SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Y GESTIÓN DE

DATOS EN EL ÁMBITO EMPRESARIAL

ELIDA PUELLO MOVIL

EDWIN MANUEL VIDES
JOSE DARIO VERGARA DURAN
JHAN CARLOS CRESPO VILLALOBOS
LUIS DAVID BETANCUR OSPINO

Dra. KATIUSKA GONZALEZ

Docente

UNIVERSIDAD POPULAR DEL CESAR

FACULTAD DE INGENIERÍAS Y TECNOLÓGICAS

VALLEDUPAR (CESAR)

2016-II
 CONTENIDO

INTRODUCCIÓN ............................................................................................... 4
SECCION I ......................................................................................................... 6
1. DESCRIPCION DEL PROYECTO .............................................................. 6
1.1. Titulo ........................................................................................................ 6
1.2. Lugar de ejecución ................................................................................. 6
1.3. Tiempo de ejecución .............................................................................. 6
1.4. Integrantes del proyecto ........................................................................ 6
1.5. Línea y sublinea de investigación ......................................................... 7
SECCIÓN II ........................................................................................................ 7
2. DESCRIPCIÓN SITUACIONAL .................................................................. 7
2.1. Planteamiento del problema .................................................................. 7
2.2. Objetivos de la investigación ................................................................ 9
2.2.1. Objetivo general .................................................................................. 9
2.2.2. Objetivos específicos ......................................................................... 9
2.2.3. Justificación de la investigación ....................................................... 9
3. MARCO TEORICO ................................................................................... 10
3.1. Estado del arte ...................................................................................... 10
3.1.1. Internacional ...................................................................................... 10
3.1.2. Nacional ............................................................................................. 10
3.2. Antecedentes de la investigación ....................................................... 11
3.3. Bases teóricas ...................................................................................... 12
3.4. Sistematización de las variables ............................................................ 18
3.4.1. Definición Nominal: .............................................................................. 18
3.4.2. Definición Conceptual: ........................................................................ 19
3.4.3. Definición Operacional: ....................................................................... 19
3.5. Cuadro de operacionalización de la variable ........................................ 20
 INTRODUCCIÓN

La seguridad informática se enfoca en la protección y la privatización de sus

sistemas, en esta se pueden encontrar dos tipos: la seguridad lógica que se enfoca
en la protección de los contenidos y su información, la seguridad física aplicada a
los equipos como tal, ya que el ataque no es estrictamente al software o al
hardware, también la infraestructura informática es una parte fundamental para la
preservación del activo más valioso que es la información, así mismo se busca
mantener la confidencialidad, integridad, autenticidad, y disponibilidad que son los
datos recordando símbolos que representan hechos, situaciones, condiciones o
información. La seguridad de la información consiste en aquellas prácticas que se
llevan adelante respecto de un determinado sistema de negocio a fin de proteger y
resguardar su funcionamiento y la información en él contenida. (Raphael, 2015)

Las organizaciones y sus sistemas de información según la ISO (International

Organization for Standardization) y la IEC (International Electrotechnical
Commission) 27001, están expuestos a un número cada vez más elevado de
amenazas que, aprovechando cualquiera de las vulnerabilidades existentes,
pueden someter a activos críticos de información a diversas formas de fraude,
espionaje, o sabotaje. Los virus informáticos, el “hacking” o los ataques de
denegación de servicio son algunos ejemplos comunes y conocidos, pero también
se deben considerar los riesgos de sufrir incidentes de seguridad causados
voluntaria o involuntariamente desde dentro de la propia organización o aquellos
provocados accidentalmente por catástrofes naturales y fallos técnicos (Sicilia,
2012).

El phishing es una de las técnicas y tipos de Password Harvesting, forma en

que se denominan los ataques que recolectan contraseñas de los usuarios. En su
forma clásica, el ataque comienza con el envío de un correo electrónico simulando
la identidad de una organización de confianza, como por ejemplo un banco o una
reconocida empresa. Por tal motivo el mundo empresarial no puede ser indiferente
ante esta situación, y por eso se debe tomar cartas en el asunto para poder
neutralizar todo tipo de ataque ocasionado por los “phishers” ya que cada vez se
está haciendo más común este delito que si no se detiene puede causar un gran
desequilibrio en las empresas financieras. Así que es preciso establecer medidas
de control para combatir este tipo de ataque y para lograrlo, es necesario realizar
un esfuerzo conjunto por parte de los proveedores de tecnología, así como de las
empresas (Erickson, 2008).

