Está en la página 1de 164

MINISTERIO DEL PODER POPULAR PARA

LA EDUCACIÓN UNIVERSITARIA, CIENCIA Y TECNOLOGÍA


COLEGIO UNIVERSITARIO FRANCISCO DE MIRANDA
DIVISIÓN DE INVESTIGACIÓN Y POSTGRADO
COORDINACIÓN DE POSTGRADO
ESPECIALIZACIÓN DE AUDITORÍA DE TECNOLOGÍA DE
INFORMACIÓN FINANCIERA Y SEGURIDAD DE DATOS

Diseño del Sistema de Gestión de Control


de Acceso Físico y Seguridad en las
instalaciones del Colegio Universitario
Francisco de Miranda-Sede Mijares
Proyecto de Trabajo de Grado para optar al Título de
Especialista en Auditoria de Sistemas Información
Financieros y Seguridad de Datos

Autor: Willians Pérez, CI: 6.199.020


Tutor: Wilmer Varón

Caracas, noviembre 2016

1
FASE I

Introducción

Cuando se desarrollo este proyecto de tesis se pensó en Colegio


Universitario Francisco Miranda por el aporte que en sus 42 años a la
educación ha dado y que muchos se ha beneficiado, y es hoy por hoy el
futuro de la Educación de la nueva generación de Venezolanos que se
encuentra en proceso de modernización ya que su meta es convertirse en
unas mejores universidades públicas del país.

Por esta razón esta investigación se presenta como un aporte para


coadyuvar mejorar esta hermosa Institución y por tantos beneficio recibidos,
por los pregrado licenciados en Administración, licenciados Contaduría
Pública o ingeniero de Sistema que han egresado de esta casa de estudio en
los últimos 4 años, inclusive los Especialistas en Auditoría de Tecnología de
la información y Seguridad de Datos, los Especialista en Talento Humano y
Maestría o Doctorados, tomando en cuenta también los TSU tradicionales
que por muchos años han egresados del CUFM y tienen el reconocimiento
público por la calidad y preparación y que son tomados en cuenta para
coadyuvar el mercado laboral del país.

Este granito de arena de Diseñar un Sistema de Gestión de Control de


Acceso Físico y de Seguridad de las Instalaciones del Colegio Universitario
Francisco de Miranda sede Mijares, fue abordado tomando en cuenta a
implementar un control de asistencia y que se desarrollo definitivamente
como un Control de Acceso Físico utilizando las mejores prácticas de los
estándares internacionales.

2
Para desarrollar el diseño de la propuesta y abordar el problema en la
Fase I, donde se diagnostica y plantea problema, las causas y
consecuencias, se forman la incógnitas, objetivos generales y específicos,
así como, la justificación y el alcance, en la Fase II se tomo cuatro referencia
como aporte para este tesis, distintos textos como base teórica y estándares
internacionales certificados para aplicar las mejores prácticas soporte de esta
investigación, así mismo, las bases legales Constitución de la Republica
Bolivariana de Venezuela, Ley de Educación, Ley de la Contraloría General
de la Republica entre otras, en Fase III se desarrolla el componente
metodológico donde se aborda la población del CUFM que se toma como
muestra, técnica e Instrumento de recolección de datos, cuestionario y
técnica de análisis de los datos, en la Fase IV se desarrolla la Presentación y
análisis de interpretación de los resultados, en la Fase V se dan las
Conclusiones y Recomendaciones y por ultimo en la Fase VI se plantea la
propuesta a consideración de la Junta Directiva para su desarrollo y
aplicación.

3
Componente Empírico

Este proyecto de Investigación se formulo en subsanar circunstancias


que acarrean descontrol e inseguridad, para esto es necesario utilizar
herramientas para tener un diagnostico de la situación real con una
perspectiva general y comprobar los hallazgos encontrados.

El Componente empírico identifica el planteamiento del problema, para


la cual debe efectuarse una revisión bibliográfica y el estudio de los
antecedentes de la investigación que estén relacionados con el
planteamiento del problema.

Una vez que ha sido formulado el planteamiento del problema, se


trazan los objetivos, tanto generales como específicos, así como, su alcance,
importancia y justificación, dando a conocer los beneficios de la propuesta
para el escenario involucrado en el problema.

Planteamiento del problema

Es en la revolución industrial, cuando surge la necesidad de controlar


las operaciones que por su magnitud eran realizadas por máquinas
manejadas por varias personas. Se piensa que el origen del control de sus
operaciones, empleados y la seguridad, surge con la aparición la partida
doble, una de las medidas de control, pero fue hasta fines del siglo XIX que
los hombres de negocios se preocupan por formar y establecer sistemas
adecuados para la protección de sus intereses.

Además, se dice que estos controles, es una herramienta surgida de


la imperiosa necesidad de accionar proactivamente a los efectos de suprimir
y/o disminuir significativamente la multitud de riesgos a las cuales se hayan
afectados los distintos tipos de organizaciones.

4
Estos controles durante los últimos años han estado adquiriendo
mayor importancia en los diferentes países, a causa de los numerosos
problemas producidos por su ineficiencia. Una de las causas se encuentra en
el no haberse asumido de forma efectiva la responsabilidad sobre el mismo
por parte de todos los miembros de los Consejos de Administración de las
diversas actividades económicas que se desarrollan en cualquier país, de lo
cual Venezuela no es una excepción, ya que generalmente se ha
considerado que el control automatizado de acceso en la educación pública
universitaria, es un tema reservado solamente para los Universidades
privadas.

Actualmente, en el contexto de la educación universitaria


latinoamericana y puede decirse que a nivel mundial, se han iniciado
procesos de renovación y transformación social y educativa que han
devenido en intervenciones orientadas a la innovación curricular, intentando,
de algún modo, trazar un camino, que sea transitable por las diferentes
instituciones de este nivel educativo.

El Colegio Universitario "Francisco de Miranda" (CUFM) es una


institución del Estado venezolano, fue creado por Decreto N° 1620 el 20 de
Febrero de 1974, firmado por el Dr. Rafael Caldera de conformidad con lo
dispuesto en el Parágrafo Único del Artículo 10º de la Ley de Universidades y
los Artículos 2º y 4º del Reglamento de Institutos y Colegios Universitarios.

El Colegio Universitario "Francisco de Miranda" responde a la


necesidad que tiene el país de profesionales universitarios que atiendan a los
sectores de producción y servicio del país. Pero como todo ente u organismo
de la administración pública debe establecer controles automatizados de
accesos para funcionar apegados a la leyes y a las dinámicas de la
modernización global al mantenerse actualizados a la tecnología de punta
que esta contantemente desarrollándose.

5
La contextualización de la situación problemática que da origen a esta
tesis de investigación, en el ámbito nacional, regional e institucional requiere
del análisis del comportamiento histórico de la educación superior
venezolana, de los diferentes procesos de cambios por los que ha pasado y
de los diferentes niveles de integración curricular que de ellos se derivan, a
fin de facilitar la comprensión de esta problemática en su justa dimensión y
significado.

La Educación Universitaria en Venezuela y sus instituciones en


general vienen adoleciendo de fallas y debilidades en sus procesos
académicos y curriculares; algunas de ellas obedecen a que se han
mantenido como un claustro académico, ancladas en el pasado, desfasadas
del momento histórico que vive el país en estos momentos coyunturales de la
vida nacional, en cuyas raíces se refleja la influencia de otras culturas que
quizás respondieron acertadamente a su época, manteniendo en gran
medida las características que prevalecieron durante la colonización y la
época independentista, lo que ha limitado su capacidad de respuesta a los
retos y desafíos de la sociedad contemporánea.

Ante esta realidad, el gobierno bolivariano, asumiendo las riendas de


la educación universitaria como función indeclinable del Estado Docente,
decreta las Misiones Sucre y Alma Mater, orientadas a resolver la
problemática de este nivel educativo; Esto originó una revolución de la
educación universitaria impartida en los institutos y colegios universitarios,
quienes se organizaron en colectivos académicos para iniciar un proceso de
búsqueda de soluciones que permitiera redefinir, reconstruir y revalorizar la
Educación Universitaria Venezolana en el contexto de las nuevas creaciones
que se plantean desde la Misión Alma Mater a través de la transformación de
los Colegios e Institutos Universitarios de Tecnología (29 en total) en
Universidades Politécnicas, a fin de garantizar educación para todos y de
calidad construyendo, ampliando y mejorando tanto las infraestructuras

6
existentes como el currículo, para la mayor expansión y fortalecimiento del
Sistema de Educación Universitaria en la historia universitaria venezolana.

Dentro de este grupo se encuentra El Colegio Universitario "Francisco


de Miranda" (CUFM) que es una institución del Estado venezolano, fue
creado por Decreto N° 1620 el 20 de Febrero de 1974, firmado por el Dr.
Rafael Caldera de conformidad con lo dispuesto en el Parágrafo Único del
Artículo 10º de la Ley de Universidades y los Artículos 2º y 4º del Reglamento
de Institutos y Colegios Universitarios.

Se encuentra ubicado administrativamente dentro del Ministerio de


Educación Superior Ciencia y Tecnología, el cual agrupa a todos los
Colegios e Institutos Universitarios de Tecnología. De hecho ya se afirma que
el Sistema de Educación Universitaria es una verdadera Universidad
Nacional que está resolviendo problemas concretos en las regiones donde
tienen sus centros de acción, no solo por proveer a la sociedad de
profesionales competentes sino por la irradiación de una cultura avanzada.

Viendo la evolución del el Control automatizado de acceso físico en el


mundo y específicamente en Venezuela y su aplicación en la administración
pública tenemos que considerar que el Colegio Universitario Francisco de
Miranda no escapa de aplicar debidamente el control de Acceso Físico como
ente descentralizado sin fines empresariales del Ministerio del Poder Popular
para la Educación Universitaria, Ciencia y Tecnología y por esta razón debe
apegarse las dinámicas de la modernización global al mantenerse
actualizados a la tecnología de punta que contantemente viene
desarrollándose.

El Colegio Universitario Francisco de Miranda se encuentra en periodo


de transformación y aún presenta la necesidad de desarrollarse y brindar
administración de sus recursos con la implantación de un sistema de gestión
de control de acceso físico optimo, todo esto como beneficio de la mejor

7
educación y seguridad en el ámbito del el resguardo físico y bienestar de los
estudiante, obreros, administrativos y docentes, considerando como meta de
esta tesis de estudio y origen de la investigación que viene dado por el
interés de proponer el diseño de un sistema de información que permita
perfeccionar un sistema de gestión de control de acceso físico para todo el
personal en general que ingresa y hace vida frecuente en Colegio Francisco
de Miranda (CUFM), sede principal que se encuentra ubicado en la esquina
de Mijares de la ciudad de Caracas

De esta manera se busca minimizar los riesgos de pérdida de bienes


públicos, herramientas y otros objetos de valor, así como también la entrada
de personal no autorizados, brindando más seguridad tanto para el personal
administrativo, docentes y toda la comunidad del CUFM asumiendo así en
compromiso para el cual fue creada dándole el apoyo al gobierno bolivariano,
asumiendo las riendas de la educación Universitaria que tanto necesita la
nueva generación estudiantil en Venezuela.

Tomando en cuenta esta necesidad de transformación que está


asumiendo el CUFM, debe tomar en cuenta que al ingresar por la puerta
principal se debe pasar por un sistema de control acceso físico (capta huella)
para los administrativos y obreros, pero el resto del personal docente,
estudiantes, y visitantes no se le lleva este control de acceso físico, dándole
un uso inadecuado a este sistema de control acceso físico de capta huella
que agudiza la situación de los riesgos y la amenazas latentes en personas
ajenas en la Institución que constantemente soporta y permita el control de
acceso físico y también registrar horarios de entrada y salida de todos sus
trabajadores.

Por otra parte, se puede prestar atención al ingreso de visitantes a la


Institución, no se le efectúa el control de acceso físico respectivo como es el
registro de todos sus datos y hacia dónde se dirige, minimizando así el riesgo

8
que pudiera generar incidentes tanto por la seguridad de los estudiantes
como del personal administrativo, obrero y docente y evitando perdidas o
daños de los bienes publico con que cuenta está casa de estudio para
cumplir fusiones académicas.

De igual manera, y asumiendo este compromiso con la educación


Venezolana el CUFM debe dar al personal de seguridad adecuados cursos
de capacitación para el control de acceso físico, seguridad y resguardo de
las instalaciones, ya que sin la debida capacitación del personal de seguridad
pudiera acarrear inadecuado manejo del ingreso, permanencia y salida de
los estudiantes, personal administrativo, obrero y docente, generando así
abuso de autoridad y incidentes embarazosos, que pudieran que quedar
impunes al conocimientos de las autoridades que administran y manejan al
CUFM.

De todo lo antes mencionado, hay que acotar que el día 30-04-2015,


la Sub Dirección, exhorto en un comunicado por mensajería de testo a todos
el personal docente que (se retomarán medidas que pudieran mejorar el
resguardo integral de las personas que hacemos vida laboral en la
institución, así como el resguardo de sus instalaciones y equipos.

Esta "retoma" de medidas fueron aprobadas ante sesión de Consejo


Directivo N° 209 del 29-04-2015 e incluirán, la presentación de carnet vigente
al ingreso, y la revisión de bolsos y paquetes a la salida de la institución.
Para el logro del mismo se establecerá al inicio del trimestre II, un "intensivo"
para emisión de carnets para incluir todos aquellos casos de trabajadores
que por una u otra razón no cuenten con carnet vigente, para cuya
realización se les notificará con tiempo las fechas respectivas. Quizás no
constituyan medidas agradables pero sí se consideran necesarias). A la
medida que no se apliquen estos lineamiento de control de acceso físico, se
correrán riesgo todas las personas que laboran en el CUFM, llámese

9
personal Obrero, Administrativo, Docente, y estudiantes regulares, así como,
sus los bienes e instalaciones.

