para que un usuario solo pueda hacer uso de una sesión abierta. Monitorear periódicamente los accesos otorgados a los usuarios del sistema. Revisar y depurar de forma periódica los accesos otorgados (privilegios) a los sistemas de información. Realizar un control dual de aprobaciones en transacciones sensibles. Parametrización de pistas de auditoría en el sistema Efectuar revisiones periódicas de los registros (logs) del sistema y de las operaciones realizadas.

62

Computadores

personales

Se debe contar con

adecuados controles de

acceso a información

existente en

computadoras

personales.

Se requieren adecuados

controles de accesos a

la información de los

sistemas desde las

computadoras

personales de usuarios.

La existencia de diversos

sistemas operativos en

el parque de

computadores impide

estandarizar la

configuración de los

sistemas.

Debe existir un control

sobre los dispositivos

que pudieran facilitar

fuga de información

(disqueteras, grabadoras

de cd´s, flash memorys,

discos externos, etc.)

Se debe controlar y

monitorear las

aplicaciones y sistemas

instalados en las PC´s

Concientizar y entrenar a los usuarios en temas de seguridad de la información. Implementar controles de seguridad para computadores personales. Estandarizar el sistema operativo de los computadores a una plataforma única. Mantener actualizado y de forma periódica los inventarios del software instalado en los computadores. Efectuar monitoreo de carpetas compartidas. Efectuar monitoreo de las actividades de los usuarios. Definir un usuario y clave única para el ingreso al computador. Prohibir la extracción de información en flash memorys o cds; así como la información impresa. Deshabilitar dispositivos de salida extraíbles Cd’s, flash memorys; etc.

63

Conexión a

Internet y redes

públicas / Firewall

Riesgos de accesos no

autorizados desde

Internet y redes externas

hacia los sistemas de la

Cooperativa.

Adecuado uso del

acceso a Internet por

parte de los usuarios.

Los dispositivos que

permiten controlar

accesos, tales como

firewalls, servidores

Proxy, etc. Deben contar

con medidas de

seguridad adecuadas

para evitar su

manipulación por

personas no

autorizadas.

Definir políticas de seguridad Delimitar responsabilidades referentes a la seguridad de información en contratos con proveedores. Diseñar e implementar una arquitectura de seguridad de red; usando herramientas firewall físicas o lógicas para la administración del tráfico de red interna y externa. Utilizar un sistema de detección de intrusos; definiendo controles y filtros para el acceso a internet. Especificar acuerdos mínimos de nivel de servicio con el proveedor. Habilitar el filtrado de protocolos SSL, para certificar las páginas a visitar.

64

CONCLUSIONES Y RECOMENDACIONES.

CONCLUSIONES:

La indiferencia por parte de la Gerencia y de los entes directivos; conlleva a

la falta de apoyo económico a la gestión de informática para implantar

medidas de seguridad, lo cual provoca que la entidad tenga una mayor

exposición a los riesgos.

La seguridad de la información es una responsabilidad compartida de todos

los niveles de la organización, que requiere del apoyo de todos ellos, pero

debe estar dirigida por un plan y debe contar con una adecuada

coordinación.

En la actualidad en todas las empresas existe una necesidad más

frecuente de utilizar esquemas de seguridad fuertes, que permitan una

mayor confiabilidad de la información utilizada para la toma de decisiones.

El avance de la tecnología y del conocimiento de los seres humanos ya

sean usadas con buena o mala intención, vuelven más vulnerable a la

información exponiéndola a diversas amenazas tanto internas como

externas y volviéndola poco confiable.

Con este trabajo se desea fomentar una cultura de seguridad en la

cooperativa de ahorro y crédito “San Antonio”.

65

RECOMENDACIONES:

El presente documento debe ser sociabilizado al interior de la Institución a

todos sus funcionarios.

Se debe ejecutar el proceso de implementación de alto nivel definido en el

presente proyecto.

Se debe realizar un proceso de concientización periódico; además se

deben firmar actas de conocimiento del plan de seguridad con acuerdos de

confidencialidad a todos los funcionarios de la cooperativa.

Se deben ejecutar procesos de revisión permanentes de las normas de

seguridad implementadas; así como el grado de cumplimiento por parte de

los funcionarios de la Institución.

BIBLIOGRAFÍA

Aldás, C. &. (2011). Políticas de seguridad informática y la vulnerabilidad

de los entornos Web de la empresa Turbotech durante el año 2010.

Banco Interamericano de Desarrollo. (2013). Gestión de riesgo de

desastres naturales. Obtenido de

http://www.bvsde.paho.org/bvsacd/cd47/riesgo.pdf

Royer, J.-M. (2004). Seguridad en la informática de empresa: riesgos,

amenazas, prevención y soluciones. En J-M. Royer, Seguridad en la

informática de empresa: riesgos, amenazas, prevención y soluciones

(págs. 31-32-33). Ediciones ENI.