Debido a esta problemática, este proyecto tuvo como objetivo hacer un

análisis detallado acerca de la situación que afronta actualmente toda la comunidad
empresarial en Valledupar, por lo que realiza una profunda investigación sobre
como los phishers utilizan sus técnicas para la sustracción de información se ha
obtenido una visión más amplia sobre la realidad de esta problemática, dando como
resultado la generación de un modelo de solución (técnicas, herramientas,
algoritmos, etc.) que sirven como punto de referencia para las empresas, con la
finalidad de disminuir los riesgos financieros previniendo e erradicando estos
múltiples ataques que afectan a la comunidad.
 SECCION I

1. DESCRIPCION DEL PROYECTO

1.1. Titulo
“SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Y GESTIÓN DE
DATOS EN EL ÁMBITO EMPRESARIAL.”

1.2. Lugar de ejecución

Calle 16 9-16 Davivienda

1.3. Tiempo de ejecución

Aproximadamente 3 meses.

1.4. Integrantes del proyecto

Apellidos Nombres Identificación Correo Electrónico

Puello Movil Elida 1120753576 Elidapuello98@gmail.com

Vergara Duran Jose Dario 1065845375 Josedarioupc@gmail.com

Vides Hernandez Edwin 1062815112 edwinmanuel@live.com.ar

Manuel
Crespo Villalobos Carlos 1085180412 Jc_crespo@hotmail.com

Betancur Ospino Luis David 1065814881 davidbospino@gmail.com

 1.5. Línea y Sublinea de investigación
LINEA: Seguridad Informática.

SUBLINEA: Seguridad en Infraestructura de tecnologías de la información.

Pertenece al área de la seguridad de la información, porque este proyecto

se dedicará a analizar y resolver los problemas de seguridad que se
encuentran en los sistemas de información y gestión de datos en el área
administrativa, se optimizaran los recursos y conocimientos para la mejora en
el tratamiento y uso de los mismos en bien de la seguridad informática.

SECCIÓN II

2. DESCRIPCIÓN SITUACIONAL

2.1. Planteamiento del problema

La tecnología informática ha evolucionado de manera abismal en los últimos
años en el ámbito empresarial, empleando al internet como factor indispensable de
crecimiento y expansión de mercado, logrando con esto una mayor competitividad
al tener la posibilidad de ofrecer información, servicios y transacciones en línea. Sin
embargo, este importante avance ha abierto las puertas a nuevas posibilidades de
delincuencia, que afectan sustancialmente la confiabilidad e integridad de los datos,
trayendo consigo el desarrollo de nuevas técnicas de fraude, siendo una de las más
importantes por su grado de impacto el phishing, un tipo de ataque que, mediante
el envío de correos electrónicos y páginas web falsas, trata de obtener números de
cuenta y claves confidenciales para realizar operaciones fraudulentas (Toro, 2013).

El más reciente estudio de Symantec, empresa especializada en seguridad

informática, reveló que el robo y fuga de datos de las empresas aumentó en un 42%
entre el 2011 y el 2012. En Colombia, este flagelo es más grave que en el promedio
de empresas en el mundo. La ‘Encuesta Global Sobre Fraude 2012’, realizado por
MaTTica, laboratorio forense digital mexicano, encontró que el 19% de las
compañías colombianas fueron víctimas del hurto de información (según datos
suministrados por 800 altos ejecutivos). Este porcentaje está un 7% por encima de
la media mundial. A propósito, los delitos informáticos les generaron el año pasado
a las empresas pérdidas por 6,6 millones de pesos, según información entregada
por la Policía Nacional de Colombia.

En 2015, la Unidad de Delitos Informáticos recibió más de 7.000 denuncias,

el 64% relacionadas con robo de dinero e información por medios informáticos. En
2014, se estima que las compañías de todo el mundo perdieron un trillón de dólares
a causa del cibercrimen. Un caso en particular se presentó durante los primeros
meses de 2009, España vivió una época de crisis financiera, lo que ocasionó
numerosos despidos en las empresas. La situación produjo un aumento en los
casos de robos de información confidencial por parte de los empleados despedidos,
y puso en evidencia la falta de seguridad informática en dichas empresas.

