Está en la página 1de 34

DEPARTAMENTO DE

HUMANIDADES

METODOLOGÍA DE LA INVESTIGACIÓN
CURSO VIRTUAL

Diseño e implementación de un plan de políticas de seguridad

informática para minimizar los riesgos de intrusión en la aplicación web

de la empresa Inmuebles Coronado S.A.C

Autores: ARMAS PIMENTEL, Julio Cesar; 76776


GRANDA CASTAÑEDA, Santiago Genaro; 65447
VÁSQUEZ BLAS, Leopoldo Delver; 69713

PROFESOR WILFREDO VALVERDE GERARDO RODRIGUEZ.

1
Diseño e implementación de un plan de políticas de seguridad informática

para minimizar los riesgos de intrusión en la aplicación web de la empresa

Inmuebles Coronado S.A.C

Introducción

En estos últimos años, los ataques informáticos a las aplicaciones web de las
diferentes organizaciones del mundo han ido en aumento. Estos ataques son
realizados por piratas informáticos, los cuales aprovechan diferentes
vulnerabilidades para lograr realizar la intrusión de dichos sistemas.

(Alonso Cebián, 2017), nos comenta que con respecto a la seguridad informática,
el estar seguros no es una meta realista. Este mismo año Telefónica de España
sufre un ataque de ransomware, en la cual para evitar la propagación del malware,
decidieron desconectar los posibles equipos infectados. Cebian también afirma que
ninguna empresa puede garantizar que no vaya a afectarle un malware u otro, los
que afirman que si se puede hacer esto, en realidad no saben nada de seguridad
informática.
Con respecto al informe que presentó la empresa ESET Smart Security (ESET,
2017) concluye que el 49% de las empresas en Latinoamérica fueron víctimas de
algún tipo de malware. Siendo este tipo de ataque el más común para las pequeñas
empresas. En el caso del Perú (ESS, 2016), el 39.9 por ciento de las empresas
sufrieron una infección de malware.

En la publicación de la página de kaspersky Lab (Kaspersky Lab, 2017), en agosto


de este mismo año, los hackers LulzSec, logran vulnerar las defensas de las
páginas del gobierno peruano, entre ellas la del Ministerio de Educación y Perú
Compras (Kaspersky Lab, 2017). Esto demuestra que cualquier organización puede
ser víctima de un ataque.

2
Por otra, la aplicación de políticas de seguridad, dependiendo de la envergadura,
necesitan una fuerte inversión de dinero para implementación de una infraestructura
adecuada. En las empresas grandes, en las cuales la información y prestigio es de
vital importancia para el core del negocio, esto no implica un gasto, sino un costo,
porque trae consigo la reducción de costos en el caso que se presente algún
incidente en la empresa, con respecto a la seguridad de los sistemas de
información. En el caso de las pymes (ESET, 2017), estas no cuentan con
presupuesto dedica a la seguridad o es muy escaso, no tienen tiempo para dedicarle
al monitoreo de la seguridad, no están seguros de lo que deben hacer y/o no tienen
personal calificado.

Domínguez (2014) citado por Paula & Rosario (2014) considera que es necesario
que las PYMES refuercen su seguridad informática a través de auditorías, buenas
prácticas, software especializado y pruebas de hacking ético. El también afirma que
las brechas de seguridad se deben a la mala configuración de los dispositivos,
personal no capacitado con respecto a la seguridad informática y la no actualización
de software. Además (Paula Reynoso & Rosario Frias, 2014) en su trabajo de
investigación concluyen que las PYMES si tienen la necesidad de aplicar políticas
de seguridad, debido a que el 100 por ciento de las empresas entrevistadas tienen
su información vinculada a recursos tecnológicos.

Robayo & Rodríguez (2015), en su trabajo de investigación concluyen que es


importante la implementación de políticas de seguridad y la capacitación de
personal para mitigar los ataques informáticos. Además brindan algunas
recomendaciones que se pueden aplicar en el presente trabajo de investigación.

Como podemos observar, los ataques informáticos a empresas son muy comunes.
En el caso de las PYMES, las cuales no cuentan con los recursos necesarios para
implementar sofisticadas políticas de seguridad informática, son blancos fáciles
para los piratas informáticos, los cuales buscan adquirir algún beneficio de manera
directa o indirectamente.

3
Por tanto el problema planteado es el diseño e implementación de políticas de
seguridad informática minimizar el riesgo de intrusión en la aplicación web de la
empresa Inmuebles Coronado S.A.C de la ciudad de Trujillo en el año 2017 y el
objetivo que se ha planteado en el presente trabajo es el de analizar y diseñar un
plan de políticas de seguridad informáticas, y como hipótesis tenemos que el diseño
y la implementación de políticas de seguridad informática permitirá minimizar los
riesgos de intrusión en el sistema web de la empresa inmuebles coronado S.A.C.

Entre los antecedentes que se encontró tenemos el trabajo realizado por Bermúdez
& Sánchez (2016), en el cual hace uso de la norma ISO/IEC 27001. En dicha
investigación resaltan que no es posible garantizar una seguridad total. Aquí
también obtuvieron como resultado la identificación de vulnerabilidades y
amenazas. Mientras tanto Espinoza (2013) también hace mención de esta norma
para diseñar un sistema de gestión de seguridad de información, en dicha
investigación concluye que la seguridad de la información debe estar incluido en la
cultura organizacional de la empresa. Por otro lado Arias, Gabriela, Almeida &
Noriega (2013), obtuvieron como resultado que en la empresa en donde realizaron
la investigación no mantienen normas de seguridad de la información.

Hasta el momento se observa que se toma como base la norma ISO/IEC 27001
para el diseño de planes o políticas de seguridad con respecto a la información.
Guachi (2012), también hace uso de esta norma con el objetivo de mejorar la
confidencialidad, integridad y la disponibilidad de los sistemas de información.
Mientras tanto Moposita (2112), menciona el desarrollo de un manual de medidas
para la protección informática que evite el robo de identidad provocado por el ataque
de Phishing, el cual es otro punto importante a tomar en cuenta para las
organizaciones. Crillo (2017), tiene como objetivo el análisis y la implantación de la
misma norma. Como observamos, la norma 27001 es una tendencia, la cual se toma
como base para el análisis y la implementación de políticas de seguridad en las
instituciones.

4
Aguirre (2014), concluye que es necesario difundir las normas de seguridad
existentes (si es que las hubiera) y establecer charlas de capacitación y
concientización en toda la empresa. Si bien es cierto en la actualidad en la empresa
en estudio no tienen definidas normas de seguridad de información e informática, al
realizar la implantación de debe tomar este punto en cuenta.

El análisis de riesgos es otro factor importante, al no tener un presupuesto abultado,


las organizaciones deben de priorizar en donde aplicar las medidas correctivas para
minimizar riesgos de algún incidente con respecto a la seguridad de la información.
Perafan & Cacedo (2014) en su trabajo realizaron un análisis de riesgos asociados
a las vulnerabilidades ya amenazas, en donde nuevamente se denota el alto riesgo
a ser atacado. Por otro lado Barrantes & Hugo (2012), buscan reducir y mitigar los
riesgos activos de información implementando políticas de seguridad y que los
colaboradores las conozcan.

Como se puede observar no basta solo con aplicar las políticas, sino que las
personas conozcan dichas políticas. También cabe recalcar que se busca minimizar
y no eliminar el riesgo o problema, dado que este objetivo no sería algo realizable.
Garcés (2015) en su trabajo propone documentar las reglas y derechos de acceso
a los recursos del sistema de información y comunicación para su posterior
implementación. En otros trabajos como es el caso de Nuela(2015), busca realizar
una auditoría para detectar vulnerabilidades, esto es una buena práctica para
realizar mejoras en los sistemas informáticos. Acosta (2016), también tiene el mismo
objetivo, el de auditar y realizar un mejora.

Otro aspecto a destacar es la información, la empresa en estudio toma como


referencia los datos obtenidos a través del sistema web de la empresa. Chagcha(
2016), afirma que la aplicación de BI para la toma de decisiones ayuda al manejo
de la información para la toma de decisiones del nivel estratégico. Si bien el
presente trabajo habla sobre la seguridad informática, también tiene un nexo directo

5
con la información del sistema, dado que para que la empresa tome decisiones
controladas, es necesario que la información suministrada sea integra y esté
disponible. Si la empresa deseara en el futuro implementar un sistema de BI en
base al sistema actual y este no tuviera la seguridad adecuada que garantice su
seguridad y disponibilidad, las decisiones tomadas en base a la información
suministrada podrían llevar a la empresa a la quiebra.

Este proyecto de investigación nace por la necesidad de minimizar los riesgos de


intrusión del sistema web de la empresa inmueble coronado S.A.C de la ciudad de
Trujillo, ya que esta ha sido vulnerada y sigue siendo atacada por piratas
informáticos. El core del negocio de esta empresa es el alquiler y venta de
inmuebles, los cuales se dan a conocer a través del sistema web. Es por esto que
la empresa necesita brindar seguridad y mantener una buena imagen hacia sus
clientes y potenciales clientes. También servirá como base para futuras
implementaciones de políticas de seguridad para aplicaciones web pertenecientes
a la pequeña y micro empresa, las cuales no cuentan con grandes recursos para
implementaciones de estándares de seguridad informática

Materiales y métodos
Recopilación y análisis de la información
Los empleados del área de TI de la empresa inmuebles coronado S.A.C, con
un total de 3 personas, el jefe del área de TI y dos desarrolladores externos.
En este caso la población es pequeña, por eso se consideró a toda la
población como muestra.