Francisco, S. B. (2007). El Kaizen: La filosofía de mejora continua e

innovación incremental detrás de la administración por calidad total.

México: Panorama editorial.

Gómez Vieites, Álvaro; Suarez Rey, Carlos. (2007). Sistemas de

Información Herramientas prácticas para la gestión empresarial. México:

Alfaomega Grupo Editor.

González, G. R. (2000). El concepto y alcance de la gestión tecnológica.

Revista Facultad de Ingeniería Universidad de Antioquia N° 21, 178-185.

KORSTANJE, M. (2012). "Una introducción al pensamiento de Cass

Sunstein". A Contracorriente. Una revista de Historial Social y Literatura de

América Latina. Vol. 9 (3): 291-315. NC State University, USA

ISOTools. (19 de Marzo de 2015). Qué son las normas ISO y cuál es su

finalidad. Obtenido de https://www.isotools.org/2015/03/19/que-son-las-

normas-iso-y- cual-es-su-finalidad/

Javier, A. (2008). Seguridad de la información, Redes informática y

sistemas de información. España, Madrid: Cengage Leaning Paraninfo S.A.

Muñoz Razo, C. (2002). Auditoría en sistemas computacionales. México:

Pearson Educación.

Robledo, P. (2011). El libro del BPM 2011. Tecnologías, Conceptos,

Enfoques Metodológicos y Estándares. Madrid: Print Marketing, S.L.

Villacís Reyes José, Gualotuña Tatiana, Hinojosa Cecilia. (s.f.).

Metodología para el análisis, diseño e implementación de procesos con

tecnología BPM (Business Process Management).

http://www.bvsde.paho.org/bvsacd/cd47/riesgo.pdf

https://www.isotools.org/2015/03/19/que-son-las-normas-iso-y-%20cual-es-su-finalidad/

https://www.isotools.org/2015/03/19/que-son-las-normas-iso-y-%20cual-es-su-finalidad/

VAN BON, J. (2009). Diseño del Servicio Basado en ITIL V3 Amersfoort

Holanda Primera edición Impresa.

Alegsa Leandro (2016), “Informática”, Editorial Alegsa, Argentina.

Pérez Porto Julián (2008), “Informática”, Editorial Definición. De, México.

Vialfa Carlos (2017), “Programa informático”, Editorial SoftDoit, Madrid.

González Francisco (2012), “Introducción a los sistemas de información”,

Editorial UV.

Hernández Alejandro (2012), “Los sistemas de información: Evolución y

desarrollo”, Departamento de Economía y Dirección de Empresas,

Zaragoza.

Calzada Roosevelt (2013), “Sistema de información”, Editorial SISVAN,

Panamá.

Palmero Raúl (2010), “Sistemas integrados en la gestión de la

información”, Editorial Gestiopolis, Cuba.

Ingram David (2017), “Sistemas de gestión de información”, Editorial La voz

Houston, Houston.

Manzano Karen (2014), “Manual del sistema de gestión de seguridad de la

información”, Editorial Leasing, Bolívar.

Normas ISO 27001 (2016), “Sistemas de gestión normalizados”, IsoTools,

España.

Castro Raúl (2014), “Plan de seguridad informática”, Facultad de sistemas.

Ramírez Mara (2015), “¿Cómo definir un plan de seguridad informática?”,

TG.

Cacuango Andrew (2008), “Seguridad de la información”, Editorial Press.

Vargas Ana María (2011), “Gestión tecnológica: conceptos y casos de

aplicación”, Universidad industrial de Santander, Bucaramanga – Colombia.

Rodríguez Marcos (2013), “Metodología para la gestión de seguridad

informática”, Departamento de seguridad en redes informáticas.

ANEXOS.

A. ESQUEMA DE RED DE COMUNICACIÓN ACTUAL.

B. ESQUEMA DE RED DE COMUNICACIÓN PROPUESTA.

C. ESQUEMA DE ENLACE SUGERIDO PARA LA COOPERATIVA

Sugerimos la modificación de la infraestructura de comunicación actual por

partes, con el objetivo de mejorar la velocidad de transmisión de datos para ello

se instalarán antenas Marca TRANZEO TR-6000-N, 2,4Ghz (punto de

repetición) con antena direccional de frecuencia 2,4Ghz tipo grilla con conector

para cada agencia.

ATENA

DIRECCION

AL

MATRIZ

AGENCIA No. 1

universidad regional autÓnoma de los andes uniandes...

Documents