Por otro lado, en 2006, las cadenas de retail, T.J. Maxx y Marshalls, fueron atacadas
por Albert Gonzalez, un hacker experto que ya había recolectado la información de
170 millones de tarjetas de crédito y datos de cajeros automáticos en un periodo de
dos años. Gonzalez robó la información de 45.6 millones de tarjetas de crédito
almacenadas en las bases de datos de T.J. Maxx y Marshalls.

Debido a esta problemática, se debería hacer una investigación profunda de sobre

como los phishers utilizan sus técnicas para la sustracción de información. Así se
podrá tener una visión más amplia sobre la realidad de esta problemática, dando
como resultado la generación de un modelo de solución (técnicas, herramientas,
algoritmos, etc.) que sirva como punto de referencia para las empresas, con la
finalidad de disminuir los riesgos financieros previniendo estos múltiples ataques
que afectan a la comunidad empresarial. (Hadnagy, 2015)
 2.2. Objetivos de la investigación

2.2.1. Objetivo general

 Implementar seguridad de los sistemas de información y gestión de datos en
el ámbito empresarial.

2.2.2. Objetivos específicos

 Identificar los métodos de ataque que usan los phishers para la sustracción
de información de la comunidad empresarial.
 Describir las diferentes técnicas para brindar seguridad a la información y la
gestión de datos en la comunidad empresarial.
 Aplicar las técnicas desarrolladas a partir de las herramientas para mantener
los datos originales.
 Crear un plan para la comunidad empresarial sobre el peligro del delito
informático.

2.2.3. Justificación de la investigación

Para Berciano (2015) la pérdida de información sensible puede producirse
accidental o malintencionadamente, pero, en cualquier caso, puede y suele acarrear
un daño económico y de prestigio, afectando a la empresa y su marca asociada.
Realmente es más sencillo de lo que parece perder información sensible o dejarla
expuesta a diferentes riesgos y amenazas. No es muy atrevido decir que puede ser
una situación usual en cualquier persona que utilice de forma intensiva el correo
electrónico, aunque sea enviando información poco relevante.

La seguridad informática ha adquirido una gran importancia en los últimos

años sobre todo para las organizaciones como las empresas y los miembros de
estos. Esta situación se debe a que día a día las amenazas informáticas, como lo
son los intrusos o programas maliciosos, representan un problema serio que merece
tener una atención especial, ya que podrían tener efectos catastróficos si accedieran
a información oficial y confidencial de la organización pudiendo usarla con fines
poco éticos y ventajosos, o modificando dicha información causando problemas.
(Lowe, 2016).

Por tanto, se hace necesario contar con estrategias y procedimientos a la

hora de implementar la seguridad informática, para así garantizar el correcto
funcionamiento de los sistemas y al momento de un posible ataque o desastre
natural que conlleve a perdida de información o sistemas informáticos, saber cómo
actuar para mitigar el problema tomando los correctivos apropiados.

De todo lo anterior, el trabajo se justifica teóricamente, porque permite

contrastar teorías de autores sobre el phishing y sus peligros en el área empresarial.
Pudiendo de esta manera, adaptar conceptos a lo que se maneja en el contexto de
la variable en ejecución. Asimismo, se justifica desde el punto de vista práctico
porque los resultados de este proyecto permitirían a las empresas capacitar a los
trabajadores y usuarios, además de brindar seguridad en el manejo de datos
personales, cuentas bancarias etc. Además, pretende el proyecto tener resultados
bajando las tasas de robo informático en la comunidad empresarial identificando las
formas de phishing (Vishing y Smishing).