Se hizo entrevistas personales al personal del área de TI presencialmente y


vía web en fases periódicas, en las cuales se recogió la información. Además
se realizó una búsqueda de bibliografía sobre seguridad informática y pymes.
Se buscó información en internet a cerca de buenas prácticas para la
administración de seguridad en wordpress. Se buscó incidentes similares a
los que sufrió la empresa para poder obtener una lista de posibles soluciones

6
la mitigar el problema. Además se recopilo información a través de la
observación, con lo cual se pudo detectar el modo de operar de los piratas
informáticos.
Se realiza un cuadro comparativo entre las soluciones propuestas para
wordpress para mitigar el riesgo de intrusión
Para la redacción del presente trabajo, se usó el manual de redacción
academica UPN 2016.

Método:
El método que se utilizo es el la investigación documental – bibliográfica, que
consiste realizar una investigación sobre normas y buenas practicas con
respecto a la políticas de seguridad informática y de la información.

Proceso de elaboración de la pregunta


Definición de seguridad informática:
Perez & Merino (2008), definen que es una disciplina que se encarga
de proteger la integridad y la privacidad de la información almacenada
en un sistema informático.

Definición de políticas de seguridad:


Según el laboratorio de redes y seguridad de la UNAM es un conjunto
de leyes, reglas y prácticas que regulan la manera de dirigir, proteger
y distribuir recursos en una organización para llevar a cabo los
objetivos de seguridad informática dentro de la misma.

Nexo lógico de las variables


Al aplicación de políticas de seguridad informática tiene efecto positivo
en la mitigación de riesgos de intrusión en el sistema (aplicación) web.

El tema de investigación en el presente trabajo es el de documentar


buenas prácticas para su posterior implementación o aplicación en la

7
empresa inmuebles coronado S.A.C. y lograr mitigar el riesgo de
intrusión de piratas informáticos.

Artículos de
Año de
Titulo Autores investigación
publicación
o tesis
Análisis en seguridad
informática y seguridad de
la información basado en la Bermúdez Molina,
norma ISO/IEC 27001- Kelly Gabriela
2016 tesis
sistemas de gestión de Bailón Sánchez
seguridad de la información Edber Rafael
dirigida a una empresa de
servicios financieros.
Análisis y diseño de un
sistema de gestión de
seguridad de información
basado en la norma Espinoza
ISO/IEC 27001:2005 para Aguinaga, Hans 2013 tesis
una empresa de producción Ryan
y comercialización de
productos de consumo
masivo.
Análisis y solución de las Arias Buenaño,
vulnerabilidades de la Gabriela
seguridad informática y Merizalde Almeida,
2013 tesis
seguridad de la información Nelson
de un medio de Noriega García,
comunicación audio-visual. Natasha
Norma de seguridad
informática ISO 27001 para
mejorar la confidencialidad,
integridad y disponibilidad
de los sistemas de Guachi Aucapiña,
2012 tesis
información y comunicación Tania Verónica
en el departamento de
sistemas de la Cooperativa
de Ahorro y Crédito San
Francisco Ltda.
Medidas de protección
informática para evitar el
Moposita
robo de identidad
Guangashi, Paul 2012 tesis
provocado por el ataque
Fernando
phishing “The Tabnabbing
Attack" para la facultad de

8
ingeniería en sistemas,
electrónica e industrial.
Diseño de un sistema de
Aguirre
gestión de seguridad de
Mollehuanca, David 2014 tesis
información para servicios
Arturo
postales del Perú s.a.
Análisis de Riesgos de la
Seguridad de la
Perafán Ruiz, John
Información para la 2014 tesis
Jairo
Institución Universitaria
Colegio Mayor del Cauca
Diseño e implementación de Barrantes Porras,
un sistema de gestión de Carlos Eduardo
2012 tesis
seguridad de información en Hugo Herrera,
procesos tecnológicos. Javier Roberto
Seguridad informática para
la red de datos en la Garcés Ulloa,
2015 tesis
Cooperativa de Ahorro y Silvana Judith
Crédito Unión Popular Ltda.
Auditoría de la seguridad
informática para el
honorable gobierno
provincial de Tungurahua Nuela Guananga,
2015 tesis
mediante la metodología Byron Danilo
Open Source Security
Testing Methodology
manual
Auditoría informática para
la optimización del
funcionamiento de los
Acosta Jordán,
sistemas y equipos 2016 tesis
Mayra Gabriela
informáticos de la facultad
de ingeniería en sistemas,
electrónica e industrial.
Herramienta informática de
Chagcha
business intelligence para
Guamanquispe, 2016 tesis
el departamento de ventas
Luis Fabricio
en la empresa Mascorona.
Sistema web para la
potenciación de la oferta
laboral de graduados en la Ramón Santana,
2016 tesis
facultad de ingeniería en Eduardo Danilo
sistemas, electrónica e
industrial
Sistema informático para Pazmiño Garcés,
2017 tesis
control y monitoreo basado Ricardo José

9
en el sistema de control
Andon para mejorar el
desempeño de procesos y
control de recursos en la
manufactura de calzado de
cuero.
Análisis e Implantación de
la norma ISO/IEC
27002:2013 para el
Criollo Tasinchana,
departamento informático 2017 tesis
Sandra Maribel
del Gobierno Autónomo
Descentralizado Municipal
del Cantón Salcedo

Se realizó una matriz por cada antecedente encontrado en la revisión de


información realizada por el grupo de investigación, en la cual se toma en
cuenta las siguientes caracterizas para su documentación. El título de la
investigación, un resumen, la dirección referencia desde donde se tomó la
tesis, la introducción, la cual tiene como sub componentes la realidad
problemática, el problema de la investigación, el objetivo general. Luego el
apartado de Desarrollo, en el cual se describió el sustento teórico del trabajo
de investigación, la hipótesis, el diseño de la investigación, la población y
muestra del trabajo de la investigación, los resultados y el finalmente el
análisis de los resultados.

Perez & Merino (2008)

En el caso de la matriz número 2 se realizó un cruce de información de los


diversos trabajos encontrados en base a la matriz número 1. En esta matriz
se tomó en cuenta el problema, el objetivo general y la hipótesis. Se contrastó
cada ítem de la matriz, es decir, se comparó cada ítem de cada trabajo de
investigación (problema con problema, objetivo con objetivo) para obtener
una visión clara del enfoque de los diferentes trabajos realizados que tienen
relación con el presenta trabajo de investigación.

10
En cada uno de nuestros artículos trabajamos con el siguiente aspecto; el
diseño de la investigación, ya que esta se relaciona con nuestra pregunta
planteada porque en algunos de los artículos especifican que su diseño de
investigación les ayudo a obtener información y así obtener mejores
resultados para el desarrollo e implementación de sistemas de la información
o dar alternativas de solución en base a software para proteger la información
de las empresas y por ello se relaciona con nuestro problema que es ¿De
qué manera el diseño e implementación de políticas de seguridad informática
para minimizara el riesgo de intrusión en la aplicación web de la empresa
Inmuebles Coronado S.A.C de la ciudad de Trujillo en el año 2017?.

Referencia Bibliográfica
Aguirre Mollehuanca, D. A. (2014). Diseño de un sistema de gestión de seguridad de información
para servicios postales del Perú. Tesis, Pontificia Universidad Católica del Perú, Lima.
Alonso Cebián, J. M. (13 de Mayo de 2017). Un informático en el lado del mal. Recuperado el 10 de