Siguiendo el orden de ideas, se identificaron que el área donde


actualmente se realiza el proceso de control de acceso físico a las
instalaciones del CUFM, existe una infraestructura que está siendo
desaprovechada, debido a que aun no ha sido habilitada para su uso;
también se presenta la carencia de implementos de comunicación con la
parte de Seguridad del CUFM, igualmente hace falta un sistema control
biométrico que controle el acceso físico y que facilite este proceso, que
permita tener un registro o reseña de los visitantes, un sistema que
administre y tenga de forma ordenada y/u organizada.

Interrogantes

¿Cuál es la situación del Control de Acceso Físico y Seguridad en las


instalaciones en el CUFM?

¿Cuáles son aspectos y requerimientos necesarios para crear el


Sistema de Gestión de Control de Acceso Físico y Seguridad en las
instalaciones para el resguardo dentro a sus instalaciones de acuerdo a las
mejores prácticas?

¿Cuáles serian los lineamientos y normativa para elaborar el Sistema


de Gestión de Control de Acceso Físico y Seguridad en las instalaciones en
el CUFM?

Objetivos

Objetivo general

10
Diseñar un Sistema de Gestión de Control de Acceso Físico y de Seguridad
de las instalaciones del Colegio Universitario Francisco de Miranda sede
Mijares.

Objetivos específicos:

 Diagnosticar el Sistema de Gestión de Control de Acceso Físico y de


Seguridad de las instalaciones del Colegio Universitario Francisco de
Miranda Sede Mijares.
 Describir los aspectos y requerimientos para un Sistema de Gestión de
Control de Acceso Físico y de Seguridad de las instalaciones al Colegio
Universitario Francisco de Miranda Sede Mijares de acuerdo a las
mejores prácticas.
 Elaborar el Sistema de Gestión de Control de Acceso Físico y de
Seguridad de las instalaciones en el Colegio Universitario Francisco de
Miranda Sede Mijares.

Justificación

El Colegio Universitario Francisco de Miranda (CUFM) su sede


principal se encuentra en la esquina de Mijares del centro de Caracas,
actualmente no cuenta con un Sistema de Gestión de Control de Acceso
Físico que permitan regular, de manera integral y coherente, el paso a sus
instalaciones, así como la seguridad de todo el personal docente,
administrativo y obrero que labora en este edificio sede evitando incidentes
de intromisión de personas ajenas, que puedan atentar todo el personal
docente, administrativo y obrero, así como de las instalaciones y los bienes
públicos con que cuenta el CUFM para cumplir sus funciones pedagógicas,
educativas para la cual fue creada.

La División Académica en conjunto con la Comisión de


Restructuración del Colegio Universitario Francisco de Miranda dirigido por la

11
Magíster Judith del Valle Salgado, proponen en su Memoria y Cuenta del año
2014, la implantación de un Sistema de Control de Asistencia para el
personal docente, que hasta lo que va del año 2016 se encuentra en
implementación (ensayo y error) del sistema de control interno de asistencia

Por esta razón se propone la realización de esta propuesta de tesis


para mejorar el Sistema de Gestión de Control de Acceso Físico y de
Seguridad de las instalaciones apegados a la Ley de Educación
Universitaria, Ley de la Contraloría General de la República y la
Superintendencia Nacional de Control Interno, en la capacitación del
personal de Seguridad de las instalaciones del CUFM, lo que trae como
consecuencia contar una mejor, eficiente, eficaz y económica utilización y
resguardo de las instalaciones y seguridad del personal docente y
administrativo.

Para esta propuesta de tesis se ha tomando en cuenta el uso de las


mejores prácticas estándares donde se aplicarían soluciones que son
necesarias para monitorear y evaluar todos los procesos de TI donde deben
evaluarse de forma regular en el tiempo en cuanto a su calidad y
cumplimiento de los requerimientos del Plan Estratégico de Educación que
ejecuta el CUFM.

Esto abarca la administración del desempeño, el monitoreo del control


de acceso físico, el cumplimiento regulatorio y la aplicación del gobierno. La
mejora de los procesos de TI se basa principalmente en un entendimiento
cuantitativo y es posible monitorear y medir el cumplimiento con
procedimientos y métricas de procesos.

Alcance

Coordinar el nivel de responsabilidad con la El Consejo Directivo


conjuntamente con la Oficina de Tecnología de Información y Comunicación

12
y la Oficina de Seguridad Integral, La Oficina de Gestión de Talento Humano
y la División Académica para la puesta en marcha este proyecto de tesis a fin
de evaluar y medir el Sistema de Control de Acceso y de Seguridad en las
Instalaciones que sean apegadas a la Ley de Educación Universitaria, Lay de
la Contraloría General de la República y la Superintendencia Nacional de
Control Interno, así como capacitación del personal de seguridad y custodia
del Colegio Universitario Francisco de Miranda y al termino de la culminación
de esta especialización de Auditoria de Tecnología de la Información y
Seguridad de Datos cursado en la División de Investigación y Postgrado,
edificio Valores piso 9 del CUFM.

Para el término, desarrollo de esta Tesis se debe estar considerando


implementar, establecer y organizar el Sistema de Control de Acceso, para la
seguridad custodia de las instalaciones del CUFM considerando las mejores
prácticas en el uso y como modelo de monitorear y evaluar todos los
procesos de TI que sea exitoso, eficiente y eficaz.

FASE II

Marco Referencial

13
Sobre la base de esta propuesta de tesis se realizaron consulta a
otras fuentes de tesis, textos, revistas especializadas e Informes técnicos que
tiene relación con el presente proyecto:

Dávila, (2010), Propuesta para la implementación de un Sistema


Automatizado de Control de Acceso Físico en las instalaciones del Banco
INDEBIV, trabajo presentado como tesis de grado en la División de
Investigación y Postgrado del Colegio Universitario Francisco de Miranda,
para obtener el título Especialista en Auditoria de Sistemas de Información
Financiera y Seguridad de Datos en donde su Objetivo General es Realizar
un estudio de los mecanismos de seguridad físico utilizados actualmente
para garantizar la seguridad de los activos de la información y proponer
aquellos que se ajusten a las necesidades del Banco INDEBIV, considerando
las mejores prácticas de seguridad, y su Objetivos específicos: 1.-Identificar
las áreas críticas en la sede principal del Banco INDEBIV, 2.-Determinar los
riesgos asociados a las áreas de mayor criticidad en la institución financiera
INDEBIV, 3.-Analizar el control de acceso de las áreas críticas del Banco
INDEBIV, y 4.- Proponer equipos de seguridad y herramientas para el
resguardo de los activos de información en las instalaciones de la institución
financiera INDEBIV.

Metodología aplicada el COBIT (2007) y ISO 27002 (2005), CISSP


Certificado de Seguridad en SI, sus resultados fueron la Implementación de
mecanismos de tarjetas inteligentes, con la Lectura de proximidad, la
utilización del Huellas Digitales y el Password. Del anterior planteamiento, se
tomó como aporte para el estudio lo relativo a los objetivos expuestos en la
misma ya que muestra la implementación de un sistema automatizado de
Control de acceso físico en las instalaciones del Banco INDEBIV siendo un
valioso aporte.

14
Vásquez, (2015), Diseño de un Prototipo de Control para la Gestión de
Proyectos Tecnológicos de Banco FRAMI, Banco Universal, C.A., trabajo
presentado como tesis de grado en la División de Investigación y Postgrado
del Colegio Universitario Francisco de Miranda, para obtener el título
Especialista en Auditoria de Sistemas de Información Financiera y Seguridad
de Datos, en donde su objetivo general es Diseñar un Plan para la Gestión
de Proyectos Tecnológicos de Banco FRAMI, Banco Universal, C.A., se
fundamento en el diseño de un prototipo de control para la gestión de
proyectos, basados en la mejores prácticas aplicadas a la guía de los
Fundamentos de la Dirección de proyectos (PMBOK, 4ta Edición, 2008), a fin
de identificar, diseñar, planificar, controlar, ejecutar y mitigar los riesgos en
los proyectos, además de realizar la documentación adecuada durante el
ciclo de vida del proyecto, los resultados obtenidos, no cuenta con un
estándar o documentación de proyectos, la misma no se ejecuta de manera
organizada y con la documentación correspondiente en cada fase del
proyecto, lo impactado recurso, tiempo y costos. Los riesgos en la ejecución
de los proyectos son de alta probabilidad para el fracaso o incumplimiento de
los objetivos.

Cruz, (2011), Diseño de un sistema de control interno para


contrataciones del Estado en el Hospital “La Caleta” de Chimbote, Perú,
Investigación para ser publicado en una Revista “Ciencia y Tecnología”,
Escuela de Postgrado Nacional de Trujillo (Lima - Perú) – UNT, Objeto de
estudio, en esta investigación el objeto de estudio estuvo conformado por los
funcionarios y empleados, trabajadores de la Unidad de Logística,
integrantes de los Comités Especiales de contrataciones y del Órgano de
Control Interno del Hospital La Caleta de Chimbote en relación al control
interno de las contrataciones en la ejecución del propio presupuesto en
bienes y servicios y el presupuesto de la Red de Salud Pacifico Norte –
Chimbote.

15
Se elaboró y aplicó una encuesta empleados nombrados, escogidos en
forma dirigida con un mínimo de dos años de experiencia en trabajos del
sistema de logística y empleados con experiencia en labores de los comités
especiales de contrataciones. La encuesta se elaboró teniendo en cuenta,
planteamientos teóricos o paradigmas sobre control y compras, normatividad
aplicable en materia de control y contrataciones del Estado, definiciones
operacionales, informes y reportes de auditorías y los objetivos de la
investigación. Se elaboró 22 reactivos en base a los indicadores y sub-
indicadores sobre la aplicación del SCI en las contrataciones del Estado.
También se consideró la información relevante que evidencie brechas sobre
el sistema nacional de control interno gubernamental en relación a las
contrataciones de bienes y servicios; asimismo, las brechas o razones que
dificultaron aplicar los componentes del SCI en los procesos de
contrataciones del Estado en el Hospital La Caleta de Chimbote. Todo esto
con el interés de proponer un SCI eficaz.

Los hallazgos del análisis permitieron identificar las causas del problema y
sirvieron como base para proponer recomendaciones sobre la gestión del
sistema control interno en relación a los procesos de contrataciones. La
contrastación de los resultados nos ayudó a diseñar y proponer un SCI eficaz
para los procesos de contrataciones de bienes y servicios del Estado en la
Unidad de Logística. Resultados de la encuesta, En base a las respuestas a
cada una de las preguntas de la encuesta, se ordenaron los resultados y se
determinó que el sistema nacional de control interno gubernamental en
relación a las contrataciones de bienes y servicios en la gestión de la Unidad
de Logística del Hospital La Caleta de Chimbote, representa una brecha
promedio integrada de 72.22%. En estos hallazgos apreciamos un conjunto
de razones que inciden desfavorablemente en la gestión de las
contrataciones de bienes y servicios del Hospital La Caleta de Chimbote.

16
Martínez, (2006), Evaluación del sistema de planificación y control de
asistencia del personal operativo de Metrocity, C.A., trabajo presentado como
tesis de grado en la División de Investigación y Postgrado del Colegio
Universitario Francisco de Miranda, para obtener el título Especialista en
Auditoria de Sistemas de Información Financiera y Seguridad de Datos
Objetivo general, Evaluación del sistema de planificación y control de
asistencia del personal operativo de Metrocity, C.A., Objetivos Específicos,
1.- Analizar el sistema de planificación y control de asistencia del personal
operativo de Metrocity, C.A., 2- Analizar los mecanismos de control y
seguridad de la información en los procesos de planificación y control de
asistencia del personal operativo de Metrocity, C.A.. 3.- Establecer
lineamientos generales para optimizar los mecanismos de control y seguridad
de la información del sistema de planificación y control de asistencia del
personal operativo de Metrocity, C.A. Del anterior planteamiento, se tomó
como aporte para el estudio lo relativo a los objetivos expuestos en la misma
ya que muestra la Evaluación del sistema de planificación y control de
asistencia del personal operativo de Metrocity, C.A., siendo un valioso aporte.

MARCO CONCEPTUAL

Colegio universitario francisco de Miranda

El Colegio Universitario “Francisco de Miranda” responde a la


necesidad que tiene el país de profesionales universitarios medios que
atiendan a los sectores de producción y servicio del país. Lo que en un
principio fue una novedad, en este momento goza de un claro perfil gracias al
impacto efectivo que los Técnicos Superiores han tenido con su desempeño
en la sociedad productiva venezolana.

17
De hecho ya se afirma que el Sistema de Educación Superior es una
verdadera Universidad Nacional que está resolviendo problemas concretos
en las regiones donde tienen sus centros de acción, no solo por proveer a la
sociedad de profesionales competentes sino por la irradiación de una cultura
avanzada.

El Colegio Universitario Francisco de Miranda comprende una Sede


Central, una Biblioteca y una Sede Administrativa.

La Sede Central está ubicada en la Esquina de Mijares, en la


parroquia Altagracia de Caracas. Se trata de una esquina dedicada
tradicionalmente a la educación.

Allí funcionó el Colegio San Ignacio y la muy prestigiosa Universidad


Católica Andrés Bello. Se encuentra justo en el centro histórico, político,
religioso, financiero y cultural de Caracas.

El edificio cuyo estilo arquitectónico puede identificarse como “deco”,


alberga entre sus bienes más preciados una envidiable colección de piezas
de arte contemporáneo. La colección iniciada por el director fundador Rafael
Fernández Heres, cuenta en la actualidad con obras de más de tres docenas
de artistas en su mayoría venezolanos; en ella están presentes: Francisco
Hung, Carlos Prada, Luis Guevara Moreno, Carlos Hernández Guerra, Pedro
Briceño, Mateo Manaure, Alirio Palacios, Manuel Quintana Castillo, Edgar
Sánchez, Victor Valera y muchos otros.