Debido a que la información y su confidencialidad es un tema de gran

importancia, tanto a nivel personal como empresarial e institucional, de ahí que se
realicen continuas investigaciones acerca de los nuevos riesgos que se presentan,
debido al avance de la tecnología, la cual genera diversas herramientas para los
usuarios quienes pueden utilizarlas con buena o mala intención de acuerdo al
objetivo que esta tenga para atacar sistemas que no cumplan o no se preocupan
por proteger su entorno tecnológico.
 SECCION III

3. MARCO TEORICO

3.1. Estado del arte

3.1.1. Internacional
TITULO: Seguridad Informática (Auditoría de Sistemas)

AUTOR: Luis Daniel Álvarez Basaldúa

DESCRIPCIÓN: Esta tesis fue realizada en la Universidad Iberoamericana en el

país de México DF en la cual se concluye la necesidad de practicar “auditorias
informáticas” a partir de un conjunto de técnicas y procedimientos que evalúen
los controle internos intrínsecos y específicos de los sistemas de información.
Con esto se refiere a apreciar la correcta administración de los recursos de
tecnología de información para valorar la efectividad de la información que
requiere la organización. Su concepción se refiere a la integración de las
técnicas informáticas y de auditoria para practicar un nuevo estilo de verificación,
sobre un ambiente no convencional, con herramientas de punta y con
procedimientos inexistentes.

3.1.2. Nacional
TITULO: Protocolo de políticas de seguridad informática para las universidades
de Risaralda.

AUTORES: Jorge Luis Galeano Villa y Cristian Camilo Alzate Castañeda

DESCRIPCIÓN: Esta tesis fue realizada en la universidad católica de Pereira en

donde se realizaron una serie de encuestas y entrevistas en las universidades
más importantes de la ciudad, tanto en la parte administrativa como la parte
académica, dando como resultado que no hay unas buenas practicas
implementadas de seguridad informática y poco conocimiento e importancia por
la parte académica y administrativa. También que la seguridad informática juega
un papel muy importante en las universidades, por lo cual, es importante realizar
unas buenas prácticas de seguridad, para así mantener un alto estándar de
protección de la información

TITULO: Una nueva frontera en el análisis de seguridad de la información

AUTOR: Ecomil

DESCRIPCIÓN: La Plataforma de Inteligencia de Seguridad ofrece una

visibilidad continua y control sobre la infraestructura de sus equipos de
seguridad, así como las políticas de seguridad vigentes en la red y todo esto
para minimizar los riesgos de TI a través de un motor de alto rendimiento
escalable a una arquitectura de datos distribuida.

3.2. Antecedentes de la investigación

Durante los últimos años los sistemas de información constituyen uno de
los principales ámbitos de estudio en el área de organización de empresas. El
entorno donde las compañías desarrollan sus actividades se vuelve cada vez
más complejo. La creciente globalización, el proceso de internacionalización de
la empresa, el incremento de la competencia en los mercados de bienes y
servicios, la rapidez en el desarrollo de las tecnologías de información, el
aumento de la incertidumbre en el entorno y la reducción de los ciclos de vida
de los productos originan que la información se convierta en un elemento clave
para la gestión, así como para la supervivencia y crecimiento de la organización
empresarial. Si los recursos básicos analizados hasta ahora eran tierra, trabajo
y capital, ahora la información aparece como otro insumo fundamental a valorar
en las empresas (McLeod, 2000).

Los Sistemas de información han ido evolucionando durante los últimos

años hasta constituir los denominados sistemas de información estratégicos.
Primeramente, los Sistemas de Información empresariales eran considerados
como un instrumento simplificador de las distintas actividades de la empresa,
una herramienta con la cual se facilitaban los tramites y reducía la burocracia.
Su finalidad era básicamente llevar la contabilidad y el procesamiento de los
documentos que a nivel operativo. Posteriormente el desarrollo de la
informática3 y las telecomunicaciones permitieron incrementar la eficacia en la
realización de las tareas, ahorrar tiempo en el desarrollo de las actividades y
almacenar la mayor cantidad de información en el menor espacio posible, lo cual
aumentó en las organizaciones el interés en los sistemas de información. Con el
transcurrir del tiempo las empresas fueron observando como las tecnologías y
sistemas de información permitían a la empresa obtener mejores resultados que
sus competidores, constituyéndose por sí mismas como una fuente de ventaja
competitiva y una poderosa arma que permitía diferenciarse de sus
competidores y obtener mejores resultados que estos. De este modo los
sistemas de información se constituyeron como una de las cuestiones
estratégicas de la empresa, que ha de considerarse siempre en todo proceso de
planificación empresarial (Fernandez, 2004).