11
Octubre de 2017, de Blog personal de Chema Alonso sobre sus cosas:
http://www.elladodelmal.com/2017/05/el-ataque-del-ransomware-wannacry.html
Arias Buenaño, Gabriela, Merizalde Almeida, N., & Noriega Garcia, N. (2013). Análisis y solución de
las vulnerabilidades de la seguridad informática y seguridad de la información de un medio
de comunicación audio-visual. Tesis, Universidad Politécnica Salesiana, Guayaquil.
Barrantes Porras, C. E., & Hugo Herrera, J. R. (2012). Diseño e implementación de un sistema de
gestión de seguridad de información en procesos tecnológicos. Tesis, Universidad San
Martín de Porras, Lima.
Bermudez Molina, K. G., & Bailon Sánchez, E. R. (2016). Análisis en seguridad informática y
seguridad de la información basado en la norma ISO/IEC 27001-sistemas de gestión de
seguridad de la información dirigida a una empresa de servicios financieros. Tesis,
Universidad Politécnica Salesiana, Guayaquil. Obtenido de
https://dspace.ups.edu.ec/bitstream/123456789/10372/1/UPS-GT001514.pdf
ESET. (5 de Octubre de 2017). Welivesecurity en Español. Recuperado el 12 de Octubre de 2017, de
https://www.welivesecurity.com/la-es/2017/10/05/madurez-de-la-seguridad-pymes/
ESET. (2017). Welivesecurity en Español. Recuperado el 11 de Octubre de 2017, de Noticias,
opiniones y analisis de la comunidad de seguridad de ESET:
https://www.welivesecurity.com/wp-content/uploads/2017/04/eset-security-report-
2017.pdf
Espinoza Aguinaga, H. R. (2013). Análisis y diseño de un sistema de gestión de seguridad de
información basado en la norma ISO/IEC 27001:2005 para una empresa de producción y
comercialización de productos de consumo masivo. Tesis, Pontificia Universidad Católica
del Perú, Lima.
Guachi Aucapiña, T. V. (2012). Norma de seguridad informática ISO 27001 para mejorar la
confidencialidad, integridad y disponibilidad de los sistemas de información y
comunicación en el departamento de sistemas de la Cooperativa de Ahorro y Crédito San
Francisco Ltda. Tesis, Universidad Técnica de Ambato, Ambato.
Kaspersky Lab. (21 de Agosto de 2017). Securelist. Recuperado el 11 de Octubre de 2017, de
https://securelist.lat/hackers-de-lulzsec-invaden-paginas-gubernamentales-de-
peru/85485/
Laboratorio de redes y seguridad UNAM. (2017). Universidad Nacional Autonoma de Mexico.
Recuperado el 10 de Noviembre de 2017, de http://redyseguridad.fi-
p.unam.mx/proyectos/seguridad/DefinicionPolitica.php
Moposita Guangashi, P. F. (2012). Norma de seguridad informática ISO 27001 para mejorar la
confidencialidad, integridad y disponibilidad de los sistemas de información y
comunicación en el departamento de sistemas de la Cooperativa de Ahorro y Crédito San
Francisco Ltda. Universidad Técnica de Ambato, Ambato.
Paula Reynoso, R. A., & Rosario Frias, M. (2014). Análisis de la gestión de la seguridad de
tecnologías de la información, en las pequeñas y medianas empresas de San Francisco de
Macorís. Republica Dominicana.
Perafán Ruiz, J. J., & Caicedo Cuchimba, M. (2014). Análisis de Riesgos de la Seguridad de la
Información para la Institución Universitaria Colegio Mayor del Cauca. Tesis, Universiad
Nacional Abierta y a Distancia, Popayán.
Perez Porto, J., & Merino, M. (2008). Definicion.de: Definición de seguridad informática. Obtenido
de https://definicion.de/seguridad-informatica/
Robayo López, J. H., & Rodríguez Rodríguez, R. M. (2015). Aseguramiento de los sistemas
computacionales de la empresa SITIOSDIMA.NET.
Sánchez, L. E., Villafranca, D., Fernández Medina, E., & Piattini, M. (s.f.). MGSM-PYME:

12
Metodología para la gestión de la seguridad y su madurez en las PYMES. En J. J. Ridrigo,
Tomelloso, & G. d. ALARCOS (Ed.), SICAMAN Nuevas Tecnologías. Ciudad Real, España:
Universidad de Castilla. Recuperado el 14 de Octubre de 2017, de
http://www.criptored.upm.es/cibsi/cibsi2009/docs/Papers/CIBSI-Dia2-Sesion3(3).pdf

13
ANEXOS

Matriz 01. IDENTIFICACIÓN DE INFORMACIÓN POR COMPONENTE DEL ARTÍCULO DE INVESTIGACIÓN (AI).

Análisis en seguridad informática y seguridad de la información basado en la norma ISO/IEC 27001-sistemas


Título de AI
de gestión de seguridad de la información dirigida a una empresa de servicios financieros.
Referencia https://dspace.ups.edu.ec/bitstream/123456789/10372/1/UPS-GT001514.pdf
Resumen Conocer, analizar e identificar la situación actual sobre las vulnerabilidades de seguridad de la empresa.
Durante los últimos años se han presentado incidentes de seguridad que han generado molestias en los
La realidad problemática
funcionarios y han sido causas de interrupción de las actividades que se desarrollan dentro de la empresa.
¿Cómo se podría minimizar los riesgos de pérdida, daño o alteración de la información administrada dentro de
El problema
Introducción la empresa Credigestion?
Analizar los procesos críticos de Credigestion respecto a las gestiones de seguridad adecuados para garantizar
El objetivo general la confidencialidad, integridad y disponibilidad de la información, mediante la formulación recomendaciones de
seguridad y controles basados en la norma ISO/IEC 27001.
La información es parte de los activos más importantes en una empresa, y a su vez es uno de los recursos más
Sustento teórico
propensos a vulnerabilidades, siendo necesario protegerlo de amenazas internas y externas.
A través de controles de seguridad basados en la norma de ISO/IEC 27001 se establecen mecanismos
Hipótesis adecuados para mitigar riesgos que se puedan presentar en el uso de los sistemas de información y en el
manejo de información.
La investigación se realiza de forma coherente llevando un proceso coordinado, para que de esta forma se
Diseño de investigación
Desarrollo contribuya a la interpretación correcta de los resultados.
Población y muestra Empleados de la empresa, directivos y operarios.
Los resultados obtenidos en la evaluación del análisis de seguridad de la información y seguridad informática,
Resultados obtenidos ayudaran a credigestion en la implementación de buenas prácticas que mitigaran las vulnerabilidades y
amenazas que han sido identificadas.
Los resultados indicaron potenciales índices de riesgos lo cual expone a la información a daños, robos o
Análisis de resultados
modificaciones que pueden causar un impacto negativo para la empresa.
La seguridad total no existe, pero gestionar controles de seguridad en el proceso y manejo de información, se
Conclusiones vuelve un complemento esencial, pues le permite asegurar información valiosa no solo de la empresa sino
también de los clientes.

14
Análisis y diseño de un sistema de gestión de seguridad de información basado en la norma ISO/IEC 27001:2005 para
Título de AI
una empresa de producción y comercialización de productos de consumo masivo.
http://tesis.pucp.edu.pe:8080/repositorio/bitstream/handle/123456789/4957/ESPINOZA_HANS_ANALISIS_SISTEMA
Referencia _GESTION_SEGURIDAD_INFORMACION_ISO_IEC%2027001_2005_COMERCIALIZACION_PRODUCTOS_CONS
UMO_MASIVO.pdf
En los últimos 20 años la información se ha convertido en un activo muy importante y crucial dentro de las
Resumen organizaciones. Por esta razón la organización tiene la necesidad de protegerla si es que la información tiene relación
ya sea con el negocio o con sus clientes.
Las amenazas han aumentado considerablemente la variedad y cantidad de amenazas que podrían afectar la
La realidad problemática confidencialidad, disponibilidad, auditabilidad e integridad de la información vital para la organización, el negocio y los
clientes, lo que podría provocar graves pérdidas económicas, y de tiempo para la organización.
Introducción ¿Se podrá analizar y diseñar un sistema de gestión de seguridad de información, basado en la norma ISO/IEC
El problema
27001:2005 para una empresa dedicada a la producción y comercialización de alimentos de consumo masivo?
Analizar y diseñar un sistema de gestión de seguridad de información, basado en la norma ISO/IEC 27001:2005 para
El objetivo general
una empresa dedicada a la producción y comercialización de alimentos de consumo masivo.
Todas las organizaciones tienen diferentes activos críticos de información, dependiendo del impacto o perjuicio grave
Sustento teórico que podría tener para la empresa, el que una persona físico o jurídico pueda acceder/obtener/tratar/difundir la misma
fraudulentamente o ilícitamente.
Hipótesis La investigación no cuenta con hipótesis.
Para este proyecto y para el producto final del mismo, que es la implementación del SGSI, se usara la metodología
Diseño de investigación
Desarrollo del ciclo de Deming (Plan-Do-Check-Act).
Población y muestra Teórico.
Se obtuvo como resultado también que aún seguían predominando en el mercado, empresas y personas que no tenían
Resultados obtenidos
ningún tipo de certificación en seguridad de información.
En la actualidad no hay empresas en el país del rubro de producción de alimentos de consumo masivo que estén
Análisis de resultados
certificadas en la norma ISO/IEC 27001:2005, y por ende no cuenta con un correcto SGSI implantado.
La adecuada gestión de la seguridad de información es algo que debe estar ya incluido en la cultura organizacional
Conclusiones de las empresas; y en todas ellas esta adecuada gestión no se lograría sin el apoyo de la alta gerencia como
promotor activo de la seguridad en la empresa.