Esta sede, donde funciona la Dirección, el Consejo Directivo y las


Divisiones Académicas, tiene como vecinos al Banco Central de Venezuela,
la hermosa Plaza “Juan Pedro López”, el Ministerio de Educación, Cultura y
Deporte, y las Iglesias de Las Mercedes y Santa Capilla.

18
En su proximidad, al voltear la esquina sobre el Boulevar Panteón,
entre las esquinas de Jesuitas y Tienda Honda, en el edificio “La
Venezolana” se encuentra ubicada la moderna Biblioteca “Rafael Fernández
Heres” fundada en 1975, un año después de la creación del Colegio
Universitario “Francisco de Miranda”, que cuenta en la actualidad con sala de
navegación, laboratorio de computación y salas bajo el sistema de
estanterías abiertas.

Misión

Ser una institución universitaria de excelencia en el plano docente, de


investigación, de extensión y gestión. En estrecha correspondencia con la
sociedad del conocimiento que exige el siglo XXI y con los valores de
equidad y justicia que plantea la Constitución de la República Bolivariana de
Venezuela en aras de la construcción de una sociedad independiente y
democrática.

Visión

El Colegio Universitario “Francisco de Miranda”, es una institución de


educación del estado venezolano cuya misión es formar profesionales
universitarios competentes con el área técnico profesional, con gran
sensibilidad social e identidad nacional y latinoamericana que se incorporen
al proceso de transformación del país para aportar soluciones. Así como
generar y difundir conocimientos y realizar acciones hacia la comunidad
local, regional, nacional e internacional para contribuir a mejorar la calidad de
vida.

Valores

Cada uno de los actores, que conforman nuestra comunidad


universitaria, desarrolla una actividad mancomunada que tiene como valores:

19
 La Equidad
 La Participación
 La Solidaridad
 El Respeto
 La Calidad
 La Cooperación
 La Identidad Nacional.

Objetivos institucionales

 Convertir al Colegio Universitario “Francisco de Miranda” en una


Institución de Educación Superior de excelencia en los diversos ámbitos
del quehacer universitario.
 Formar un profesional competente en el área técnica – profesional, con
sensibilidad social e identidad nacional y latinoamericana.
 Establecer un ambiente organizacional de respeto, de sentido de
responsabilidad, de comunicación y de trabajo en equipo.
 Desarrollar programas de investigación alineados con el enfoque de
independencia nacional en los planos: científico, tecnológico y
económico.
 Difundir, masivamente, el pensamiento y las acciones inscritas en el
nuevo concepto de universidad y democracia participativa.
 Diseñar programas de extensión dirigidos a coadyuvar en la formación de
una nueva ciudadanía de la comunidad universitaria y que mantengan
estrechos nexos con el entorno social, vecinal y el mundo cultural y
productivo. Además, de fortalecer los proyectos sociales del Nuevo
Estado Venezolano.
 Mantener un constante proceso de actualización del currículo de las
diversas carreras y presentar nuevas ofertas en correspondencia con las
expectativas del mundo socio-productivo y en consonancia con el

20
proyecto de sociedad que define la Constitución de la República
Bolivariana de Venezuela.
 Incorporar a los diversos actores en la toma de decisiones de la
Institución en correspondencia con la construcción de un nuevo modelo
democrático de participación.
 Incrementar la matrícula estudiantil usando, adecuadamente, medios
didácticos, administrativos y académicos en aras de la construcción de
una nueva estructura social.
 Establecer procedimientos administrativos y académicos eficientes,
eficaces y transparentes.
 Mantener vínculos con centros de educación, espacios culturales, centros
de investigación nacionales e internacionales.
 Establecer nuevas formas organizativas que expresen el modelo de
sociedad.

Gráfico Nro. 1 ESTRUCTURA ORGANIZATIVA DEL CUFM

21
Fuente: Pág. Cufm.terna.net Estructura Académica. Departamentos
Académicos.

Los Departamentos Académicos son la estructura académica


operativa del CUFM, tienen a su cargo la integración de la docencia, la
investigación y la extensión. Los Departamentos Académicos del CUFM
están integrados por el conjunto de unidades docentes que guardan relación
entre sí, ya sea por su propia naturaleza, por la afinidad de contenidos
programáticos o por tener campos o materias de trabajo comunes que
permitan agruparlos en la unidad de una disciplina.

A los Departamentos están adscritas Áreas o Cátedras, estas


unidades académicas conformadas por uno o más profesores son las que
tienen como responsabilidad la enseñanza de una o más asignaturas, de uno
o más niveles, y de realizar la investigación y extensión relacionada con sus
áreas de competencias.

22
1. Formación General

2. Formación Profesional Básica

3. Administración:

o Recursos Humanos

o Hidrocarburos

o Bancas y Finanzas

o Transporte y Distribución de Bienes

4. Informática

5. Contaduría

6. Postgrado

Departamentos Conexos:

 Seguimiento de Pasantes y Control de Egresados

 Biblioteca

El Departamento de Biblioteca, unidad adscrita a la División Académica,


tiene como misión: Ofrecer a la comunidad universitaria en forma eficiente,
rápida y pertinente, servicios de acceso a información documental o en
cualquier soporte, creando espacios físicos para el estudio en apoyo a la
investigación, docencia, extensión y formación integral del estudiante que
pertenece al CUFM, aportando servicios de excelencia tanto generales como
especializados. El Departamento de Biblioteca canaliza su actividad
ejerciendo la administración y supervisión de la Biblioteca “Rafael Fernández
Heres”.

23
Bases conceptuales

Las bases conceptuales, ubican el problema dentro de todos los


fundamentos teóricos que permiten aclarar los conceptos relativos a la
aplicación de las mejores prácticas de Tecnología de la Información (TI),
como son referencia de uso a nivel mundial a todo nivel empresarial,
industrial y de la educación que es el punto de la tesis a desarrollar los
estándares y administrar de mejor manera los entornos TI, el uso de estas
mejores prácticas permite a las organizaciones a mantener un gobierno
efectivo a las actividades de TI, además permite crear un marco de gestión el
cual es necesario para que cada organización este en conocimiento de
realizar sus actividades mediante uso de políticas, control interno y práctica
definidas.

Concepto de control

El control se define como el proceso por medio del cual las actividades
de una organización quedan ajustadas a un plan preconcebido de acción y el
plan se ajusta a las actividades de la organización. (KOHLER, 1979).

Asimismo, el Control Fiscal consiste en tratar de establecer


mecanismo de acopio de información que permitan tomar acciones capaces
de corregir cualquier desviación del proceso administrativo, que tienda
apartarlo de los propósitos y fines que persigue, que no son otros, que la
mejor preservación y salvaguarda del dinero público y que el gasto se haga
con miras al mayor beneficio de la colectividad. (LIENDO, 1983).

En su concepción más sencilla, según Chiavenato (2001): El controles


una función administrativa: es la fase del proceso administrativo que mide y
evalúa el desempeño y toma la acción correctiva cuando se necesita. De
este modo, el control es un proceso esencialmente regulador que trata de

24
garantizar que lo planteado, organizado y dirigido, cumpla realmente con los
objetivos previstos. (p.394).

Según Harold koontz y Ciril O’Donell: Implica la medición de lo logrado


en relación con lo estándar y la corrección de las desviaciones, para
asegurar la obtención de los objetivos de acuerdo con el plan.

Por su parte, la Contraloría General de la República define como la


medición y ajuste del desempeño de la organización, para asegurarse de que
se cumpla los fines de las disposiciones normativas y los planes y metas
diseñados para alcanzarlos. (METODOLOGÍA PARA LA AUDITORÍA, 1998)
DE GESTIÓN).

En ese orden de ideas, el control según indica Koontz y Weihrich


(1998), consiste en la medición y corrección del desempeño con la finalidad
de certificar que sean cumplidos los objetivos de la compañía y los métodos
ideados para alcanzarlos. Para lo cual debe existir una estrecha relación
entre la planificación y el control lo que permite la medición en función a los
criterios previamente establecidos.

Elementos del control

a) Relación con lo planteado: Siempre existe para verificar el logro de los


objetivos que se establecen en la planeación.
b) Medición: para controlar es imprescindible medir y cuantificar los
resultados.
c) Detectar desviaciones: una de las funciones inherentes al control, es
descubrir las diferencias que se presente entre la ejecución y la
planeación.
d) Establecer medidas correctivas: El objeto del control es prever y corregir
los errores.

25
Tipos de controles

Control Gerencial: Esta orientado a las personas con el objeto de influir en


los individuos para que las acciones y comportamiento sean conscientes con
los objetivos de la organización.

Control Contable: comprende todas las normas y procedimientos contables


establecidos, como todos los métodos y procedimientos que tienen que ver o
están relacionados directamente con la protección de los bienes y fondos y la
confiabilidad de los registro contables.

Control operativo de Gestión: está orientado a procesos y tareas ya


ejecutadas. Comprende un conjunto de planes, políticas procedimientos y
métodos que se necesitan para alcanzar los objetivos de la organización.

Control presupuestario: es una herramienta técnica, en la que se apoya el


control de gestión, basado en la dirección u objetivos. Consiste en confrontar
periódicamente el presupuesto frente a los resultados reales del periodo,
centro por centro, con el fin de poner en evidencia las desviaciones.

Control informático: está orientado a lograr el uso de la tecnología y la


informática como herramienta de control; su objetivo será mantener controles
automáticos efectivos y operativos sobre las operaciones.

Con relación al presente estudio, el control administrativo u operativo “se


relacionan con las normas y procedimientos relativos a la eficiencia operativa
y la adhesión a las políticas prescritas por la administración.” (p.29).

Control de acceso físico

El principal elemento de control de acceso físico involucra la


identificación del personal que entra o sale del área bajo un estricto control,
tanto de día como de noche.

26
Los parámetros asociados a la identificación del personal y por tanto al
acceso físico son los siguientes:

Algo que se porta: Consiste en la identificación mediante algún objeto que


porta tal como, tarjetas magnéticas, llaves o bolsas. Por ejemplo, las tarjetas
pueden incluir un código magnético, estar codificadas de acuerdo al color
(rojo para los programadores, azul para los analistas, etc), e inclusive llevar
la foto del propietario. Un problema con esta técnica, sin embargo, es la
posibilidad de que el objeto que se porta sea reproducido por individuos no
autorizados. Es difícil pero no imposible reproducir una tarjeta con código
magnético. Es por esta razón que esta técnica se utiliza en conjunción con
otros identificadores para proporcionar una identificación positiva.

Algo que se sabe: Implica el conocimiento de algún dato específico, como el


número de empleado, algún número confidencial, contraseña o combinación,
etc.

Algunas características físicas especiales: La identificación se realiza en


base a una característica física única. Estas características se dividen en dos
categorías:

 Neuromuscular: tales como firma o escritura.


 Genética: tales como la geometría del cuerpo (mano, iris, retina, etc),
huellas digitales, reconocimiento de patrones de voz, apariencia facial,
impresión de las huellas de los labios, patrones de ondas cerebrales, etc.

Los siguientes controles de seguridad física deberían ser tenidos en


cuenta dentro de cualquier organización:

 Cerraduras: incluyendo llaves tradicionales, cerraduras electrónicas y


biométricas
 Guardias de seguridad

27
 Cámaras de video vigilancia

Cerraduras

Las cerraduras son la primera línea de defensa para evitar intrusos en


una organización. Todas aquellas salas de nuestra empresa que alberguen
equipos informáticos deben estar protegidas con algún tipo de cerradura.

Llaves tradicionales

Son un método efectivo para controlar el acceso a zonas restringidas,


solo las personas que posean la llave podrán entrar en una u en otra
habitación. El problema de las llaves es la necesidad de tener una especie
de portero, alguien en quien se confié lo suficiente como para dejar a su
cargo la gestión de todas las llaves. La mayor parte de las organizaciones
usan un 28ajetín con llaves, generalmente ubicado junto la secretaria. Esto
no es un buen método de disuasión contra los intrusos ya que basta con
despistar a la secretaria o esperar a que vaya al servicio para acceder a las
llaves.

Si no se tienen en cuenta estos aspectos, se puede llegar a un falso


estado de seguridad difícil de subsanar.

Cerraduras electrónicas

Las cerraduras electrónicas eliminan la necesidad de poseer


físicamente una llave, simplemente basta recordar un código para entrar en
un área determinada. El problema de este método es el hecho de cambiar y
por lo tanto distribuir las contraseñas.

28
Cerraduras biométricas

Es aquel acceso que se basa en el reconocimiento de una o mas


características físicas inherentes de una persona como son las huellas
digitales, la retina ocular, el iris, la firma, reconocimiento de voz, etc.

Debido a su alto coste, este tipo de cerraduras solo se ubican en aquellos


sitios donde existen maquinas que necesitan un alto grado de seguridad.

Guardias y escoltas especiales

Son unos componentes importantes de una organización. A pesar de


que no son la policía, son un elemento importante de disuasión con respecto
a ladrones, y visitantes sin autorización. Éstos pueden estar ubicados en
lugares estratégicos donde exista más vulnerabilidad. Es recomendable que
todos los visitantes que tengan permisos para recorrer el centro de cómputo
sean acompañados por una persona designada como escolta.

Aquellas organizaciones que utilizan los servicios de una compañía de


seguridad externa, deben de dejar patente en un contrato las
responsabilidades que asume la compañía de seguridad.

Cámaras de video vigilancia

Al igual que los guardias de seguridad, las cámaras de video vigilancia


son un elemento de disuasión frente a intentos de acceder de forma no legal
a la empresa, además de ofrecer una prueba irrefutable de crimen y de
conducta deshonesta de empleados, debiendo aparecer en el video la fecha
y hora de la grabación.

Se ubican en posiciones estratégicas que permiten vistas completas


de las puertas de acceso del edificio, así como de los equipos que se quieren
proteger.