A la hora de analizar el progreso de los sistemas de información, uno de

los trabajos fundamentales fue el propuesto por Gibson y Nolan (1974). Ellos
describieron la evolución de los sistemas de información basándose en la
evolución de las tecnologías de información. En la medida en que se
desarrollaron los equipos informáticos, el software, el hardware, las bases de
datos y las telecomunicaciones, los sistemas de información fueron adquiriendo
una mayor relevancia en las organizaciones, empezándose a considerar como
un elemento más del proceso de planificación.

3.3. Bases teóricas

 Seguridad Informática

Según Andreu, Ricart(1991), el sistema de información queda definido

como: “conjunto formal de procesos que, operando sobre una colección de
datos estructurada de acuerdo a las necesidades de la empresa, recopila,
elabora y distribuyen selectivamente la información necesaria para la
operación de dicha empresa y para las actividades de dirección y control
correspondientes, apoyando, al menos en parte, los procesos de toma de
decisiones necesarios para desempeñar funciones de negocio de la empresa
de acuerdo con su estrategia”.

 Phishing

El termino Phishing es utilizado para referirse a uno de los métodos

más utilizados por delincuentes cibernéticos para estafar y obtener
información confidencial de forma fraudulenta como puede ser una
contraseña o información detallada sobre tarjetas de crédito u otra
información bancaria de la víctima.

El estafador, conocido como phisher, se vale de técnicas de ingeniería

social, haciéndose pasar por una persona o empresa de confianza en una
aparente comunicación oficial electrónica, por lo general un correo
electrónico, o algún sistema de mensajería instantánea, redes sociales
SMS/MMS, a raíz de un malware o incluso utilizando también llamadas
telefónicas. Rivero (2008).

Por otro lado, el autor Steffens (2010), dice que el phishing consiste en
el robo de información personal y/o financiera del usuario, a través de la
falsificación de un ente de confianza. De esta forma, el usuario cree ingresar
los datos en un sitio de confianza cuando, en realidad, estos son enviados
directamente al atacante. El phishing es una de las técnicas y tipos de
PasswordHarvesting, forma en que se denominan los ataques que recolectan
contraseñas de los usuarios. En su forma clásica, el ataque comienza con el
envío de un correo electrónico simulando la identidad de una organización de
confianza, como por ejemplo un banco o una reconocida empresa. Para
contrastar los dos autores Rivero y Steffens, el primero se explica en forma
práctica pero Steffens explica lo teorico, como se está dando una definición
preferimos el segundo “Steffens”.
  Vishing

Para llevar a cabo el vishing, los delincuentes hacen uso de una Voz
IP o voz automatizada, muy similar a las utilizadas por los bancos. Tras llamar
aleatoriamente a algunos números, a la persona que contesta se le informa
que su tarjeta de crédito está siendo utilizada fraudulentamente por lo cual
debe comunicarse con un número específico de su entidad bancaria; o,
simplemente se le solicita verificar algunos datos personales llamando a un
número telefónico específico. Es muy común que las personas accedan y
decidan llamar al número de teléfono dado; más aún cuando a la mayoría se
le es más fácil recordar el sitio web de su banco, y no su número
telefónico.MinTIC (2013).

Por otro lado, Alegsa (2010) dice que el vishing consiste en el envío de
un correo electrónico en el cual los delincuentes consiguen detalles de datos
bancarios mediante un número telefónico gratuito, en la cual una voz
computarizada de aspecto profesional requiere de las víctimas la
confirmación de su cuenta bancaria, solicitándoles el número de cuenta,
tarjeta, PIN, etc.

La definición del Ministerio de las TICs es más completa en cambio lo

que dice el segundo autor es muy parecido al significado de phishing, se
prefiere el primer concepto.

 Smishing

Smishing es una variante de la estafa conocida como phishing. A

través de envíos de mensajes SMS al móvil intentan convencerte para que
visites una web fraudulenta, llames a algún número de teléfono
(habitualmente de tarificación adicional), o realices cualquier otra acción que
finalmente va a suponer un coste adicional. (James, 2015)
 Por otro lado Alegsa (2010) dice que son mensajes de texto cuya
actividad criminal es la de obtener, mediante engaños a los usuarios de
telefonía móvil, información privada o suscripciones falsas online y ofertas de
trabajo en sitios web, para luego introducir spyware o programas con
intenciones maliciosas sin el consentimiento del usuario. Los dos autores
explican lo mismo, sus argumentos son validosasi que podemos tomar
cualquiera de las dos definiciones.