15
ANÁLISIS Y SOLUCION DE LAS VULNERABILIDADES DE LA SEGURIDAD INFORMÁTICA Y SEGURIDAD
Título de AI
DE LA INFORMACIÓN DE UN MEDIO DE COMUNICACIÓN AUDIO-VISAL.
Referencia https://dspace.ups.edu.ec/bitstream/123456789/5386/1/UPS-GT000497.pdf
En este estudio se ha recomendado e implementado políticas de seguridad informática en la empresa, siguiendo
Resumen procedimientos estandarizados que permiten identificar y reducir a corto y mediano plazo los diferentes riesgos
informáticos.
La empresa “GNN7 TV” requiere una auditoria/consultoría informática ya que en su sistema de gestión de
seguridad de la información existen falencias ya identificadas como controles mal implementados y una mala
La realidad problemática
administración de la red, presentando pérdidas o fugas parciales de información de alta importancia para el
negocio.
Introducción
¿Cómo determinar que los procesos actuales de seguridad informática y de la información no son los adecuados
El problema
para la organización?
Identificar los procesos de seguridad informática y de seguridad de la información actualmente implementados
El objetivo general
en la empresa para así auditarlos, hacer recomendaciones e implementar controles según el caso.
La seguridad informática actualmente se ha vuelto un punto crítico por lo tanto la empresa requiere de un análisis
Sustento teórico
a cerca de su estado actual y lo recomendable es que sea efectuado por agentes externos.
La mala gestión de los mecanismos actualmente implementados en SGSI de empresa no permite cubrir las
Hipótesis
necesidades de protección contra amenazas internas y externas de seguridad.
Diseño de investigación La investigación se realizara utilizando métodos inductivo, deductivo y observativo.
Desarrollo Personal del departamento de TI los cuales conocen al detalle la situación actual del SGSI de la empresa; La
Población y muestra
totalidad del personal del TI.
Resultados obtenidos Se pudo comprobar que no mantienen normas de seguridad de la información en la empresa.
Sus procedimientos actuales carecen en su mayoría de controles que hagan viable una buena gestión de los
Análisis de resultados mismos, además es vulnerable a sufrir pérdida o robo de información ya que los controles actualmente
implementados no son del todo eficientes.
GNN7 TV ha implementado algunos de los controles propuestos llevándolo a corregir muchos de sus procesos
Conclusiones
actuales.

16
NORMA DE SEGURIDAD INFORMÁTICA ISO 27001 PARA MEJORAR LA CONFIDENCIALIDAD, INTEGRIDAD Y
Título de AI DISPONIBILIDAD DE LOS SISTEMAS DE INFORMACIÓN Y COMUNICACIÓN EN EL DEPARTAMENTO DE
SISTEMAS DE LA COOPERATIVA DE AHORRO Y CRÉDITO SAN FRANCISCO LTDA.
Referencia http://repo.uta.edu.ec/bitstream/123456789/2361/1/Tesis_t715si.pdf
El Departamento de Sistemas de la Cooperativa de Ahorro y Crédito San Francisco Ltda., es un pilar fundamental
Resumen para la Cooperativa ya que opera y gestiona los sistemas de información y de comunicación por lo tanto deben
brindar seguridad y confiabilidad de los mismos y así satisfacer a los usuarios de los sistemas de información.
Con frecuencia somos testigos y/o víctimas de ataques de virus, de crackers, e incluso de empleados o usuarios
La realidad problemática maliciosos que acceden a información confidencial y la utilizan de forma perjudicial para la empresa. En muchas
ocasiones somos conscientes de los daños causados cuando es demasiado tarde o quizá nunca.
¿Qué incidencia tiene la Implementación de la norma de seguridad informática ISO 27001 en la confidencialidad,
Introducción El problema integridad y disponibilidad de los sistemas de información y comunicación en el Departamento de Sistemas de la
Cooperativa de Ahorro y Crédito ―San Francisco‖ Ltda.?
Implantar la norma de seguridad informática ISO 27001 para mejorar la confidencialidad, integridad y disponibilidad
El objetivo general de los sistemas de información y comunicación en el Departamento de Sistemas de la Cooperativa de Ahorro y
Crédito ―San Francisco‖ Ltda.
La realización de este trabajo de investigación es de gran importancia porque se puede vincular la teoría con la
práctica, ya que gracias a esto se puede complementar el desarrollo de este proyecto y los resultados serán de gran
Sustento teórico
ayuda en el desarrollo tecnológico logrando que la cooperativa cuente con normativas adecuadas y seguras sobre
la protección de datos, privacidad y control de técnicas de información.
La implantación de la norma de seguridad informática ISO 27001 mejorará la confianza en el manejo de los sistemas
Hipótesis
de información y comunicación del departamento de sistemas de la cooperativa.
La investigación se realizó de forma cualitativa ya que se obtuvo información directa de los investigados por medio
Diseño de investigación de la aplicación de una entrevista, gracias a esto se pudo elaborar un análisis de resultados y proponer alternativas
Desarrollo de solución.
El proyecto está orientado a una población integrada por cinco personas que laboran en el departamento de sistemas
Población y muestra de la Cooperativa de Ahorro y Crédito ―SAN FRANCISCO‖ Ltda. La muestra pasaría a ser la misma población
puesto que ésta es muy reducida.
El 80% de los trabajadores respondieron que existen políticas establecidas solo para los usuarios, es decir cada uno
Resultados obtenidos es dueño de una contraseña para poder usar la computadora y las aplicaciones que utilicen, el 20% respondieron
que se aplican políticas para los sistemas de información como respaldos, copias de seguridad y antivirus.
Solo se cuenta con políticas de seguridad destinadas para los usuarios, por lo que los sistemas de información y de
Análisis de resultados
comunicación están desprotegidos.
No se cuenta con estándares de seguridad informática que ayuden a preservar las propiedades de confidencialidad,
Conclusiones
integridad y disponibilidad de los sistemas de información y de comunicación.

17
MEDIDAS DE PROTECCIÓN INFORMÁTICA PARA EVITAR EL ROBO DE IDENTIDAD PROVOCADO POR
Título de AI EL ATAQUE PHISHING “THE TABNABBING ATTACK" PARA LA FACULTAD DE INGENIERÍA EN SISTEMAS,
ELECTRÓNICA E INDUSTRIAL.
Referencia http://repositorio.uta.edu.ec/handle/123456789/2378
La necesidad de contar con un instrumento de informático de seguridad web, Medidas de Protección Informático
Resumen para prevenir el robo de identidad provocado por el ataque Phishing “The Tabnabbing” en la comunidad
estudiantil de la FISEI.
En la Facultad de Ingeniería en Sistemas Electrónica e Industrial de la universidad Técnica de Ambato, se
produce un grave problema como es el robo de identidad de los estudiantes debido a que no se cuenta, con las
La realidad problemática
seguridades indispensables en los usuarios lo que hace que estos sean elementos muy vulnerables a ataques
y robos de información.
Introducción
¿De qué manera ayudaría las Medidas de protección Informática evitar el robo de identidad provocado por el
El problema
Ataque Phishing “The Tabnabbing" en la Facultad de Ingeniería en Sistemas Electrónica e Industrial?
Desarrollar el manual de las medidas de protección Informática que evite el robo de identidad provocado por el
El objetivo general
Ataque Phishing “The Tabnabbing" para la Facultad de Ingeniería en Sistemas Electrónica e Industrial.
La adquisición de nuevos conocimientos y la amplia información de los problemas que existen en cuanto a la
Sustento teórico
seguridad Web a nivel mundial y local, sobre la vulnerabilidad existente ante ciber delincuentes.
La aplicación de medidas de protección Informática influirán en la disminución del robo de identidad provocado
Hipótesis por el Ataque Phishing “The Tabnabbing" en los estudiantes de la Facultad de Ingeniería en Sistemas Electrónica
e Industrial.
Diseño de investigación El presente trabajo investigativo tomará un enfoque Cuali – Cuantitativo.
Desarrollo los estudiantes de cuarto semestre a noveno semestre y el personal administrativo de la carrera de Ingeniería
Población y muestra En Sistemas Computacionales E Informáticos de la Facultad de Ingeniería en Sistemas, Electrónica e Industrial
de la Universidad Técnica de Ambato.
Los encuestados de los estudiantes de la carrera de Sistemas Computacionales e Informáticos de la FISEI, el
Resultados obtenidos
17,19% manifiestan qué un acceso limitado a internet evitaría el robo de identidad en la FISEI.
“Muchas empresas deben restringir selectiva o completamente el uso de Internet para preservar su información,
Análisis de resultados
administrar la productividad y el ritmo de trabajo de su gente.
Los errores que son más evidentes y que repercuten en el robo de identidad es la falta de conocimiento de este
Conclusiones
tipo de vulnerabilidades, los robos de identidad de los estudiantes son más comunes en la FISEI.

18
DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN PARA SERVICIOS POSTALES
Título de AI
DEL PERÚ S.A.
Referencia http://mendillo.info/seguridad/tesis/Aguirre.pdf
La exigencia de la implementación de la norma técnica peruana NTP-ISO/IEC 27001:2008 en las entidades
públicas nace de la necesidad de gestionar adecuadamente la seguridad de la información en cada una de estas
Resumen
empresas. Sin embargo, el desconocimiento de estos temas por parte de la alta dirección, ha ocasionado que
no se tomen las medidas necesarias para asegurar el éxito de este.
En nuestro país, desde hace más de diez años, las políticas del gobierno han ido recomendando una adecuada
gestión de la seguridad de la información con resoluciones ministeriales tales como la N° 224-2004-PCM en la
La realidad problemática
que aprueban el uso obligatorio de la NTP ISO/IEC 17799:2004 en las entidades públicas referente a las buenas
prácticas para gestionar la seguridad de la información [NTP ISO/IEC 17799].
Introducción
¿Se podra diseñar un sistema de Gestión de Seguridad de Información alienado a la normativa peruana vigente
El problema
para cubrir las necesidades de los procesos institucionales críticos de una entidad pública?
Diseñar un sistema de gestión de seguridad de información para SERPOST según lo indicado por la NTP
El objetivo general
ISO/IEC 27001:2008 y la NTP-ISO/IEC 17999:2007 de seguridad de información.
El presente proyecto busca desarrollar un sistema gestión de seguridad de la información para una empresa
Sustento teórico pública y el presente ISO fue desarrollado para “proporcionar un modelo para implementar, operar, monitorear,
revisar y mejorar un sistema de gestión de la seguridad de la información (SGSI)” [ISO/IEC 27001:2005].
Hipótesis La investigación no presenta hipótesis.
Diseño de investigación La investigación se hará en base a matrices.
Población y muestra No especificada.
Desarrollo
La poca preocupación para la implementación de este sistema de gestión en la organización, no fue sino hasta
Resultados obtenidos
un cambio de la plana gerencial que se recibió el apoyo necesario para la realización de este proyecto.
Se observo el poco interés y la poca concientización que se tiene con respecto a la seguridad de la información
dentro del personal operativo, algo que resulta sorprendente teniendo en cuenta que, dentro de las diversas
Análisis de resultados
áreas, existen casos de personas con procesos judiciales debido a un intercambio no autorizado de
credenciales.
Es necesario difundir las normas de seguridad existentes y establecer charlas de capacitación y concientización
en toda la empresa, esto debido a la poca cultura de seguridad que existe en la organización, desde las planas
Conclusiones gerenciales hasta el personal operativo, incluyendo al personal de seguridad, debido a que se ha detectado que
existen controles normados; sin embargo, estos no son conocidos por el personal y no existen métricas que
permitan monitorear el cumplimiento de estas normas.