29
Las videocámaras no sirven de nada si no existen monitores que
muestren las imágenes captadas. Generalmente estos monitores se ubican
en una sala del CPD, en la cual habrá siempre alguien pendiente de ellas. Se
puede

dar el caso de que existan menos monitores que videocámaras, en ese caso,
las imágenes irán rotando a intervalos de 30 segundo entre los monitores.

Auditoría de la seguridad física

Se puede definir una auditoria como aquella “actividad para determinar


por medio de la investigación, la adecuación de, y la adhesión a los
procedimientos establecidos, instrucciones, especificaciones, códigos y
estándares, u otros requisitos aplicables, contractuales o de licencia, así
como la eficacia de su implantación”.

Es decir, auditar significa revisar y evaluar una situación para emitir un


informe de situación junto con una serie de recomendaciones bajo los
defectos observados.

La Auditoria Informática es una parte de la auditoria centrada en los


sistemas de información de la empresa, tanto desde el punto de vista
tecnológico como organizacional, teniendo así distintos tipos de Auditoria
Informática: de sistemas, de comunicaciones, de seguridad lógica y física, de
las metodologías de los proyectos de desarrollo, del plan de sistemas, los
recursos humanos, etc.

El auditor informático, será aquella persona o grupo de personas, encargada


de analizar un sistema de información determinado para posteriormente
emitir un informe; no es de extrañar que los auditores son especialistas
informáticos en constante reciclaje.

En función de quien realice una auditoría se distinguen:

30
 Auditoría externa: la realiza una empresa, no vinculada con la empresa
auditada, especializada en el servicio que se contrata.
 Auditoría interna: la realiza un departamento dentro de la organización,
este departamento es altamente independiente, de tal forma que solo
responde ante la Dirección General de la organización.

De los distintos tipos de auditorías que existen, en este tema se trata la


auditoría de la seguridad física cuyo objetivo es realizar un informe de
auditoría con el objeto de verificar la adecuación de las medidas aplicadas a
las amenazas definidas, así como el cumplimiento de los requisitos exigidos.

La auditoria deberá seguir las siguientes fases:

Acopio de datos: Se realiza una investigación para determinar en


función de la empresa y su necesidad de seguridad de datos aquellas
medidas referentes a la seguridad física que teóricamente debería poseer
recopilando todos los datos: cerraduras, vigilantes, video cámaras, detector
de humos, etc. En una empresa grande debería de analizarse los siguientes
ítems:

Medidas de seguridad física del área de los servidores y/o mainframe

 Medidas de seguridad para el resguardo de los bienes informáticos.


 Responsables de la seguridad y vigilancia
 Controles para el acceso físico al área
 Ubicación de las salas de ordenadores.
 Sistemas de alimentación ininterrumpida existentes.
 Material con el que se ha construido el área de servidores
 Características del mobiliario.
 Ventilación e iluminación en el área de cómputo.
 Detectores y alarmas de fuego, humo y humedad.
 Equipo contra incendios

31
 Planeación y supervisión del cableado eléctrico
 Características de las tuberías.
 Almacenamiento de material no combustible
 Otros controles de seguridad física

Análisis de riesgos y amenazas: En esta fase el auditor con la


información recopilada en el punto anterior realizara un análisis de cuáles
serían los riesgos de no implantar alguna medida de seguridad física.

Trabajo de campo:

 Análisis de instalaciones: El auditor visitará las instalaciones de la


empresa para ver si cumplen todas las medidas que previamente había
calculado.
 Análisis del personal: Se realiza una análisis de la plantilla de la empresa,
intentando observar cualquier desviación o incidencia (empleados
condenados por piratería, por robar, etc).

Informe de la situación actual

Propuesta de acciones a tomar, valoradas económicamente

Como resultado de la auditoria se obtendrá:

Informe de Auditoría detectando riesgos y deficiencias en el Sistema de


Seguridad.

Plan de recomendaciones a aplicar en función de:

 Riesgos
 Normativa a cumplir
 Costes estimados de las recomendaciones

32
En el caso de que en la empresa haya un plan de seguridad física, el
auditor deberá contrastar su informe con dicho plan y emitir un resumen en el
que se evaluará la posible adecuación del plan.

Sistematización

Según Alvarado (1998), la sistematización consiste en la aplicación de


diferentes técnicas que permitan una mejor distribución del trabajo, el
establecimiento de responsabilidades y visualizar la participación de los
distintos niveles administrativos en un procedimiento específico.

En efecto, se puede decir que la sistematización consiste en un conjunto de


procedimientos orientados a dar una secuencia lógica a los procesos para
alcanzar un resultado, de esta forma obtener información oportuna y
confiable para la toma de decisiones.

Para la presente investigación, la sistematización realizada se orientó


en dar una secuencia lógica al proceso de gestión de riesgos de seguridad
de la información, a través de un conjunto de normas y procedimientos que
permita el análisis y gestión de los riesgos de la seguridad de la información
en el Colegio Universitario Francisco de Miranda.

Sistemas de información

Según Oz (2001), en una organización un sistema de información está


formado por varios componentes: datos, hardware, software, personas y
procedimientos, todos con los puntos fuertes y débiles. Con el objetivo
comúnde producir la mejor información a partir de los datos disponibles.

Por otra parte, O ́Brien (2001) define sistemas de información como: “una
combinación organizada de personas, hardware, software, redes de
comunicaciones y recursos de datos que reúne, transforma y disemina
información en una organización” (p.9)

33
En efecto, los sistemas de información son un conjunto de elementos
organizados, relacionados y coordinados entre sí, que facilitan el
funcionamiento general de una organización para el logro de sus objetivos,
de allí la importancia de que las organizaciones, se aboquen a medidas de
control que apoyen la seguridad de la información.

Tipos de seguridad

El estudio de la seguridad de la Información podría plantearse desde


los siguientes enfoques o tipos:

Seguridad física

Según Donado, Agreda y Carrascal (2002), son mecanismos que


permiten asegurar el correcto funcionamiento de aquellos recursos físicos o
equipos computacionales (servidores, estaciones de trabajo, router, switches,
backbone, entre otros) que intervienen en el manejo y administración de los
sistemas de información.

En tal sentido Ramio (2006), la asocia a la protección del sistema ante las
amenazas físicas, incendios, inundaciones, edificios, cables, control de
accesos de personas, entre otros.

Seguridad lógica

La seguridad lógica pretende proteger el patrimonio informacional que


se compone tanto de las aplicaciones informáticas como del contenido de las
bases de datos y de los ficheros. La protección de este tipo se puede realizar
a través de contraseñas, tanto lógicas como biométricas, conocimientos y
hábitos del usuario, firmas digitales y principalmente la utilización de métodos
criptográficos. (Camacaro, 2009).

34
Seguridad organizacional administrativa

Pretende cubrir el hueco dejado por las dos anteriores y viene en


cierto modo a complementarlas. Es difícil, lograr de forma eficaz la seguridad
de la información si no existen claramente definidas: las Políticas de
seguridad, Políticas de personal,

Políticas de contratación Análisis de riesgos y los Planes de Contingencia.


(Camacaro, 2009)

Seguridad jurídica o legal

Su objetivo es lograr a través de la aprobación de normas legales,


poder fijar el marco jurídico necesario para proteger los bienes informáticos y
la información generada a través de estos. (Camacaro, 2009).

De acuerdo al tipo de seguridad de la información que se analice, es


importante identificar los riesgos que se presentan en la misma.

Clasificación de control interno informático

Controles preventivos: para tratar de evitar el hecho, como un software


de seguridad que impida los accesos no autorizados al sistema. (Piattini y del
Peso, 2001, p31) Controles Detectivos: cuando fallan los preventivos para
tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos
de accesos no autorizados, el registro de la actividad diaria para detectar
errores u omisiones, entre otras. (Piattini y del Peso, 2001, p31)

Controles correctivos: facilitan la vuelta a la normalidad cuando se han


producido incidencias. Por ejemplo, la recuperación de un fichero dañado a
partir de las copias de seguridad. (Piattini y del Peso, 2001, p31).

35
Control interno informático

Según Piattini y del Peso (1998), lo definen como los diferentes


controles para la función informática, según el nivel de riesgos y diseñados
de acuerdo a los objetivos del negocio y dentro del marco legal aplicable. De
igual manera,los autores indican que el Control Interno Informático permite
controlar diariamente que todas las actividades de los sistemas de
información sean realizadas cumpliendo los procedimientos, estándares y
normas fijadas por la Dirección de la Organización y/o la Dirección
Informática, así como los requerimientos legales.

Estándares internacionales

ITIL

La Biblioteca de Infraestructura de Tecnologías de Información, IT


Infraestructure Library® (ITIL), es la aproximación de Gestión del Servicio
TI más ampliamente aceptada en el mundo. ITIL es un marco Best Practice
que se ha elaborado por los sectores público y privado a nivel internacional.
En él se describe cómo los recursos de TI deben ser organizados para
ofrecer un valor empresarial documentando los procesos, funciones y roles
del IT Service Management (ITSM).

Es un modelo para gestionar servicios de TI, desarrollado a finales de los


años 80 por la administración del Reino Unido. Es un conjunto de procesos
que se encargan en la provisión, entrega y gestión de servicios a una
organización, con sus estructuras y actividades correspondientes. En su más
reciente versión, ITIL V3, presenta el concepto de gestión del ciclo de vida
del servicio. Con este enfoque, se abarca la gestión del servicio desde la
solicitud hasta la liberación del servicio.

36
Base conceptual

Cuadro No 1 Glosario de Seguridad:


Percepción de asociar el costo de la seguridad al
Costo- beneficio
valor de los bienes que protege
Cambio en el estado de un bien que es
Daño
considerado grave por su propietario
Falla en el Sistema de Seguridad. Si el agresor la
Debilidad
reconoce se transforma en vulnerabilidad

Frecuencia Eventos que transcurren por unidad de tiempo

Estimación sobre la importancia de un impacto


Impacto o gravedad
potencial.

Manual de Documento que contiene la normativa y los


Operaciones de procedimientos de Seguridad para toda la
Seguridad (MOS) Organización
Actitud imprudente de mostrar un BIEN como un
Notoriedad
blanco rentable.

Probabilidad de que el AGRESOR aproveche una


Vulnerabilidad
debilidad para aumentar el riesgo del BIEN
Fuente: ITIL

Seguridad física:

Disciplina que se ocupa de los aspectos relacionados con la protección de


bienes, personas e instalaciones, las amenazas y riesgos que puedan
atentar contra ellos y las técnicas para prevenir y controlar los riesgos a que
son sometidos por posibles agresores.

Conceptos básicos de Seguridad:

37
 Prevención es seguridad: Prevenir es evitar perdida
 acción-reacción: Con la prevención se conserva un bien, la seguridad
puede ser reactiva y reparadora.
 Intangibilidad: La seguridad es un valor intangible que se logra por
medios tangibles.
 Cobertura total: La función de seguridad es amplia y general. No deben
existir campos ajenos a su accionar (en lo posible).
 Difusión: La función seguridad debe ser protocolizada por la Rectoría
(políticas) y conocida por todas las instancias.
 Función gerencial: Es un nivel Natural.
 Costo-beneficio: La función seguridad es muy productiva porque evita
daños y pérdidas si está eficientemente implementada. La inversión debe
ser proporcional a las ganancias que se obtienen y a las pérdidas que se
evitan o previenen.
 Seguridad interna: Depende de la honradez y el respeto de los miembros
de la organización.
 Vigilancia: Es un suplemento importante de la seguridad, pero no todo es
vigilancia.
 Inseguridad: Necesariamente es creciente si la Organización progresa
pues las causas son múltiples y a veces fuera de control.
 Responsabilidad: La seguridad es responsabilidad individual y general.

Principios de Seguridad:

1. Simplicidad (Opuesto: complicación desorden inseguridad)

2. Flexibilidad (Selección de opciones)

3. Unidad de comando (cadena de responsabilidades)

4. Claridad de objetivos (Por qué? Para qué? Cómo? Resultados)

38
5. Maniobra (capacidad para aplicar recursos)

6. Economía de recursos (dosificar para mejorar eficiencia)

7. Principio de masa (posibilidad de aplicar todos los recursos en un


espacio y en un tiempo)

8. Seguridad preventiva --- defensiva. Seguridad reparadora –ofensiva

9. Alerta permanente (alertar es prevenir – prevenir es alistamiento)

10. Secreto – sorpresa (aplicada al AGRESOR convierte amenaza en


peligro; aplicada al protector es capacidad de respuesta oportuna)

Trascendencia del secreto:

Confidencialidad del dispositivo y sus componentes de modo que se


muestren sólo las medidas preventivas (disuasión) y se ocultan las medidas
reactivas (represión) para contra-sorprender y conservar la libertad de
maniobra.

Amenazas y riesgos:

Concepto de amenaza: Combinación de circunstancias externas (incluyendo


acciones de terceros) que conllevan la posibilidad de un daño o pérdida
propio.

Clasificación:

1. Individual o local (asesinato, robo, secuestro,...)

2. General o colectiva (motines, asaltos, tomas, ..)

3. Intencional o provocada (incendio, sabotaje, terrorismo,..)

39
4. Fortuita o accidental (incendios, escapes de gas, averías,...)

5. Naturales

6. Previsibles (inundaciones, desbordes,.. )

7. Imprevisibles (terremotos, huracanes, tornados..)

Calificación de las amenazas:

Percepción de la probabilidad de ocurrencia: es la estimación de la


frecuencia de aparición de las señales de peligro y de la proximidad
observada de ocurrencia. Se suele utilizar la siguiente gradación:

P = 1 . El evento ocurrirá. Señales e indicios permanentes.

P= 0,8 Es muy probable que ocurra. Señales periódicas.

P= 0,5 Es posible que ocurra. Indicios frecuentes.