 Métodos de ataque

Según Ender (2011) hacer phishing es lo más sencillo, lo describe en

forma sencilla por los siguientes pasos:

 Enviar E-mail con PHP

 Modificar el login de Facebook (si lo que se quiere es entrar a un perfil
de esta red social).
 Mejorar el login.
 Crear dirección en G-mail.

Por otro lado el autor Skoudis(2006) explica cómo hacer phishing de la

siguiente manera:

 Adquirir información confidencial de forma fraudulenta (como puede

ser una contraseña o información detallada sobre tarjetas de crédito u
otra información bancaria).
 Hacerse pasar por una persona o empresa de confianza en una
aparente comunicación oficial electrónica, por lo común un correo
electrónico, o algún sistema de mensajería instantánea “Smishing” o
incluso utilizando también llamadas telefónicas “Vishing”.

La diferencia entre los conceptos de los dos autores es que Ender nos
explica cómo hacer phishing en una red social y Skoudis se basa en torno al
robo en entidades bancarias, como este trabajo es orientado a entidades
bancarias esta mejor el concepto de Skoudis (2006).

 Correo electrónico.

Según Wyman, Scrivens, Hoffman, Spitzner(2013) estos mensajes de

correo electrónico te motivan a realizar alguna acción, como hacer clic en un
enlace, abrir un archivo adjunto o responder a un mensaje. Los criminales
cibernéticos crean estos mensajes de correo electrónico a modo de parecer
convincentes, enviándolos, literalmente, a millones de personas alrededor de
todo el mundo. Los delincuentes no tienen un objetivo específico en mente,
ni saben exactamente quién caerá víctima de su engaño. Solamente saben
que entre más correos envíen, existe la posibilidad de que más personas
pueden ser engañadas. Los ataques phishing funcionan de 4 formas.

 Recolección de información.
 Infectar computadoras con enlaces maliciosos.
 Infectar computadoras con archivos adjuntos maliciosos.
 Estafas.

Esto mismo nos explica Microsoft (2012), los mensajes de correo

electrónico de suplantación de identidad (phishing) están diseñados para
robar su identidad. Solicitan datos personales, o le dirigen a un sitio web o a
números de teléfono para que llame en los que le solicitan que facilite sus
datos personales. Algunas pistas pueden ayudarle a detectar mensajes de
correo electrónico o vínculos fraudulentos dentro de ellos.

Los mensajes de correo electrónico de suplantación de identidad

(phishing) tienen diversas formas:

 Pueden parecer que proceden de su banco o institución financiera, de una

empresa con la que hace negocios con frecuencia, como, por ejemplo,
Microsoft, o de su sitio de a través de las redes sociales.
 Pueden parecer que son de un contacto de su libreta de direcciones de
correo electrónico.
 Pueden pedirle que realice una llamada telefónica. Las estafas de
suplantación de identidad (phishing) telefónicas le indican que llame a un
número de teléfono en el que una persona o una unidad de respuesta de
audio esperan para conseguir su número de cuenta, su número de
identificación personal, su contraseña u otros datos personales valiosos.
 Pueden incluir logotipos de apariencia oficial y otra información tomada
directamente de sitios web legítimos, y pueden incluir detalles
convincentes acerca de su historial personal que los estafadores han
encontrado en sus páginas de redes sociales.
 Pueden incluir vínculos a páginas falsificadas en los que se le solicita
facilitar información personal.

 Llamadas telefónicas falsas

El “phishing a través del teléfono” es una técnica de fraude bancario

cuyo objetivo es engañar a los clientes para que suministren información de
sus cuentas y datos personales llamando a un número de atención al cliente
falso. El delincuente se hace pasar por un representante del banco y te
intenta persuadir para que llames a un número atención al cliente falso. Al
marcar el número, el sistema automatizado te indica que debes introducir tu
número de cuenta bancaria, tarjeta de crédito, claves y número de cédula.
De esta forma capturan tus datos para cometer fraudes.