19
Título de AI Análisis de Riesgos de la Seguridad de la Información para la Institución Universitaria Colegio Mayor Del Cauca
Referencia http://stadium.unad.edu.co/preview/UNAD.php?url=/bitstream/10596/2655/3/76327474.pdf
Resumen No presenta resumen.
La Institución Universitaria Colegio Mayor del Cauca, no tiene un sistema de seguridad de la información que
permita la gestión de vulnerabilidades, riesgos y amenazas a las que normalmente se ve expuesta la información
La realidad problemática presente en cada uno de los procesos internos, no se tienen estandarizados controles que lleven a mitigar delitos
informático o amenaza a los que están expuestos los datos comprometiendo la integridad, confidencialidad y
disponibilidad de la información.
Introducción ¿Cómo identificar y tratar los riesgos que afecten la seguridad de la información de La Institución Universitaria
El problema Colegio Mayor del Cauca, con el fin de definir e implementar a futuro un Sistema de Gestión de Seguridad de la
Información, mediante el análisis de riesgos?
Realizar el análisis de riesgos que permita generar controles para minimizar la probabilidad de ocurrencia e
El objetivo general impacto de los riesgos asociados con las vulnerabilidades y amenazas de seguridad de la información existentes
en la Institución Universitaria Colegio Mayor del Cauca.
Hoy día la Institución Universitaria Colegio Mayor del Cauca, tiene una infraestructura tecnológica en
Sustento teórico crecimiento, de la cual dependen muchos de los procesos, dependencias y el funcionamiento tanto
administrativo como académico.
Hipótesis La tesis no cuenta con hipotesis.
Desarrollo Diseño de investigación Investigación aplicada.
Población y muestra No existe.
Resultados obtenidos No se cuenta con personal capacitado en seguridad.
Capacitar al personal del área de TIC o de sistemas en temas de seguridad informática para apoyar el proceso
Análisis de resultados
de capacitación a todo el personal involucrado con la IUCMC.
La IUCMC actualmente presenta un nivel de riesgo informático considerable, que con el apoyo de las directivas
Conclusiones
(alta gerencia) y de todo el personal es posible contrarrestar.

20
DISEÑO E IMPLEMENTACION DE UN SISTEMA DE GESTION DE SEGURIDAD DE INFORMACION EN
Título de AI
PROCESOS TECNOLOGICOS.
Referencia http://www.repositorioacademico.usmp.edu.pe/bitstream/usmp/609/3/barrantes_ce.pdf
En la actualidad, muchas empresas que están o desean incursionar en el ámbito financiero tienen problemas
Resumen
para resguardar la seguridad de su información; en consecuencia esta corre riesgos al igual que sus activos.
Las organizaciones públicas y privadas día a día generan conocimientos, datos, reportes, actas y material de
La realidad problemática diferente índole de suma importancia para ellas, lo cual representa toda la información que requieren para su
funcionalidad.
¿Se podrá reducir y mitigar los riesgos de los activos de información de los procesos que se encuentran bajo
Introducción El problema la gerencia de tecnología de Card Perú S.A. que ponen en peligro los recursos, servicios y la continuidad de
los procesos tecnológicos?
Reducir y mitigar los riesgos de los activos de información de los procesos que se encuentran bajo la gerencia
El objetivo general de tecnología de Card Perú S.A. que ponen en peligro los recursos, servicios y la continuidad de los procesos
tecnológicos.
Debido a los riesgos que están expuestos los activos de información, el impacto que la interrupción de estos
Sustento teórico puede causar, es preponderante la definición de una metodología y el uso de herramientas que nos ayuden
reducir y mitigar estos riesgos.
Hipótesis No presenta.
Desarrollo Diseño de investigación Análisis de brechas y gestión.
Población y muestra No presenta.
Resultados obtenidos Se obtuvo que la empresa no contaba con la documentación mínima necesaria para postular a un SGSI.
Se debe desplegar medidas de seguridad para gestionar los riesgos y ejecutar un plan de tratamiento de
Análisis de resultados
riesgos planteado para reducir el riesgo a niveles aceptables.
El implementar una política de seguridad y que los colaboradores la conozcan e interioricen, es de gran
Conclusiones
utilidad cuando se quiere implementar cualquier sistema de gestión en una organización.

21
SEGURIDAD INFORMÁTICA PARA LA RED DE DATOS EN LA COOPERATIVA DE AHORRO Y CRÉDITO
Título de AI
UNIÓN POPULAR LTDA.
Referencia http://repositorio.uta.edu.ec/handle/123456789/8654
La ejecución de seguridad en la red de datos de la Cooperativa de Ahorro y Crédito Unión Popular Ltda. permitirá
que la información sea mucho más segura y libre de intrusos, mediante el establecimiento de políticas para la
correcta utilización de los servicios de red, las que deben ser cumplidas por los empleados de la cooperativa;
Resumen
así como también la instalación de mecanismos de seguridad como un Firewall, servidor Proxy e IDS (Sistema
de Detección de Intrusos) que permitirán una correcta administración, control y monitoreo de la red de la
cooperativa.
En la actualidad, con los servicios que brinda la red toda organización que maneje distintas líneas de negocio
se ha visto inclinada al uso prioritario de distintos servicios informáticos para tener acceso a su información,
trayendo como consecuencia un gran avance tecnológico por la implementación de infraestructuras que
La realidad problemática
permitan la administración, acceso a la información y la comunicación entre los sistemas informáticos y
aportando consigo grandes necesidades de seguridad para resguardar cualquier tipo de información de la
Introducción
empresa.
¿Se podra implementar la seguridad informática para la red de datos que permitirá controlar y administrar la
El problema
información y los servicios de red?
Implementación de seguridad informática para la red de datos en la Cooperativa de Ahorro y Crédito “Unión
El objetivo general
Popular Ltda.
El presente proyecto busca responder las necesidades que tiene toda red de datos empresarial, permitiendo de
Sustento teórico este modo diseñar la seguridad informática para la red de datos, que permita tener mayor control en la
transmisión de información y la adecuada administración de los recursos dentro de la red.
Hipótesis No presenta.
Diseño de investigación La presente investigación se contextualizará en la modalidad de campo y documental – bibliográfica.
Por las características de la investigación, se trabajará con la persona encargada del Departamento de Sistemas
Población y muestra
Desarrollo de La Cooperativa de Ahorro y Crédito Unión Popular Ltda.
La cooperativa no cuenta con ningún esquema ni equipos de seguridad, así mismo no se realiza monitoreo de
Resultados obtenidos la red, por lo que puede permitir a los atacantes tener acceso a los puntos de conexión, tales como los servidores
y los activos de TI.
Se deberá minimizar la generación y el uso de perfiles de usuario con máximos privilegios. Estos privilegios, tal
Análisis de resultados como la posibilidad de modificar o borrar los archivos de otros usuarios, sólo deben otorgarse a aquellos
directamente responsable de la administración o de la seguridad de los sistemas.
Se deben definir y documentar las reglas y derechos de acceso a los recursos del sistema de información y
Conclusiones
comunicación para cada usuario o grupo de usuarios en una declaración de política de accesos.