P = 0,3 Es probable que no ocurra. Señales esporádicas.

P = 0,1 No es posible predecir que ocurra. Indicios raros.

El impacto o gravedad (intensidad, severidad) depende del BIEN amenazado


y de las consecuencias que producirá sobre la vida, actividad o intereses de
la persona, familia o Empresa. Ejemplo de gradación de Impacto:

I = 10 Pérdida de vida. Daños severos. Impacto fatal.

I= 8 Perjuicios irremediables para la Organización.

I= 5 Perjuicios importantes de tipo personal.

I= 3 Perjuicios moderados en lo personal y empresarial.

40
I= 1 Efectos poco notables. No es posible considerar las consecuencias
del impacto.

En cuanto a la urgencia (proximidad temporal) es la estimación del tiempo


disponible para tomar una acción que contrarreste (detenga, evite la
concreción) de una amenaza. Si la emergencia ya sucedió se debe poner en
marcha el “Plan de respuesta a la Emergencia”. Para esta estimación una
guía es la siguiente:

T= 5 El evento ya sucedió o está sucediendo.

T= 4 El evento está próximo a ocurrir.

T= 3 El evento es cercano predecible.

T= 2 El evento es lejano predecible.

T= 1 El evento no ocurrirá en el futuro predecible.

Grado de amenaza y prioridad para la acción:

Dado un evento respecto del cual se ha podido estimar la probabilidad de


ocurrencia, el Impacto y la urgencia, el grado de amenaza se obtiene por el
producto directo de los índices correspondientes (grado= P x I x T).

En cuanto a la prioridad para la acción, resulta de la comparación entre los


valores relativos del grado de amenaza. Por ejemplo:

Cuadro No 2 Grado de Amenaza

Probabilidad de Grado de
Bien Impacto Urgencia Prioridad
ocurrencia amenaza

A 1 10 5 50 1

B 0,8 8 4 10,4 2

41
C 0,5 5 3 7,5 3

D 0,3 3 2 1,8 4

E 0,1 1 1 0,1 5

Factores que condicionan a las amenazas:

Son factores concurrentes que voluntariamente o no comprometen un bien,


aumentando su exposición al daño. Por ejemplo,

1. Capital: depende del origen y el monto.

2. Notoriedad: señala blancos rentables.

3. Tamaño: Cuanto más grande más difícil de proteger.

4. Utilidades: si son grandes, dan idea de ganancia fácil.

5. Desprotección: es aliciente para la agresión.

6. Tipo de producto. Valor y uso.

7. Vecindario. Zona urbana o rural, violencia sindical o delincuencial.

8. Aspectos geotopográficos. Desastres naturales.

9. Relaciones comunitarias: buenas o malas.

10. Situación laboral: disciplina, orden, trabajo.

11. Postura sindical.

12. Acción gerencial.

Riesgos:

42
Concepto de Riesgo: Es la probabilidad de que se concrete una amenaza.

Nivel de riesgo: estimación del orden de prioridad para atender, proteger,


vigilar, controlar un BIEN. Se evalúa por la suma de los índices
correspondientes:

Frecuencia (F): de la aparición de señales o advertencias.

Urgencia (U): estimación de la proximidad en espacio y tiempo.

Intensidad (I): gradación del peligro a través de los daños emergentes.

Efecto psicológico (Ep): estimación de la afectación del ambiente.

(N= F + U + I + Ef)

Cuadro No 3 Nivel de Riesgo


EFECTO
FRECUENCIA URGENCIA INTENSIDAD PSICOLÓGICO
(afectación NIVEL DE RIESGO -
(aparición de (cercanía del (importancia,
ambiente) PRIORIDAD
señales) riesgo) impacto, peligro)

Permanentes 25 Inmediata 25 Peligroso 25 Miedo 25 100 1.Peligroso


Periódicas 15 Real 15 Grave 15 Terror 15 60 2. Grave
Frecuentes 10 Cercana 10 Preocupante 10 Inquietud 10 40 3.Preocupante
Esporádicas 5 Casual 5 Aparente 5 Recelo 5 20 4. Aparente
Raras veces 3 Lejana 3 Leve 3 Calma 3 12 5. Leve

Cuadro No 4 Clasificación de los Riesgos:

Nivel de riesgo Descripción Posibilidad de concreción

Peligro de muerte
1. Peligroso Certidumbre de que se cumplirá. Crisis
Miedo social
Permanente. Muy alto (caos)
Tendencia al éxodo

43
2. Grave Peligro serio y directo Sensación de que se cumplirá la
Periódico. Alto Temor generalizado amenaza

Sensación de desprotección
3. Preocupante
Tendencia a considerar Ambiente con tendencia hostil
Frecuente. Medio
factible

4. Aparente. Situación requiere


Amenaza aleatoria
Esporádico. Bajo prevención

Indicios aislados poco


5. Leve
preocupantes No se percibe amenaza o señal de peligro
Raro. Muy bajo
Vida apacible

Análisis de riesgos:

Procedimiento lógico cuyo objetivo es establecer amenazas, identificar y


clasificar riesgos, establecer niveles de riesgo y sus probabilidades de
ocurrencia. En particular definir las debilidades y vulnerabilidades que
pueden afectar al BIEN.

A. Método general

1. Determinar:

• Áreas importantes

• Operaciones clave

• Puntos críticos o problemáticos

2. Determinar amenazas, riesgos, debilidades y vulnerabilidades y toda otra


exposición a la acción delincuencial.

3. Realizar la evaluación del Análisis de Riesgos

44
4. Determinar el Nivel de Riesgo y asignar los recursos del Plan de
Seguridad.

5. Diseñar Plan de Contramedidas para evitar, reducir, aceptar, distribuir o


transferir los riesgos según el Plan de Seguridad Física.

Formular el Plan de Verificación (Aplicar el Principio de Pareto: separar y


atender lo crítico)

B. Método local

Buscar respuesta a los siguientes interrogantes:

a. ¿Qué debe protegerse?

b. ¿Cuál es la amenaza?

c. ¿Cuál es la protección existente?

d. Recomendaciones sobre mantenimiento, mejoramiento, cambios de


medios y procedimientos.

C. Método descriptivo

a) ¿En qué consiste la amenaza?


b) ¿Cuál es la probabilidad de ocurrencia?
c) ¿Dónde es probable que ocurra?
d) ¿Cuándo es posible que comience?
e) ¿Cuán grave o impactante será?
f) ¿Qué tendencia se espera después que ocurra?
g) Recomendaciones para la prevención y respuesta.

Reducción o atenuación de los riesgos:

Procedimiento secuencial:

45
1) Identificar los Riesgos

2) Clasificarlos

3) Análisis de Riesgos

4) Analizar alternativas de acción concreta:

a) Evitar el riesgo. Prevención efectiva. Traslado del bien amenazado


(separarlo en tiempo y espacio) Mejorar sistemas de seguridad local.

b) Reducir el Riesgo. Eliminar actividades riesgosas o disminuir su


frecuencia.

c) Aceptar el Riesgo. Cuando a. y b. fracasan o sus costos son


excesivos. Concentrar en disminuir vulnerabilidades.

d) Distribuir el Riesgo. Distribuir bienes y actividades riesgosas entre


unidades productivas. Aceptar posibilidad de pérdidas menores.

e) Transferir el Riesgo. Asegurar los bienes. Contratos deben ser


secretos.

Prevención:

Prevención: Conjunto de medidas que se toman por anticipado y que tienen


por objeto evitar o reducir la probabilidad de ocurrencia o sea el riesgo de
ocurrencia de un incidente.

Respuesta: Conjunto de acciones que se realizan antes, durante y después


de ocurrido un incidente para anular o disminuir sus consecuencias
negativas.

Evaluación de amenazas

46
 Definición de escenarios
 Determinación de factores críticos
 Identificación de debilidades.
 Análisis de riesgos y vulnerabilidades

Estrategias generales de prevención:

 Recolección de datos. Inteligencia


 Control de factores críticos
 Reducción de vulnerabilidades
 Generación de mecanismos de cooperación externa

Estrategias particulares de prevención:

1. Prevención por medio del diseño ambiental.

Se basa en establecer criterios de diseño y utilización efectiva del BIEN para


reducir amenazas.

Algunas estrategias asociadas:

Control de accesos

La seguridad inversamente proporcional al número de puntos de acceso en


barrera perimetral (1 difícil, 2. muy difícil,....4. imposible).

Portería principal:

 Genera imagen de la Organización

 Administra de noche y feriados

 Concentra controles

 Portero capacitación especial

47
 Medios técnicos

Barreras:

Objetivos: demorar – disuadir – canalizar agresiones

Tipos: naturales – estructurales – Iluminación protectiva – Cercas – Medios


Técnicos (ver).

Vigilancia: Actitud del personal de la Organización. Observan áreas públicas


en forma continua o aleatoria para detectar anormalidades.

1. Prevención por medio del diseño ambiental:

Se basa en establecer criterios de diseño y utilización efectiva del BIEN para


reducir amenazas.

2. Prevención por acción colectiva

Conjunto de decisiones donde se ha previsto la articulación de planes de


seguridad entre:

 Sociedad (vecinos)
 Organizaciones intermedias (ONG, Sociedades de fomento, parroquias...)
 Organizaciones gubernamentales (Comunas, Municipios, ...)
 Fuerzas de Seguridad (Policía, Bomberos,..)
 Organizaciones barriales o vecinales para implementar Planes de
Seguridad Proactivos.

Criterios para mejorar la prevención:

 Aumento del tiempo necesario para concretar intrusión.


 Disminución del tiempo de detección.
 Disminución del tiempo de reporte.

48
 Disminución del tiempo de respuesta policial.
 Disuasión. Habilidad para convencer acerca de los costos de
transgresión y conveniencia de cambiar de objetivo. Ideal: sin violencia.
 Generar percepción que todo es observado y los extraños son
reconocidos.
 Vigilancia capaz.
 Desvirtuar percepción de “área aislada o vulnerable”.
 Generar percepción de “área bajo observación policial”.

Prevención de amenazas internas:

 Los robos o las amenazas internas más significativas.


 Es difícil obtener estadísticas precisas de pérdidas atribuibles a robos de
empleados.
 Las pérdidas internas generalmente provienen de:

o Hurtos de pequeñas cantidades durante periodos largos.

o Distracción de dinero o efectos por los responsables de su


custodia.

o Pérdidas de inventarios por distintos medios.

Sistemas de protección activa:

Presentan obstáculos o impedimentos al Agresor

1) Sistema de seguridad contra actos antisociales

Objetivo: evitar, reducir y controlar acciones delictivas como robos, atracos,


agresiones, sabotajes, espionajes, etc.

Fases:

49
 Intrusión
 Ejecución
 Fuga

Defensa:

 Alerta
 Reacción
 Intervención

Subsistema de detección de intrusión:

Objetivo: Conocimiento anticipado de acceso no permitido.

Tres bloques:

Iniciadores: transductores que permiten detección a través de sensores o


detectores de ENTRADA y emiten señal de SALIDA. (Con alimentación:
transductor activo). 83 tipos distintos

Sistemas de seguridad contra actos antisociales

Subsistema de detección de intrusión

Iniciadores

Detección interior

• Detectores volumétricos (activos), IR, US, MW

• Detectores volumétricos de tecnología dual

Detección exterior

• Barrera de IR

50
• Barrera de MW

• Sistema de protección de vallados

• Sistemas enterrados de protección perimetral

Centrales

Reciben señales y gestionan alarmas (microprocesadores). Capacitadas


para tomar decisiones

Avisadores

Generan alarmas según indicación de Central (ópticas, acústicas, de


comunicaciones, silenciosas)

Subsistema de detección de atracos:

Detección temprana permite frustrar atracos.

Estructura: Iniciadores - Centrales – Avisadores

Subsistema de control de accesos

Objetivo: comprobar, inspeccionar, intervenir o fiscalizar el paso o circulación


de personas, vehículos u objetos a través del área de control.

Control de accesos de personas

Tiene capacidad para:

1) Identificar personas

2) Impedir accesos a no autorizados

51
3) Jerarquizar accesos

4) Obtener información y llevar registro automático

5) Conocer intentos de transgresión, instantáneamente

Opciones:

 El sistema confirma por enlace con Central


 El sistema maneja su propia base de datos

Subsistema de control de accesos:

Credencial material

 Llave mecánica
 Llave eléctrica
 Llave electrónica
 Llave magnética
 Llave mixta
 Tarjeta con código circuito eléctrico
 Tarjeta con banda magnética
 Tarjeta magnética
 Tarjeta holográfica
 Tarjeta de código magnético
 Tarjeta de código capacitivo
 Tarjeta de código óptico
 Tarjeta de código electrónico
 Tarjeta mixta
 Emisor de radiofrecuencia
 Emisor de IR , láser

52
 Emisor de US

Credencial de conocimiento

 Teclado digital
 Cerradura combinación
 Escritura

Credencial personal

 Huella digital
 Voz
 Geometría de la mano
 Rasgos faciales
 Iris del ojo

Tipos de credenciales:

Cuadro No 5 Análisis Comparativo entre Tipos de Credenciales

TIPO VENTAJAS DESVENTAJAS

Tiempo de respuesta breve


Reducido número de errores en
identificación negativa
CREDENCIAL Posible pérdida
Precio medio
MATERIAL Posible duplicación

53
Tiempo de respuesta reducido
Bajo número de errores en
identificación negativa
CREDENCIAL Posibilidad de claves especiales e
indicaciones auxiliares. Posibilidad de traspasar datos
DE
Precio bajo voluntariamente o no a otras
CONOCIMIEN
personas
TO

Mínimo número de errores en


identificaciones positivas.
Elevada seguridad Mayor número de errores en
CREDENCIAL identificaciones negativas.
PERSONAL Mayor tiempo de respuesta
Precio elevado

Identificación biométrica:

Objetivo: Reconocer o identificar identidad por característica física y medible


de una persona, por aplicación de un Soft.