Según López (2013) el Phishing es una técnica que consiste en

engañar al usuario para robarle información confidencial, claves de acceso,
etc., haciéndole creer que está en un sitio de total confianza.

Este autor nos da unas técnicas para prevenir estos ataques de

Phishing:
  Saber identificar los correos electrónicos que estos envían.
 Verificar la fuente de información de los correos entrantes.
 No entrar a la página web de una entidad bancaria pulsando links de correos
electrónicos.
 Reforzar la seguridad del ordenador.
 Introducir datos confidenciales en páginas web seguras.
 Revisar periódicamente las cuentas.
 Informarse periódicamente de la evolución de Malware.

En un comunicado de la coordinación de emergencias en redes

teleinformáticas de argentina (2006), recomienda:

 Si se recibe un correo electrónico que le pide información personal o

financiera, no responder.
 No enviar información personal usando mensajes de correo electrónico.
 No acceder desde lugares públicos.
 Verificar los indicadores de seguridad del sitio web en el cuál se ingresa
información personal
 Mantener actualizado el software de la computadora.
 Revisar los resúmenes bancarios y de tarjeta de crédito tan pronto sean
recibidos.
 No descargar ni abrir archivos de fuentes no confiables.

En conclusión, estos dos autores nos recomiendan lo mismo así que los
dos conceptos están válidos para este trabajo.

3.4. Sistematización de las variables

3.4.1. Definición Nominal:

 Seguridad
 Gestión de datos.
3.4.2. Definición Conceptual:
Seguridad: Se puede entender como seguridad una característica de
cualquier sistema (informático o no) que nos indica que ese sistema está libre de
todo peligro, daño o riesgo, y que es, en cierta manera, infalible. Como esta
característica, particularizando para el caso de sistemas operativos o redes de
computadores, es muy difícil de conseguir (según la mayoría de expertos,
imposible), se suaviza la definición de seguridad y se pasa a hablar de fiabilidad
(probabilidad de que un sistema se comporte tal y como se espera de él) más que
de seguridad; por tanto, se habla de sistemas fiables en lugar de hacerlo de
sistemas seguros. (Lopez, 2010).

Gestión de datos: se compone de todas las disciplinas relacionadas con

gestionar los datos como un recurso valioso, es el desarrollo y ejecución de
arquitecturas, políticas y procedimientos que gestionan las necesidades del ciclo de
vida completo de los datos de una empresa y así poder llegar a la finalidad de
conservar todos los datos tal y como se recopilaron. (Nations, 2001).

3.4.3. Definición Operacional:

La seguridad de la información y la gestión de datos son un conjunto de
procedimientos, dispositivos y herramientas encargadas de asegurar la integridad,
disponibilidad y privacidad de la información en un sistema informático e intentar
reducir las amenazas que pueden afectar al mismo y se encarga de asegurar que
los datos se ajusten a las clasificaciones estándar y asegurar la validez de estos.
 3.4. Cuadro de operacionalización de la variable
TABLA #1

OBJETIVOS VARIABLE DIMENSIONES INDICADORES

ESPECIFICOS

Sistemas de Técnicas de Envió de Correo

información ataque electrónico falso.
• Identificar los
métodos de ataque Llamadas
que usan los phishers telefónicas falsas
para la sustracción de
información de la Sistemas de
comunidad Mensajería
empresarial. instantánea falso.

Skoudis(2006)

• Describir las Técnicas para la Monitorear links en

diferentes técnicas protección del correos
para brindar robo de electrónicos.Revisar
seguridad a la información Periódicamente las
información y la cuentas.
gestión de datos en la
Sistemas de Estar informado
comunidad
información sobre la evolución
empresarial.
del malware.

Lopez (2013)

• Aplicar las Técnicas Utilizar un servicio

técnicas desarrolladas de DNS
desarrolladas a partir personalizado.
de las herramientas Usar la lista de
para mantener los Phishing del
datos originales. Navegador.

Usar servicios para

corroborar si el sitio
es el real o no.

Verifiquen de
acuerdo a su
Gestión de
experiencia.
datos
Russo(2011)

• Capacitar Manual de Impreso

continuamente a la protección
Digital
comunidad
empresarial sobre el
Gestión de
peligro del delito
datos
informático.