22
AUDITORÍA DE LA SEGURIDAD INFORMÁTICA PARA EL HONORABLE GOBIERNO PROVINCIAL DE
Título de AI TUNGURAHUA MEDIANTE LA METODOLOGÍA OPEN SOURCE SECURITY TESTING METHODOLOGY
MANUAL
http://repositorio.uta.edu.ec/jspui/handle/123456789/14999
Referencia
El presente proyecto está dirigido a la Auditoría de Seguridad Informática en el Honorable Gobierno Provincial
Resumen de Tungurahua mediante la metodología Open Source Security Testing Methodology Manual (OSSTMM) para
el análisis, detección y explotación de vulnerabilidades mediante herramientas de seguridad informática.
El Honorable Gobierno Provincial de Tungurahua tiene como misión “impulsar las iniciativas de desarrollo
económico, social, ambiental y territorial de Tungurahua, bajo los principios de participación, mancomunidad,
La realidad problemática equidad, ética, efectividad y transparencia”, ha sufrido ataques a varias páginas web de las que administra como
son “El Parque de la Familia”, “Agenda de Productividad y Competitividad”, “Recursos Agropecuarios” las cuales
Introducción están desarrolladas en Joomla CMS, junto con el acceso de personal no autorizado al servidor Proxy.
¿Se podrá realizar una Auditoría de la Seguridad Informática la cual servirá para la detección de
El problema
vulnerabilidades en los servidores del Honorable Gobierno Provincial de Tungurahua?
Implementar una Auditoría de la Seguridad Informática para el Honorable Gobierno Provincial de Tungurahua
El objetivo general
mediante la Metodología Open Source Security Testing Methodology Manual OSSTMM.
El presente proyecto es importante debido a que la institución necesita una evaluación de la seguridad actual,
de tal manera que se detecten vulnerabilidades que puedan ser explotadas por atacantes informáticos y
Sustento teórico
corregirlas o reducirlas, para proteger la integridad tanto de la información como de los dispositivos
conectados a la red.
Desarrollo Hipótesis No presenta.
Diseño de investigación Investigación en Software.
Población y muestra Virtual.
Resultados obtenidos El gobierno de Tungurahua no cuenta con auditorias de seguridad informática.
Análisis de resultados Se debe realizar auditorías para detectar vulnerabilidades.
El Honorable Gobierno Provincial de Tungurahua no ha realizado auditorías de seguridad informática en lo
que a detección de vulnerabilidades se refiere, tampoco cuenta con herramientas que faciliten un análisis,
Conclusiones
detección y explotación de vulnerabilidades por lo cual el proyecto es beneficioso mediante la investigación de
lo mencionado.

23
AUDITORÍA INFORMÁTICA PARA LA OPTIMIZACIÓN DEL FUNCIONAMIENTO DE LOS SISTEMAS Y
Título de AI EQUIPOS INFORMÁTICOS DE LA FACULTAD DE INGENIERÍA EN SISTEMAS, ELECTRÓNICA E
INDUSTRIAL.
Referencia http://repositorio.uta.edu.ec/jspui/handle/123456789/20343
El presente proyecto se desarrolla a partir de la necesidad de conocer el estado en que se encuentra el
funcionamiento de los sistemas y equipos informáticos de la Facultad de Ingeniería en Sistemas, Electrónica e
Resumen Industrial, para lo cual se realiza la ejecución de una Auditoria Informática utilizando una metodología basada
en COBIT 4.1 (Control Objectives for Information and related Technology) para evaluar los controles del
sistema de Control de Docentes y Laboratorios de la Facultad.
En la ciudad de Ambato la realización de Auditorías informáticas tienen como objetivo conseguir la máxima
La realidad problemática eficacia y rentabilidad de los medios informáticos de la empresa, aunque es una técnica que va tomando
mayor importancia, no se la realiza en muchas empresas de la ciudad.
Introducción ¿Se podrá realizar una Auditoría Informática para optimizar el funcionamiento de los sistemas y equipos
El problema
informáticos de la Facultad de Ingeniería en Sistemas, Electrónica e Industrial?
Realizar una Auditoría Informática para optimizar el funcionamiento de los sistemas y equipos informáticos de
El objetivo general
la Facultad de Ingeniería en Sistemas, Electrónica e Industrial.
Actualmente los equipos informáticos y sistemas de la Facultad de Ingeniería en Sistemas, Electrónica e
Industrial tienen un buen desempeño, lo cual no significa que se encuentre vulnerable, ya que el sistema se
Sustento teórico encuentra en constante desarrollo, esto puede causar que se pierda información de gran importancia para la
facultad, como por ejemplo información de los docentes así como también equipos informáticos, que son de
igual importancia para que la facultad se pueda desenvolver de manera óptima.
Hipótesis No presenta.
Diseño de investigación Se realizará una investigación bibliográfica – documental.
Desarrollo El proceso de auditoría se realizó al Sistema de control de Docentes, laboratorios y la Administración de
Población y muestra
Redes de la Facultad de Ingeniería en Sistemas, Electrónica e Industrial.
En la facultad de Ingeniería en Sistemas, Electrónica e Industrial nunca se ha realizado una auditoría
Resultados obtenidos
informática y dentro de los planes estratégicos no se ha tomado en cuenta hacerla en el futuro.
Es importante que la información que se ingresa en el sistema sea verídica y correcta por lo que los controles
son de vital importancia para poder controlar lo que se ingresa, al existir usuarios con tipo de cedula diferente
Análisis de resultados
al ecuatoriano el control que se realiza para verificar si los datos son correctos no sirve de nada y no se puede
realizar la acción de ingresar datos.
En el periodo de desarrollo de la auditoría, se determinó que las actividades que se realizan dentro del área de
administración de redes se realizan buenas prácticas en el manejo del Sistema de Control de Docentes y en el
Conclusiones
uso y mantenimiento de los laboratorios de la FISEI por parte de los estudiantes, docentes, administrativos,
laboratoristas y el administrador de la red.

24
HERRAMIENTA INFORMÁTICA DE BUSINESS INTELLIGENCE PARA EL DEPARTAMENTO DE VENTAS EN
Título de AI
LA EMPRESA MASCORONA.
Referencia http://repo.uta.edu.ec/handle/123456789/23663
Business Intelligence surgió en respuesta a la necesidad de transformar los datos del entorno operativo en
información consistente y acertada, otorgando la capacidad para tomar decisiones de negocio precisas y
Resumen oportunas con la ayuda de herramientas y procesos especializados, La empresa no cuenta con una herramienta
de Business Intelligence que permita la navegación dinámica sobre los datos generados y de soporte necesario
para la toma de decisiones gerenciales.
El sistema utilizado en la empresa cuenta como alojamiento de información una base de datos cuyo diseño está
orientado al almacenamiento de datos, y no a la explotación y tratamiento de la información, los usuarios
La realidad problemática necesitan cada vez mayor cantidad de reportes, analizar datos de distintas fuentes, utilizar estadísticas de las
ventas desde una perspectiva histórica, actual e incluso adquirir la posibilidad de realizar proyecciones de como
Introducción sucederán las ventas en el próximo año, semestre, mes o en la variante de tiempo solicitada.
¿Se podrá implementar una herramienta informática de Business Intelligence para el departamento de ventas
El problema
que mejorará el proceso de toma de decisiones empresariales en la Empresa MASCORONA?
Implementar una Herramienta Informática de Business Intelligence para la toma de decisiones en la empresa
El objetivo general
MASCORONA.
El proyecto de investigación se presenta como una solución tecnológica en la empresa MASCORONA para el
departamento de ventas y ejecutivos siendo ellos los beneficiaros directos, en la toma de decisiones
Sustento teórico
empresariales; con el análisis de ventas en el periodo de tiempo deseado por el usuario, filtrados dinámicos y
generación de reportes de ventas aspectos de vital importancia para el desarrollo económico de la empresa.
Hipótesis No presenta hipótesis.
Utilizar la metodología HEFESTO y SQL Server Data Tools para el desarrollo del Data Warehouse y para el
Desarrollo Diseño de investigación desarrollo de la aplicación la suite de Visual Studio utilizando componentes de DevExpress para la integración
del cubo multidimensional.
Población y muestra Por las características de la investigación no se requiere población y muestra.
Resultados obtenidos Se obtuvo una mejora del 100% con respecto al tiempo de entrega de reportes y acceso a la información.
Realizar un plan de mantenimiento y actualización, para la herramienta de toma decisiones y la infraestructura
Análisis de resultados tecnológica, procedimiento necesario para el correcto funcionamiento del almacén de datos y la herramienta,
debido a su demandante crecimiento en el almacenamiento de datos.
La herramienta producto de esta investigación permite la creación y posterior análisis de los Indicadores Clave
de Rendimiento (KPI´s) para la empresa y alerta de posibles problemas que impactan sobre las ventas, estos
Conclusiones
son modificables y permiten flexibilidad al usuario final. Tal como se evidenció en los tableros de mando
implementados.