Tecnologías biométricas:

 Ópticas: Basados en tecnología CCD que obtiene foto de minucias de la


huella
 US: Detectan líneas de las huellas (bifurcaciones, interrupciones) por
retardo en el eco
 Capacitivas: Mide la ddp del campo que se genera al contacto con placa
de Si, generando un patrón de minucias

Plan de seguridad física:

1) Situación ambiental

 Descripción del área, persona o actividad objetivo y situación de riesgo


que la afecta.

54
 Identificación y evaluación de las amenazas, agentes de amenazas,
debilidades y vulnerabilidades manifiestas o probables.
 Calificación del nivel de riesgo para cada situación crítica.
 Medios con que se cuenta para afrontar la amenaza o la emergencia.
Organización de seguridad. Entidades de apoyo o refuerzo.
 Hipótesis plausibles sobre futuros escenarios.

2) Misión

Descripción clara, concisa y precisa del resultado a lograr con la ejecución.


(Cuándo, dónde, para qué)

3) Ejecución

 Descripción del modo en que se ejecutará el Plan (aquí va el Cómo).


 Fases, etapas con sus metas y objetivos.
 Tareas para cada persona involucrada.
 Instrucciones de coordinación. Especificación de normas y departamentos
involucrados, coordinando todas las actividades.

4) Aspectos administrativos

 Personal necesario en cada etapa.


 Medios y equipo necesario. Disponibilidad asegurada para la oportunidad
de ejecución. Instrucciones de coordinación administrativa.
 Presupuesto para cada etapa y fase del Plan. Forma en que se piensa
financiar. Normas y autorizaciones.

5) Dirección y control

 Dirección General del Plan. Aquí se especifica la cadena de mandos y


responsabilidades.
 Comunicación y control. Medios de comunicación de la Dirección y de la

55
Coordinación.
 Clasificación. Códigos y claves

6) Protocolo de aprobación con fecha y hora

COBIT

Para la Asociación Española AEC para la Calidad COBIT es: El


estándar COBIT (Control Objectives for Information and related Technology)
ofrece un conjunto de “mejores prácticas” para la gestión de los Sistemas de
Información de las organizaciones. El objetivo de COBIT es brindar buenas
prácticas a través de un marco de trabajo de dominios y procesos, y
presentar las actividades de una manera manejable y lógica. Estas prácticas
están enfocadas más al control que a la ejecución.

COBIT: (Control Objectives for Information Systems and related Technology)


(Objetivos de Asociación para la Auditoría y Control de Sistemas de
Información. El COBIT es precisamente un modelo para auditar la gestión y
control de los sistemas de información y tecnología, orientado a todos los
sectores de una organización, es decir, administradores IT, usuarios y por
supuesto, los auditores involucrados en el proceso. El COBIT es un modelo
de evaluación y monitoreo que enfatiza en el control de negocios y la
seguridad IT y que abarca controles específicos de IT desde una perspectiva
de negocios.

Las siglas COBIT significan Objetivos de Control para Tecnología de


Información y Tecnologías relacionadas (Control Objectives for Information
Systems and related Technology). El modelo es el resultado de una
investigación con expertos de varios países, desarrollado por ISACA
(Information Systems Audit and Control Association).

56
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que
ha cambiado la forma en que trabajan los profesionales de tecnología.
Vinculando tecnología informática y prácticas de control, el modelo COBIT
consolida y armoniza estándares de fuentes globales prominentes en un
recurso crítico para la gerencia, los profesionales de control y los auditores.

COBIT se aplica a los sistemas de información de toda la empresa,


incluyendo los computadores personales y las redes. Está basado en la
filosofía de que los recursos TI necesitan ser administrados por un conjunto
de procesos naturalmente agrupados para proveer la información pertinente
y confiable que requiere una organización para lograr sus objetivos.

Control para Tecnologías de Información y Relacionadas) es un conjunto de


mejores prácticas para el manejo de información creado por la

ISO

ISO es el acrónimo de International Organization for Standardization,


aunque si se observan las iniciales para el acrónimo, el nombre debería ser
IOS, los fundadores decidieron que fuera ISO, derivado del griego "isos", que
significa "igual". Por lo tanto, en cualquier país o en cualquier idioma, el
nombre de la institución es ISO, y no cambia de acuerdo a la traducción de
"International Organization for Standardization" que corresponda a cada
idioma. Se trata de la organización desarrolladora y publicadora de
Estándares Internacionales más grande en el mundo. ISO es una red de
instituciones de estándares nacionales de 157 países, donde hay un
miembro por país, con una Secretaría Central en Génova, Suiza, que es la
que coordina el sistema.

ISO es una organización no gubernamental que forma un puente entre


los sectores públicos y privados.

57
Respecto al origen de la organización ISO, oficialmente comenzó sus
operaciones el 23 de febrero de 1947 en Génova, Suiza. Nació con el
objetivo de "facilitar la coordinación internacional y la unificación de los
estándares industriales."

Siglas en ingles de la organización que se encarga de normalizar o


estandarizar a nivel internacional productos diversos. Las empresas que
usan estas Normas son Certificadas por la calidad del producto o servicios
que prestan.

ISO 27002

Es una guía de buenas prácticas de la serie 27000, de donde se


determina el buen funcionamiento en la implementación de las normas de
seguridad, por ello se considera un anexo de la Norma ISO 27001, o una
lista de chequeo que contempla las:

1. Políticas de Seguridad: Consiste en los controles que se aplican a


las políticas de seguridad de la información. Comprende tanto la elaboración
del documento que recopile todas las políticas, como su revisión.

2. Organización de la Seguridad de la Información: Esta sección tiene


dos objetivos de control que corresponden a la organización interna de la
información y su trato con terceros.

3. Gestión de Activos: Este dominio posee dos activos que tratan la


responsabilidad sobre los activos; es decir, quién es responsable de qué
activo, y la clasificación de la información, que contiene una serie de
directrices para clasificar la información y su posterior manipulación.

4. Seguridad de los Recursos Humanos: Comprende todos los


controles que se deben implementar para evitar la fuga de información por
parte del personal de la empresa. El dominio contiene tres controles que

58
corresponden al ciclo de trabajo de una persona: antes del empleo, durante
el empleo y el cese del empleo.

5. Seguridad física y del entorno: Para que los datos estén


debidamente resguardados, es necesario que éstos se encuentren en una
zona segura y con los equipos adecuados; debidamente preparados para
ejecutar la tarea encomendada. Este dominio comprende los controles
necesarios tanto para la preparación de áreas seguras, como para el
emplazamiento y protección de equipos.

6. Gestión de Comunicaciones y Operaciones: Este dominio es el más


largo de toda la norma y comprende diez objetivos de control que aseguran
una comunicación efectiva entre los sistemas de información; así como
asegura todas las operaciones que conlleven un intercambio de información,
como: servicios de e - commerce, redes de datos, entre otros.

7. Control de Acceso: Es lógico pensar que; en una empresa, no


todos los usuarios deben tener acceso a toda la información de la empresa;
sino que cada usuario debe acceder únicamente a la información con la que
trabaja. Para ello, se establecen 6 objetivos de control que definen la meta
que se ha de alcanzar mediante la gestión de los accesos de usuario y la
concesión de privilegios.

8. Adquisición, desarrollo y mantenimiento de sistemas de información:


Para que la información de una empresa esté debidamente resguardada, es
necesario que el sistema de seguridad que se ha implementado esté en una
continua revisión. Para ello, se plantean 6 objetivos de control sobre los
cuales ha de guiarse el tratamiento de los SI.

9. Gestión de Incidentes en la seguridad: Al implementar un sistema


de gestión de la Seguridad de la Información, cualquier incidente implica un
fallo en el mismo y ha de ser controlado correctamente para que no afecte

59
otras áreas de la organización. Se plantean 2 objetivos: el primero está
relacionado con la identificación de los puntos débiles del SGSI y el segundo
con la gestión de incidentes y la implementación de mejoras al sistema.

10. Gestión de la continuidad del negocio: Este dominio tiene un solo


objetivo y consiste en el alineamiento de los objetivos del SGSI con los
objetivos de la compañía.

11. Cumplimiento: Este es el último dominio y se plantea como una


evaluación. Se evalúan distintos factores: requisitos legales, normas de
seguridad y cumplimiento técnico, y auditorías.

Control de Accesos

El objetivo del presente dominio es controlar el acceso por medio de


un sistema de restricciones y excepciones a la información como base de
todo sistema de seguridad informática.

Para impedir el acceso no autorizado a los sistemas de información se


deberían implementar procedimientos formales para controlar la asignación
de derechos de acceso a los sistemas de información, bases de datos y
servicios de información, y estos deben estar claramente documentados,
comunicados y controlados en cuanto a su cumplimiento.

Los procedimientos comprenden todas las etapas del ciclo de vida de


los accesos de los usuarios de todos los niveles, desde el registro inicial de
nuevos usuarios hasta la privación final de derechos de los usuarios que ya
no requieren el acceso.

La cooperación de los usuarios es esencial para la eficacia de la


seguridad, por lo tanto es necesario concientizar a los mismos acerca de sus
responsabilidades por el mantenimiento de controles de acceso eficaces, en

60
particular aquellos relacionados con el uso de contraseñas y la seguridad del
equipamiento.

Requisitos de negocio para el control de accesos

Se deberían controlar los accesos a la información, los recursos de


tratamiento de la información y los procesos de negocio en base a las
necesidades de seguridad y de negocio de la Organización.

Las regulaciones para el control de los accesos deberían considerar


las políticas de distribución de la información y de autorizaciones.

Los propietarios de activos de información que son responsables ante


la dirección de la protección "sus" activos deberían tener la capacidad de
definir y/o aprobar las reglas de control de acceso y otros controles de
seguridad. Asegúrese de que se les responsabiliza de incumplimientos, no
conformidades y otros incidentes.

Actividades de control del riesgo

7.1.1 Política de control de accesos: Se debería establecer,


documentar y revisar una política de control de accesos en base a las
necesidades de seguridad y de negocio de la Organización.

7.1.2 Control de acceso a las redes y servicios asociados: Se debería


proveer a los usuarios de los accesos a redes y los servicios de red para los
que han sido expresamente autorizados a utilizar.

Métricas asociadas

Porcentaje de sistemas y aplicaciones corporativas para los que los


"propietarios" adecuados han: (a) sido identificados, (b) aceptado
formalmente sus responsabilidades, (c) llevado a cabo -o encargado-

61
revisiones de accesos y seguridad de aplicaciones, basadas en riesgo y (d)
definido las reglas de control de acceso basadas en roles.

Enlaces a soluciones recomendadas

OpenNAC: Solución de código abierto para el control de acceso de red


en entornos LAN/WAN corporativos y compatible con diversos fabricantes de
tecnología de red. Permite la autenticación, autorización y auditoría basada
en las políticas de acceso a la red.

Packetfence: Solución de código abierto para el control de acceso de


red que se puede utilizar para asegurar de manera eficaz desde las redes
pequeñas a grandes redes heterogéneas.

Seguridad en Intranet: Monografía sobre la seguridad en las redes


corporativas en base a las políticas de control de acceso.

Gestión de acceso de usuario

Se deberían establecer procedimientos formales para controlar la


asignación de los permisos de acceso a los sistemas y servicios de
información.

Los procedimientos deberían cubrir todas la etapas del ciclo de vida


del acceso de los usuarios, desde del registro inicial de los nuevos usuarios
hasta su baja cuando ya no sea necesario su acceso a los sistemas y
servicios de información.

Se debería prestar especial atención, si fuera oportuno, a la necesidad


de controlar la asignación de permisos de acceso con privilegios que se
salten y anulen la eficacia de los controles del sistema.

Actividades de control del riesgo

62
7.2.1 Gestión de altas/bajas en el registro de usuarios: Debería existir
un procedimiento formal de alta y baja de usuarios con objeto de habilitar la
asignación de derechos de acceso.

7.2.2 Gestión de los derechos de acceso asignados a usuarios: Se


debería de implantar un proceso formal de aprovisionamiento de accesos a
los usuarios para asignar o revocar derechos de acceso a todos los tipos de
usuarios y para todos los sistemas y servicios.

7.2.3 Gestión de los derechos de acceso con privilegios especiales: La


asignación y uso de derechos de acceso con privilegios especiales debería
ser restringido y controlado.

7.2.4 Gestión de información confidencial de autenticación de


usuarios: La asignación de información confidencial para la autenticación
debería ser controlada mediante un proceso de gestión controlado.

7.2.5 Revisión de los derechos de acceso de los usuarios: Los


propietarios de los activos deberían revisar con regularidad los derechos de
acceso de los usuarios.

7.2.6 Retirada o adaptación de los derechos de acceso: Se deberían


retirar los derechos de acceso para todos los empleados, contratistas o
usuarios de terceros a la información y a las instalaciones del procesamiento
de información a la finalización del empleo, contrato o acuerdo, o ser
revisados en caso de cambio.

Métricas asociadas

Tiempo medio transcurrido entre la solicitud y la realización de


peticiones de cambio de accesos y número de solicitudes de cambio de
acceso cursadas en el mes anterior (con análisis de tendencias y

63
comentarios acerca de cualquier pico / valle (p. ej., "Implantada nueva
aplicación financiera este mes").

Objetivo de control

El objetivo es hacer que los usuarios sean responsables de la


protección de la información para su identificación.

Responsabilidades del usuario

La cooperación de los usuarios autorizados es esencial para una


seguridad efectiva.

Los usuarios deberían ser conscientes de sus responsabilidades en el


mantenimiento de controles de acceso eficaces, en particular respecto al uso
de contraseñas y seguridad en los equipos puestos a su disposición.

Se debería implantar una política para mantener mesas de escritorio y


monitores libres de cualquier información con objeto de reducir el riesgo de
accesos no autorizados o el deterioro de documentos, medios y recursos
para el tratamiento de la información.