25
SISTEMA WEB PARA LA POTENCIACIÓN DE LA OFERTA LABORAL DE GRADUADOS EN LA FACULTAD
Título de AI
DE INGENIERÍA EN SISTEMAS, ELECTRÓNICA E INDUSTRIAL.
Referencia http://repo.uta.edu.ec/handle/123456789/23461
El presente Proyecto denominado: “Sistema Web para la potenciación de la oferta laboral de graduados en la
Resumen
Facultad de Ingeniería en Sistemas, Electrónica e Industrial.”, consta de cinco capítulos.
La Facultad de Ingeniería en Sistemas, Electrónica e Industrial de la Universidad Técnica de Ambato ubicada
en Huachi Chico, no cuenta con un sistema para la inserción laboral, por lo que se ve inmerso en la necesidad
La realidad problemática de implementar un sistema que fortifique al ámbito laboral a los estudiantes que se encuentran en su fase final,
como es el caso de los recién graduados de la facultad, alcanzando así una inserción continua en el mercado
Introducción laboral, en las empresas vinculadas con la facultad.
¿Se podrá implementar un Sistema Web para potenciación de la oferta laboral de graduados en la Facultad de
El problema
Ingeniería en Sistemas, Electrónica e Industrial?
Implementar un Sistema Web para potenciación de la oferta laboral de graduados en la Facultad de Ingeniería
El objetivo general
en Sistemas, Electrónica e Industrial.
El desarrollo de esta investigación será útil e importante porque sirve de guía para nuevos investigadores, y con
Sustento teórico la ayuda del conjunto de técnicas que se van implementando se darán soluciones más rápidas y eficientes en
la parte social.
Hipótesis No expuesta.
Desarrollo Diseño de investigación Las técnicas a ser utilizadas serán: entrevistas y la observación y Revisión Bibliográfica.
Población y muestra La presente investigación por su característica no requiere población ni muestra, por tal motivo no se aplica.
Resultados obtenidos Se obtuvo que la aplicación es exitosa ya que permite visualizar las diferentes ofertas de trabajo y aplicar a ellos.
Es beneficioso ya que agiliza la búsqueda de trabajo y permite el análisis de información y desempeño laboral
Análisis de resultados
para la toma de decisiones.
En el sistema de bolsa de empleo desarrollado, los estudiantes y graduados pueden visualizar las publicaciones
registradas por parte de las empresas inmersas en el ámbito laboral, dependiendo del área académica; así como
Conclusiones también postular o solicitar entrevistas de trabajo, obteniendo una posibilidad diferente de interactuar con las
mismas obteniendo varios beneficios, y a su vez también ofrece la posibilidad del análisis de información de la
formación académica y desempeño laboral para la toma de decisiones con la malla de estudio en la carrera.

26
SISTEMA INFORMÁTICO PARA CONTROL Y MONITOREO BASADO EN EL SISTEMA DE CONTROL
Título de AI ANDON PARA MEJORAR EL DESEMPEÑO DE PROCESOS Y CONTROL DE RECURSOS EN LA
MANUFACTURA DE CALZADO DE CUERO.
Referencia http://repo.uta.edu.ec/bitstream/123456789/26223/3/Tesis_t1298si.pdf
Mantener un control continuo de producción dentro del entorno industrial es de suma importancia para cumplir
Resumen los estándares de calidad de los procesos que se llevan a cabo; al mismo tiempo que se obtiene información
continua y precisa de los mismos para el control y corrección de posibles eventualidades.
La industria manufacturera de calzado enfrenta serios problemas como el alto costo de las materias primas, falta
La realidad problemática de mano de obra calificada y la competencia desleal de quienes no cumplen las normas laborales o por el
ingreso de zapatos de contrabando de Perú o Colombia y que luego se etiquetan como hechos en Ecuador.
Introducción ¿Se podrá desarrollar un software informático para controlar y monitorear el desempeño de procesos en la
El problema
manufactura de calzado de cuero?
Desarrollar un software informático para control y monitoreo basado en el sistema de control Andón para
El objetivo general
optimizar el desempeño de procesos y control de recursos en la manufactura de calzado de cuero.
La importancia de la presente investigación radica en implementar un sistema para la optimización operacional
Sustento teórico
en la producción de calzado de cuero en las industrias manufactureras de Tungurahua.
Hipótesis No presenta.
Diseño de investigación Modalidad de campo, aplicada y bibliográfica.
Desarrollo Población y muestra La presente investigación por su característica no requiere población y muestra.
Se aplicó correctamente la aplicación móvil y web, respondiendo bien a las pruebas, estas no arrojaron error
Resultados obtenidos
durante su ejecución.
Se comprobó el correcto funcionamiento tanto de la aplicación móvil como web gracias a las diferentes pruebas
Análisis de resultados
que se sometieron con el fin de encontrar algún defecto o error durante la ejecución de los mismos.
El sistema desarrollado permite mantener un control en tiempo real a la producción permitiendo la detección
Conclusiones oportuna de problemas o inconvenientes dentro de la misma; acortan los tiempos de inactividad gracias a una
reacción inmediata para dar solución a dichos inconvenientes.

27
Análisis e Implantación de la norma ISO/IEC 27002:2013 para el departamento informático del Gobierno
Título de AI
Autónomo Descentralizado Municipal del Cantón Salcedo
Referencia http://repositorio.uta.edu.ec/jspui/handle/123456789/26537
En el proyecto de investigación se presenta la experiencia obtenida en la aplicación de técnicas a fin de obtener
información acerca de la norma ISO/IEC 27002:2013 en las organizaciones gubernamentales donde el objetivo
Resumen
es desarrollar habilidades que beneficie a la infraestructura tecnológica y humana dentro de la edificación
protegiendo la seguridad de la información.
La evolución de la información, tecnología y métodos para vulnerar sistemas informáticos de los entes
gubernamentales han puesto en alerta a las organizaciones internacionales dedicadas a la seguridad con el fin
La realidad problemática
de proteger la información dentro de estas a través de normas, las organizaciones se encuentran en una etapa,
donde se han generado amenazas.
Introducción
¿Se podrá realizar el análisis y la implantación de la norma ISO/IEC 27002:2013 en el Departamento Informático
El problema
del Gobierno Autónomo Descentralizado Municipal del Cantón Salcedo?
Realizar el análisis y la implantación de la norma ISO/IEC 27002:2013 en el Departamento Informático del
El objetivo general
Gobierno Autónomo Descentralizado Municipal del Cantón Salcedo.
El presente proyecto de implantación de normas ISO, es importante ya que se podrá minimizar los
inconvenientes de la seguridad, que tiene el Departamento de informática del GAD Municipal del Cantón Salcedo
Sustento teórico
al momento procesar información, el beneficiario principal será el GAD Municipal del Cantón Salcedo, los
encargados de los usuarios, ya que tendrá un impacto positivo y eficiente.
Hipótesis No planteada.
Diseño de investigación Investigación documental – bibliográfica.
Desarrollo
Población y muestra La presente investigación no requiere de muestra ya que la población es menor a 100.
No cuenta con políticas claramente definidas acerca de protección de la información, de la misma manera no se
Resultados obtenidos
lleva un control de acceso a los diversos sistemas, servicios y plataformas que se maneja dentro de la institución.
El departamento de sistemas debería establecer de forma correcta las políticas de actuación y manifestarlas
Análisis de resultados para el apoyo y compromiso a la seguridad de la información, publicando y manteniendo políticas de seguridad
en el GAD Municipal del Cantón Salcedo.
Debido a que la tecnología evolucionada a diario, el departamento de sistemas del GAD Municipal del Cantón
Conclusiones Salcedo deberá estar constantemente actualizada en los ámbitos de tecnología, telecomunicaciones y políticas
de seguridad, aplicando procedimientos, documentación y manuales para la estandarización de los procesos.

28
Matriz 02. ANÁLISIS DEL ASPECTO DEL COMPONENTE PRIORIZADO

29
Análisis y diseño de un sistema de ANÁLISIS Y SOLUCION DE LAS NORMA DE SEGURIDAD INFORMÁTICA ISO MEDIDAS DE PROTECCIÓN INFORMÁTICA
Análisis en seguridad informática y
gestión de seguridad de información VULNERABILIDADES DE LA 27001 PARA MEJORAR LA PARA EVITAR EL ROBO DE IDENTIDAD
seguridad de la información
basado en la norma ISO/IEC 27001:2005 SEGURIDAD INFORMÁTICA Y CONFIDENCIALIDAD, INTEGRIDAD Y PROVOCADO POR EL ATAQUE PHISHING
basado en la norma ISO/IEC
para una empresa de producción y SEGURIDAD DE LA INFORMACIÓN DE DISPONIBILIDAD DE LOS SISTEMAS DE “THE TABNABBING ATTACK" PARA LA
Título del artículo 27001-sistemas de gestión de
comercialización de productos de UN MEDIO DE COMUNICACIÓN AUDIO- INFORMACIÓN Y COMUNICACIÓN EN EL FACULTAD DE INGENIERÍA EN SISTEMAS,
seguridad de la información
consumo masivo. VISAL. DEPARTAMENTO DE SISTEMAS DE LA ELECTRÓNICA E INDUSTRIAL.
dirigida a una empresa de servicios
COOPERATIVA DE AHORRO Y CRÉDITO
financieros.
SAN FRANCISCO LTDA.
¿Cómo se podría minimizar los ¿Se podrá analizar y diseñar un sistema ¿Cómo determinar que los procesos ¿Qué incidencia tiene la Implementación de la ¿De qué manera ayudaría las Medidas de
riesgos de pérdida, daño o de gestión de seguridad de información, actuales de seguridad informática y de la norma de seguridad informática ISO 27001 en protección Informática evitar el robo de
alteración de la información basado en la norma ISO/IEC 27001:2005 información no son los adecuados para la la confidencialidad, integridad y disponibilidad identidad provocado por el Ataque Phishing
El problema administrada dentro de la empresa para una empresa dedicada a la organización? de los sistemas de información y “The Tabnabbing" en la Facultad de Ingeniería
Credigestion? producción y comercialización de comunicación en el Departamento de en Sistemas Electrónica e Industrial?
alimentos de consumo masivo? Sistemas de la Cooperativa de Ahorro y
Crédito ―San Francisco Ltda.?
Analizar los procesos críticos de Analizar y diseñar un sistema de gestión Identificar los procesos de seguridad Implantar la norma de seguridad informática Desarrollar el manual de las medidas de
Credigestion respecto a las de seguridad de información, basado en informática y de seguridad de la ISO 27001 para mejorar la confidencialidad, protección Informática que evite el robo de
gestiones de seguridad la norma ISO/IEC 27001:2005 para una información actualmente implementados integridad y disponibilidad de los sistemas de identidad provocado por el Ataque Phishing
adecuados para garantizar la empresa dedicada a la producción y en la empresa para así auditarlos, hacer información y comunicación en el “The Tabnabbing" para la Facultad de
confidencialidad, integridad y comercialización de alimentos de recomendaciones e implementar controles Departamento de Sistemas de la Cooperativa Ingeniería en Sistemas Electrónica e
El objetivo general
disponibilidad de la información, consumo masivo. según el caso. de Ahorro y Crédito ―San Francisco‖ Ltda. Industrial.
mediante la formulación
recomendaciones de seguridad y
controles basados en la norma
ISO/IEC 27001.
A través de controles de seguridad La investigación no cuenta con La mala gestión de los mecanismos La implantación de la norma de seguridad La aplicación de medidas de protección
basados en la norma de ISO/IEC hipótesis. actualmente implementados en SGSI de informática ISO 27001 mejorará la confianza Informática influirán en la disminución del robo
27001 se establecen mecanismos empresa no permite cubrir las en el manejo de los sistemas de información y de identidad provocado por el Ataque Phishing
Hipótesis adecuados para mitigar riesgos necesidades de protección contra comunicación del departamento de sistemas “The Tabnabbing" en los estudiantes de la
que se puedan presentar en el uso amenazas internas y externas de de la cooperativa. Facultad de Ingeniería en Sistemas
de los sistemas de información y seguridad. Electrónica e Industrial.
en el manejo de información.
La investigación se realiza de Para este proyecto y para el producto La investigación se realizara utilizando La investigación se realizó de forma cualitativa El presente trabajo investigativo tomará un
forma coherente llevando un final del mismo, que es la métodos inductivo, deductivo y ya que se obtuvo información directa de los enfoque Cuali – Cuantitativo.
proceso coordinado, para que de implementación del SGSI, se usara la observativo. investigados por medio de la aplicación de una
esta forma se contribuya a la metodología del ciclo de Deming (Plan- entrevista, gracias a esto se pudo elaborar un
interpretación correcta de los Do-Check-Act). análisis de resultados y proponer alternativas
resultados. de solución.