Asegúrese de que se establecen las responsabilidades de seguridad y


que son entendidas por el personal afectado. Una buena estrategia es definir
y documentar claramente las responsabilidades relativas a seguridad de la
información en las descripciones o perfiles de los puestos de trabajo.

Son imprescindibles las revisiones periódicas para incluir cualquier


cambio. Comunique regularmente a los empleados los perfiles de sus
puestos (p. ej., en la revisión anual de objetivos), para recordarles sus
responsabilidades y recoger cualquier cambio.

Actividades de control del riesgo

64
7.3.1 Uso de información confidencial para la autenticación: Se
debería exigir a los usuarios el uso de las buenas prácticas de seguridad de
la organización en el uso de información confidencial para la autenticación.

Métricas asociadas

Porcentaje de descripciones de puesto de trabajo que incluyen


responsabilidades en seguridad de la información (a) totalmente
documentada y (b) formalmente aceptada.

Objetivo de control

El objetivo es impedir el acceso no autorizado a la información


mantenida por los sistemas y aplicaciones.

Control de acceso a sistemas y aplicaciones

Los medios deberían ser controlados y físicamente protegidos.

Se deberían establecer los procedimientos operativos adecuados para


proteger los documentos, medios informáticos (discos, cintas, etc.), datos de
entrada o salida y documentación del sistema contra la divulgación,
modificación, retirada o destrucción de activos no autorizadas.

Asegure los soportes y la información en tránsito no solo físico sino


electrónico (a través de las redes). Cifre todos los datos sensibles o valiosos
antes de ser transportados.

Actividades de control del riesgo

7.4.1 Restricción del acceso a la información: Se debería restringir el


acceso de los usuarios y el personal de mantenimiento a la información y
funciones de los sistemas de aplicaciones, en relación a la política de control
de accesos definida.

65
7.4.2 Procedimientos seguros de inicio de sesión: Cuando sea
requerido por la política de control de accesos se debería controlar el acceso
a los sistemas y aplicaciones mediante un procedimiento seguro de log-on.

7.4.3 Gestión de contraseñas de usuario: Los sistemas de gestión de


contraseñas deberían ser interactivos y asegurar contraseñas de calidad.

7.4.4 Uso de herramientas de administración de sistemas: El uso de


utilidades software que podrían ser capaces de anular o evitar controles en
aplicaciones y sistemas deberían estar restringidos y estrechamente
controlados.

7.4.5 Control de acceso al código fuente de los programas: Se debería


restringir el acceso al código fuente de las aplicaciones software.

Métricas asociadas

Porcentaje de soportes de backup o archivo que están totalmente


encriptados.

BASES LEGALES

Ley de Universidades:

Artículo 3. Las Universidades deben realizar una función rectora en la


educación, la cultura y la ciencia. Para cumplir esta misión, sus actividades
se dirigirán a crear, asimilar y difundir el saber mediante la investigación y la
enseñanza; a completar la formación integral iniciada en los ciclos
educacionales anteriores; y a formar los equipos profesionales y técnicos que
necesita la Nación para su desarrollo y progreso.

Artículo 9. Las Universidades son autónomas. Dentro de las pre visiones de


la presente Ley y de su Reglamento, disponen de:

66
1. Autonomía organizativa, en virtud de la cual podrán dictar sus normas
internas.

2. Autonomía académica, para planificar, organizar y realizar los programas


de investigación, docentes y de extensión que fueren necesario para el
cumplimiento de sus fines;

3. Autonomía administrativa, para elegir y nombrar sus autoridades y


designar su personal docente, de investigación y administrativo;

4. Autonomía económica y financiera, para organizar y administrar su


patrimonio.

Artículo 12. Las Universidades Nacionales tienen personalidad jurídica


y patrimonio propio, distinto e independiente del Fisco Nacional. Este
patrimonio estará integrado por los bienes que les pertenezcan o que puedan
adquirir por cualquier título legal.

67
Cuadro No 6 SISTEMA DE VARIABLES
EVENTO OBJETIVO VARIABLE DEFINICIÓN DIMENSIÓN INDICADORES TÉCNICA ITEN

Objetivo Objetivo El objetivo del presente Emisión de


1,2,3
General: especifico 1: dominio es controlar el Carnet
Diseñar un acceso por medio de un
Sistema de Diagnosticar sistema de restricciones y
Gestión de el Sistema de excepciones a la
Control de Gestión de información como base
Acceso Control de de todo sistema de
Físico y de Acceso Físico seguridad informática.
Seguridad a y de Para impedir el acceso no Registro de
las Seguridad en Control autorizado a los sistemas 4
Asistencia
instalaciones las de de información se
del CUFM Instalaciones deberían implementar Encuesta
Físico
Sede al Colegio Acceso procedimientos formales
Miranda. Universitario para controlar la Sistema 5, 6,7
Francisco de asignación de derechos Cuestionario
Lógico biométrico
Miranda Sede Físico de acceso a los sistemas
Mijares. de información, bases de
datos y servicios de
información, y estos
deben estar claramente Clave de
8,9,10
documentados, Acceso
comunicados y
controlados en cuanto a
su cumplimiento. 8, 9
Contraseña

Fuente: Pérez (2016)

EVENTO OBJETIVO VARIABLE DEFINICIÓN DIMENSIÓN INDICADORES TÉCNICA ITEN

Objetivo Objetivo Se deberían controlar los 1. Políticas de 9 12


General: especifico 2: accesos a la distribución de
Diseñar un información, los recursos la información
Sistema de Describir los de tratamiento de la y de
Gestión de elementos información y los autorizaciones
Control de del Sistema Elementos procesos de negocio en
Acceso de Gestión base a las necesidades 2. Normas y 12,14
Físico y de de Control de seguridad y de procedimiento
Seguridad a Acceso del negocio de la para asignar
las Físico de Organización. Físico permisos de
instalaciones Seguridad en Las regulaciones para el Encuesta
acceso.
del CUFM las Control de control de los accesos
Sede Instalaciones deberían considerar las 3. Control de 10,13
Miranda. acuerdo a las Acceso políticas de distribución permisos de
mejores de la información y de acceso con
prácticas. autorizaciones. Cuestionario
Lógico privilegios.
Físico
4. Normas y 12,14
procedimiento
para las
etapas del
ciclo de vida
de acceso de
los usuarios

Fuente: Pérez (2016)

68
EVENTO OBJETIVO VARIABLE DEFINICIÓN DIMENSIÓN INDICADORES TÉCNICA ITEN

Objetivo Objetivo Se deberían establecer 1. Altas/bajas 15


General: especifico 3: procedimientos formales en el registro
Diseñar un para controlar la de usuarios.
Sistema de Elaborar el asignación de los
Gestión de Sistema de permisos de acceso a los 2. Derechos 11,16
Control de Gestión de sistemas y servicios de de acceso
Acceso Control de información. asignados a
Físico y de Acceso Físico usuarios.
Seguridad a y de Los procedimientos
las Seguridad en deberían cubrir todas la 3. Derechos 10,11
instalaciones las Sistema etapas del ciclo de vida de acceso
del CUFM Instalaciones del acceso de los con privilegios
Sede del CUFM usuarios, desde del Físico Encuesta
especiales.
Miranda. Sede Mijares. Control registro inicial de los
nuevos usuarios hasta su 4. Información 11,16
de baja cuando ya no sea confidencial
Acceso necesario su acceso a los de
sistemas y servicios de autenticación
información. de usuarios.
Lógico Cuestionario
Físico
5. Revisión 17
de los
derechos de
acceso de los
usuarios.

6. Retirada o 18
adaptación de
los derechos
de acceso.

Fuente: Pérez (2016)

69
FASE III

Componente Metodológico

A partir del contexto de la propuesta de implantar un Sistema de


Gestión de Control de Acceso Físico y Seguridad en la Instalaciones. Se
formuló y conceptualizó un proyecto de investigación inserto en el enfoque
cuantitativo de la investigación científica.

Para Hernández, Fernández y Baptista (2007), el modelo de


investigación cuantitativo es definido como un proceso continuo que inicia
con el planteamiento del problema, su delimitación y las interrogantes de la
investigación; seguido por la construcción de los elementos teóricos para
orientar el estudio a partir de la literatura revisada; se define el alcance del
estudio y las variables; lo cual permitirá identificar el diseño de la
investigación, seleccionar la muestra, recolectar y analizar los datos para
finalmente elaborar el reporte con los resultados.

Motivado a que el fin de esta investigación es obtener elementos de


información que contribuyan a la a fortalecer el sistema de control de acceso
orientado a la consolidación de su práctica en el Sistema educativo
Universitario específicamente el Colegio Universitario Francisco de Miranda,
es necesario partir de un diagnóstico con la finalidad de acercarse a la
realidad objeto de estudio y explorarla para conocer su situación actual en
cuanto al dominio 9 de la ISO 27002 al implementar un sistema de gestión de
la Seguridad de la Información en las instituciones del Estado.

70
El presente estudio es una investigación exploratoria, Hurtado (2010),
expresa al respecto: este tipo de investigación busca describir el evento en
estudio mediante un diagnóstico, identificando sus características, sin
establecer elementos de causalidad.

En cuanto al diseño de la investigación, Hernández, Fernández y


Baptista (2007), lo definen como un “Plan o estrategia que se desarrolla para
obtener la información requerida en una investigación” (p.158). El diseño de
un trabajo de investigación puede ser experimental o no experimental. Los
estudios no experimentales son aquellos en los que: “Se observan los
fenómenos en su ambiente natural para luego analizarlos” (p.205).

En este sentido, el diseño de la investigación es de campo y no


experimental. Se aborda al Colegio Universitario Francisco de Miranda en su
ambiente natural, suministrándoles un cuestionario en línea, auto
administrado, para realizar la recolección de datos, explorar y analizar su
realidad, determinar el espacio de desarrollo Sistema de Control de Acceso
para generar indicadores sobre su situación actual, lo que permitirá, en un
próximo paso, evaluarla a la vista de expertos y proponer acciones que
impulsen una transformación del entorno organizacional, funcional y social en
esta casa de estudio .

Tipo de Investigación

Esto se refiere a la manera práctica y precisa que adopta para cumplir


con los objetivos, en vista de que este indica los pasos a seguir para
alcanzar el mismo lo cual para este caso se define como un proyecto factible.

Según Arias F. (2012) el objetivo de este tipo de estudios es dar


solución mediante un modelo operativo viable, tomando las características,
factores y procedimientos presentes en fenómenos y hechos que ocurren en
forma natural y elaborando un proyecto de solución· (p. 64).

71
En este sentido, tomando como base lo anteriormente señalado, se
pude indicar que es un proyecto factible debido a que se buscar dar solución
al problema a partir de la presentación de la propuesta de un Sistema de
Control de Acceso para el Colegio Universitario Francisco de Miranda.

Diseño de Investigación

El diseño de investigación, tiene que ver con todas las características


diferenciales de una investigación con respecto a otra por su naturaleza y por
su metodología y la técnica a emplear en el proceso de la búsqueda de la
verdad, al respecto se establece ciertas clasificaciones para este caso un
diseño no experimental de campo y de carácter descriptivo que permite el
tener todo el conocimiento del problema. La investigación no experimental
para este caso es aquella que se realiza sin manipular deliberadamente
variables. Es decir, es un estudio donde no se hace variar intencionalmente
las variables independientes.

Como señala Arias F. (2012). “La investigación es el estudio en la que


resulta imposible manipular variables o asignar aleatoriamente a los sujetos o
a las condiciones”. De hecho, no hay condiciones o estímulos a los cuales se
expongan los sujetos del trabajo realizado. Los sujetos son observados en su
ambiente natural.

Debido a ello, se explica lo que es un estudio de campo el cual para la


Universidad Pedagógica Experimental Libertador, UPEL (2012)

Se entiende por investigación de campo, el análisis sistemático de


problemas en la realidad, con el propósito definido bien sea de describirlos,
interpretarlos, entender su naturaleza, explicar sus causas y efectos, o
producir su ocurrencia, hacía uso de métodos característicos de cualquiera
de los paradigmas o enfoques de investigación conocidos o desarrollados.
(p. 14).

72
En este caso la investigación se catalogará como de campo en vista
de que la información se toma directamente de la realidad de las
instalaciones del Colegio Universitario Francisco de Miranda sede principal
Mijares, para implantar un Sistema de Control Interno durante al año 2016,
que es donde se observa el problema el cual requiere desarrollar estrategias
por lo cual aplica todo lo indicado.

En cuanto a los estudios descriptivos, se establece que los mismos se


utilizan cuando se desea describir una realidad en todos sus componentes
principales. Para Arias F. (2012) “consiste en caracterizar un hecho,
fenómeno o grupo de sujetos, con el fin de establecer su estructura o
comportamiento (p.173). Esto se hace, describiendo minuciosamente cada
aspecto de lo manifestado y observado por el evento estudiado.

Por su parte, Hernández y otros (2006) proponen que “en un estudio


descriptivo se selecciona una serie de cuestiones y se mide o recolecta
información sobre cada una de ellas, para así (válgase la redundancia)
describir lo que se investiga” (p.118).En esta clase de estudios el
investigador debe definir qué se va a medir y la descripción es media.

Población y muestra

A este nivel de la investigación es necesario identificar la unidad de


análisis, definir la población y delimitar la muestra de estudio. El término
población, lo define Ramírez (2007) como: “Un subconjunto del universo,
conformado en atención a un determinado número de variables” (p.73).

Para Hurtado (2010), la población está conformada por “El conjunto de


seres que poseen las características o eventos a estudiar y que se enmarcan
dentro de los criterios de inclusión” (p.140).