30
31
DISEÑO E IMPLEMENTACION DE SEGURIDAD INFORMÁTICA PARA AUDITORÍA DE LA SEGURIDAD
DISEÑO DE UN SISTEMA
UN SISTEMA DE GESTION DE LA RED DE DATOS EN LA INFORMÁTICA PARA EL HONORABLE
DE GESTIÓN DE Análisis de Riesgos de la
SEGURIDAD DE INFORMACION COOPERATIVA DE AHORRO Y GOBIERNO PROVINCIAL DE
SEGURIDAD DE Seguridad de la Información para
Título del artículo EN PROCESOS CRÉDITO UNIÓN POPULAR LTDA. TUNGURAHUA MEDIANTE LA
INFORMACIÓN PARA la Institución Universitaria Colegio
TECNOLOGICOS. METODOLOGÍA OPEN SOURCE
SERVICIOS POSTALES Mayor Del Cauca
SECURITY TESTING METHODOLOGY
DEL PERÚ S.A.
MANUAL
¿Se podra diseñar un ¿Cómo identificar y tratar los ¿Se podrá reducir y mitigar los ¿Se podrá implementar la seguridad ¿Se podrá realizar una Auditoría de la
sistema de Gestión de riesgos que afecten la seguridad riesgos de los activos de informática para la red de datos que Seguridad Informática la cual servirá para
Seguridad de Información de la información de La información de los procesos que permitirá controlar y administrar la la detección de vulnerabilidades en los
alienado a la normativa Institución Universitaria Colegio se encuentran bajo la gerencia de información y los servicios de red? servidores del Honorable Gobierno
peruana vigente para cubrir Mayor del Cauca, con el fin de tecnología de Card Perú S.A. que Provincial de Tungurahua?
El problema las necesidades de los definir e implementar a futuro un ponen en peligro los recursos,
procesos institucionales Sistema de Gestión de servicios y la continuidad de los
críticos de una entidad Seguridad de la Información, procesos tecnológicos?
pública? mediante el análisis de riesgos?

Diseñar un sistema de Realizar el análisis de riesgos Reducir y mitigar los riesgos de los Implementación de seguridad Implementar una Auditoría de la Seguridad
gestión de seguridad de que permita generar controles activos de información de los informática para la red de datos en la Informática para el Honorable Gobierno
información para SERPOST para minimizar la probabilidad de procesos que se encuentran bajo Cooperativa de Ahorro y Crédito Provincial de Tungurahua mediante la
según lo indicado por la ocurrencia e impacto de los la gerencia de tecnología de Card “Unión Popular Ltda. Metodología Open Source Security Testing
NTP ISO/IEC 27001:2008 y riesgos asociados con las Perú S.A. que ponen en peligro los Methodology Manual OSSTMM.
El objetivo la NTP-ISO/IEC 17999:2007 vulnerabilidades y amenazas de recursos, servicios y la continuidad
general de seguridad de seguridad de la información de los procesos tecnológicos.
información. existentes en la Institución
Universitaria Colegio Mayor del
Cauca.

La investigación no presenta La tesis no cuenta con hipótesis. No presenta. No presenta. No presenta.


Hipótesis hipótesis.
La investigación se hará en Investigación aplicada. Análisis de brechas y gestión. La presente investigación se Investigación en Software.
base a matrices. contextualizará en la modalidad de
campo y documental – bibliográfica.

32
AUDITORÍA HERRAMIENTA INFORMÁTICA SISTEMA WEB PARA LA SISTEMA INFORMÁTICO PARA Análisis e Implantación de la norma
INFORMÁTICA PARA LA DE BUSINESS INTELLIGENCE POTENCIACIÓN DE LA OFERTA CONTROL Y MONITOREO BASADO ISO/IEC 27002:2013 para el
OPTIMIZACIÓN DEL PARA EL DEPARTAMENTO DE LABORAL DE GRADUADOS EN EN EL SISTEMA DE CONTROL departamento informático del
FUNCIONAMIENTO DE VENTAS EN LA EMPRESA LA FACULTAD DE INGENIERÍA ANDON PARA MEJORAR EL Gobierno Autónomo Descentralizado
LOS SISTEMAS Y MASCORONA. EN SISTEMAS, ELECTRÓNICA E DESEMPEÑO DE PROCESOS Y Municipal del Cantón Salcedo
EQUIPOS INDUSTRIAL. CONTROL DE RECURSOS EN LA
Título del artículo
INFORMÁTICOS DE LA MANUFACTURA DE CALZADO DE
FACULTAD DE CUERO.
INGENIERÍA EN
SISTEMAS,
ELECTRÓNICA E
INDUSTRIAL.
¿Se podrá realizar una ¿Se podrá implementar una ¿Se podrá implementar un ¿Se podrá desarrollar un software ¿Se podrá realizar el análisis y la
Auditoría Informática para herramienta informática de Sistema Web para potenciación informático para controlar y implantación de la norma ISO/IEC
optimizar el funcionamiento Business Intelligence para el de la oferta laboral de graduados monitorear el desempeño de 27002:2013 en el Departamento
El problema de los sistemas y equipos departamento de ventas que en la Facultad de Ingeniería en procesos en la manufactura de Informático del Gobierno Autónomo
informáticos de la Facultad mejorará el proceso de toma de Sistemas, Electrónica e calzado de cuero? Descentralizado Municipal del
de Ingeniería en Sistemas, decisiones empresariales en la Industrial? Cantón Salcedo?
Electrónica e Industrial? Empresa MASCORONA?
Realizar una Auditoría Implementar una Herramienta Implementar un Sistema Web Desarrollar un software informático Realizar el análisis y la implantación
Informática para optimizar Informática de Business para potenciación de la oferta para control y monitoreo basado en de la norma ISO/IEC 27002:2013 en
el funcionamiento de los Intelligence para la toma de laboral de graduados en la el sistema de control Andón para el Departamento Informático del
El objetivo
sistemas y equipos decisiones en la empresa Facultad de Ingeniería en optimizar el desempeño de procesos Gobierno Autónomo Descentralizado
general
informáticos de la Facultad MASCORONA. Sistemas, Electrónica e Industrial. y control de recursos en la Municipal del Cantón Salcedo.
de Ingeniería en Sistemas, manufactura de calzado de cuero.
Electrónica e Industrial.
Hipótesis No presenta. No presenta hipótesis. No expuesta. No presenta. No planteada.
Se realizará una Utilizar la metodología Las técnicas a ser utilizadas Modalidad de campo, aplicada y Investigación documental –
investigación bibliográfica – HEFESTO y SQL Server Data serán: entrevistas y la bibliográfica. bibliográfica.
documental. Tools para el desarrollo del Data observación y Revisión
Warehouse y para el desarrollo Bibliográfica.
de la aplicación la suite de
Visual Studio utilizando
componentes de DevExpress

33
para la integración del cubo
multidimensional.

34