73
En cuanto al proceso de definición de la muestra, Hernández,
Fernández y Baptista (2007), plantean: a la hora de seleccionar una muestra,
primero es necesario establecer la unidad de análisis, definida como: “Sobre
que o quienes se recolectarán datos” (p. 236), lo que conducirá a delimitar la
población y luego la muestra, definida por el autor como “un subgrupo de la
población de interés” (p.236).

La unidad de análisis representada por el Colegio Universitario


Francisco de Miranda sede principal Mijares y la población estudiada la
constituyen todo los estudiantes, administrativos y Docentes que hacen vida
en esta casa de estudio.

Con el propósito de llevar adelante la investigación y dar respuesta a


las interrogantes planteadas, se concertó con el Consejo Directivo, División
Académica y personal de seguridad cumpliendo con este criterio de
selección, constituida de la siguiente manera: noventa (90) Administrativos y
obreros, ciento catorce (114) Docentes y sus quinientos cuarenta (540)
estudiantes. Toda esta población fue elaborada tomando en cuenta la
situación del Colegio Universitario Francisco de Miranda a mayo de 2016.

Muestra

La muestra, se puede explicar cómo una parte de la población que es


seleccionada por los investigadores para estudiar a partir del conocimiento
de sus características particulares, con la finalidad de obtener información
confiable y representativa, es como seleccionar una parte de un todo. Según
Hurtado J. (2006) la muestra de estudio dentro de los trabajo de
investigación es “el conjunto de operaciones que se realizan para estudiar la
distribución de determinados caracteres en la totalidad de una población,
universo, o colectivo, partiendo de la observación.” (p.115).

74
Apoyando lo anterior y tomando como referencia lo señalado por otros
autores de acuerdo a Palella S. Y Martins F. (2012). “Cuando se propone un
estudio, el investigador tiene dos opciones abarcar la totalidad de la
población, lo que significa hacer un censo o estudio de tipo censal o
seleccionar un número determinado de unidades.” (p.116).

Técnicas e instrumentos de Recolección de Datos

A fin de poder realizar una exhaustiva investigación y recolección de


datos que conduzcan al logro de los objetivos planteados, se estima que es
conveniente la utilización de técnicas, para este estudio la observación y el
análisis documental en libros sobre el tema para poder diagnosticar el
problema y la encuesta para conocer la opinión de los empleados.

Arias F. (2012) dice que “se entenderá por técnica, el procesamiento


de obtención de información” (p. 46). De acuerdo con lo señalado, para la
presente investigación la técnica que se utiliza permite el conocimiento
exacto de la problemática por lo cual se utiliza la encuesta.

La Observación Directa

Para el estudio, se utilizó la observación mediante el uso de los


sentidos para percibir todo lo que ocurre en las instalaciones del Colegio
Universitario Francisco de Miranda sede principal Mijares objeto de estudio
para con ello poder desarrollar las estrategias que se requieren. Palella, S y
Martins, P. (2012) indican que “la observación es una técnica que consiste
en: "el uso sistemático de nuestros sentidos orientados a la captación de la
realidad que se estudia" (p.103). Con respecto a la cita, se puede indicar que
fue una observación no participativa ya que solo se toma información del
personal en sus actividades diarias.

Instrumentos de Recolección de Datos

75
Una vez seleccionadas las técnicas a ser utilizadas durante el proceso
de investigación, es necesario utilizar determinado instrumento para captar la
información en cuanto al problema de estudio, para ello se usan una serie de
instrumentos que permiten recolectar los datos que en este caso busca
desarrollar estrategias.

Según Arias, F (2012):

Los instrumentos de recolección de datos consisten en un


formato para buscar información en la investigación
realizada sobre una muestra de sujetos representativa de un
colectivo más amplio que se lleva a cabo en el contexto de la
vida cotidiana, utilizando procedimientos estandarizados de
interrogación con el fin de conseguir mediciones sobre una
gran cantidad de características objetivas y subjetivas de la
población. (p.140).

La selección de la técnica, se acopla, al contexto en el que se


enmarca la investigación, donde la manera más efectiva de conocer la
opinión de los estudiantes, administrativos y Docentes que hacen vida en
esta casa de estudio.

El Cuestionario

Según Palella y Martins (2006) el cuestionario: “es un instrumento de


investigación que forma parte de la técnica de la encuesta. Es fácil de usar,
popular y con resultados directos”. (p.143).

Para esta investigación se toma en cuenta como instrumento de


recolección de datos el cuestionario donde se estructuran preguntas de tipo
cerrada estableciéndose opciones de posibles respuestas, del tipo selección

76
simple sí y no. Las preguntas fueron estructuradas con un orden preciso y
lógico.

Técnicas de Análisis de Datos

Las técnicas de análisis son las diferentes operaciones que se pueden


realizar con los datos obtenidos a través de los instrumentos...”, (p.70).

Para el procesamiento de datos se crearán tablas en hojas de cálculos


en las que se vaciarán los datos recolectados, para luego cuantificarlos o
cualificarlos y poder llegar a conclusiones, además de seguir cada uno de los
siguientes pasos que permitan el logro de lo esperado.

Clasificación: Es una técnica que consiste en la distribución de los


datos obtenidos en grupo.

Registro: Toda observación que se realiza para poder organizar, lo


percibido en un conjunto coherente”

El uso de estas técnicas, permitirá a la autora la clasificación y la


tabulación de la información para su posterior análisis, en este sentido se
prevé usar para la presentación de los resultados los gráficos de sectores,
los cuales permiten observan la información en forma más detallada y visual
que permitirá para este trabajo de grado desarrollar los objetivos planteados.

77
FASE IV

PRESENTACIÓN Y ANÁLISIS DE INTERPRETACIÓN DE LOS


RESULTADOS

En este Capítulo se detalla el análisis e interpretación de los


resultados obtenidos durante la investigación, los cuales están relacionados
con Diseñar un Sistema de Gestión de Control de Acceso Físico y de
Seguridad de las instalaciones del Colegio Universitario Francisco de
Miranda sede Mijares y en consecuencia guardan un estrecho vínculo con
los objetivos específicos planteados.

Para alcanzar los objetivos propuestos en la investigación fue


imperativo el contacto con la realidad, para poder brindar una evaluación
pertinente al problema planteado. En lo especifico fue necesaria la aplicación
de técnicas de recolección de datos a la población objeto de estudio; para
luego a través de la organización y análisis de los resultados, expresar
estimaciones cuantitativas.

Resultados obtenidos en cuanto al primer objetivo específico:

Con respecto al objetivo uno (1) de Diagnosticar el Sistema de


Gestión de Control de Acceso Físico y de Seguridad en las Instalaciones al
Colegio Universitario Francisco de Miranda Sede Mijares, se analizaron los
siguientes ítems:

Ítem 1¿Usted posee carnet institucional del CUFM?

78
Cuadro Nro. 7 Carnet
Ítem 1
Opciones Población Porcentaje
Si 72 97,3%
No 2 2,7%
N/S 0 0,0%
Total 74 100,0%
Fuente: Pérez (2016)

Análisis: el 97,3 % de los encuestados, expresan que posee carnet


institucional, mientras que un 2,7 % no tiene Carnet Institucional, tomando el
riesgo de la población de empleados, exista persona dentro de las
instalaciones sin identificación.

Grafico Nro. 2 carnets


2.7% 0.0%

Si
No
N/S
97.3%

Fuente: Pérez (2016)


Ítem 2 ¿Su carnet institucional del CUFM está vencido?
Cuadro Nro. 8 Carnet Vencido
Ítem 2
Opciones Población Porcentaje
Si 6 8,1%
No 67 90,5%
N/S 1 1,4%
Total 74 100,0%
Fuente: Pérez (2016)

79
Análisis: el 90,5 % de los encuestados, expresan que posee carnet
institucional renovado, mientras que un 8,1 % tiene Carnet Institucional
vencido y un 1,4% no sabe, es debido a que los procedimientos de cubrir
todas la etapas del ciclo de vida del acceso de los usuarios, desde del
registro inicial de los nuevos usuarios hasta su baja y renovación de acceso
a los sistemas y servicios de información se realizan después del comienzo
de actividades académicas.

Grafico Nro. 3 Carnet Vencido

1.4%
8.1%

Si
No
N/S
90.5%

Fuente: Pérez (2016)


Ítem 3 ¿Ha tenido dificultad para renovar su Carnet institucional del
CUFM recientemente?
Cuadro Nro. 9 Renovar Carnet
Ítem 3
Opciones Población Porcentaje
Si 10 13,5%
No 62 83,8%
N/S 2 2,7%
Total 74 100,0%
Fuente: Pérez (2016)

80
Análisis: el 83,8 % de los encuestados, expresan que posee carnet
institucional reemplazado recientemente, mientras que un 13,5 % ha tenido
dificulta para renovar el Carnet Institucional y un 2,7% no sabe, esta
situación expresa que existan empleados con carnet vencido ya que los
procedimientos de Gestión Administrativa en cuanto a las políticas (Manuales
debidamente aprobado) de Talento Humano de realizar operativos de
renovación de carnet al comienzo de actividades académicas.

Grafico Nro. 4 Renovar Carnet

2.7%
13.5%

Si
No
N/S
83.8%

Fuente: Pérez (2016)


Ítem 4 ¿En la unidad del CUFM donde usted trabaja le realizan Control
de Asistencia diariamente?

Cuadro Nro. 10 Asistencia


Ítem 4
Opciones Población Porcentaje
Si 58 78,4%
No 10 13,5%
N/S 6 8,1%
Total 74 100,0%
Fuente: Pérez (2016)

81
Análisis: el 78,4 % de los encuestados, expresan que donde trabaja le
realizan control de asistencia, mientras que un 13,5 % no le realiza control de
asistencia y un 8,1% no sabe, En la entrada y salida de cada oficina se debe
llevar las lineamientos de control de asistencia donde se debería establecer,
documentar y revisar el manejo de control de accesos en base a las
necesidades de seguridad y de funcionabilidad del CUFM.

Grafico Nro. 5 Asistencia

8.1%
13.5%

Si
No
N/S
78.4%

Fuente: Pérez (2016)

Ítem 5 ¿Usted está registrado en el sistema biométrico del CUFM


Sede Mijares?
Cuadro Nro. 11 Registro biométrico
Ítem 5
Opciones Población Porcentaje
Si 15 20,3%
No 55 74,3%
N/S 4 5,4%
Total 74 100,0%
Fuente: Pérez (2016)

82
Análisis: el 74,0 % de los encuestados, expresan no estar registrado
en el sistema biométrico, mientras que un 20,5 % se encuentra registrado, y
un 5,5% no sabe, esto evidencia que el Control de Acceso a las redes y
servicios asociados, no están registrados todos los usuarios en la data.

Grafico Nro. 6 Registro biométrico

5.4%
20.3%

Si
No
N/S
74.3%

Fuente: Pérez (2016)

Ítem 6 ¿Usted utiliza para ingresar al CUFM el Sistema de biométrico?


Cuadro Nro. 12 Uso del Sistema de biométrico
Ítem 6
Opciones Población Porcentaje
Si 9 12,2%
No 65 87,8%
N/S 0 0,0%
Total 74 100,0%
Fuente: Pérez (2016)

Análisis: el 87,8 % de los encuestados, expresan que no utiliza el


sistema biométrico para ingresar, mientras que un 12,2 % si utiliza sistema

83
biométrico para ingresar, para el Control de Acceso en la Gestión
Administrativa y de Seguridad, deben estar registrados todos los funcionarios
en la data para llevar de control de asistencia.

Grafico Nro. 7 Uso del Sistema de biométrico

0.0%
12.2%

Si
No
N/S
87.8%

Fuente: Pérez (2016)

Ítem 7 ¿Usted ha participado en operativo para incorporarlo el Sistema


de biométrico del CUFM?

Cuadro Nro. 13 operativo para incorporarlo


Ítem 7
Opciones Población Porcentaje
Si 9 12,2%
No 65 87,8%
N/S 0 0,0%
Total 74 100,0%
Fuente: Pérez (2016)

84
Análisis: el 87,8 % de los encuestados, expresan que no ha
participado en operativo de incorporación al sistema biométrico, mientras que
un 12,2 % si ha participado en operativo, se debe cumplir los procedimientos
para cubrir todas la etapas del ciclo de vida del acceso de los usuarios,
desde del registro inicial de los nuevos usuarios hasta su baja y renovación
de acceso a los sistemas y servicios de información.

Grafico Nro. 8 operativo para incorporarlo

0.0%
12.2%

Si
No
N/S
87.8%

Fuente: Pérez (2016)


Ítem 8 ¿Sistema de biométrico reconoce su huella dactilar para
ingresar al del CUFM Sede Mijares?
Cuadro Nro. 14 huella dactilar
Ítem 8
Opciones Población Porcentaje
Si 15 20,3%
No 52 70,3%
N/S 7 9,5%
Total 74 100,0%
Fuente: Pérez (2016)

Análisis: el 70,3 % de los encuestados, expresan que no le reconoce


sistema de biométrico la huella el sistema biométrico, mientras que un 20,3

85
% si le reconoce la huella, mientras que 9,5% no sabe, Se bebe contar con
políticas de procedimientos formalmente aprobado que establezca que al
contratar el personal en la institución deben ser incorporado de inmediato en
el Sistema Biométrico para el Control de Acceso en el CUFM sede Mijares.

Grafico Nro. 9 huella dactilar

9.5%
20.3%

Si
No
N/S
70.3%

Fuente: Pérez (2016)

Resultados obtenidos en cuanto al primer objetivo específico

De los Ítems uno (1) al ocho (8) analizados y que expresan en cada
una de las encuesta realizadas afín de determinar el diagnostico en el
Sistema de Gestión de Control de Acceso Físico, se observan que una parte
de la población encuestada no tiene Carnet Institucional, tomando el riesgo
de la población de empleados, que exista personas dentro de las
instalaciones sin identificación, vulnerando la Métricas Asociadas del
Porcentaje de sistemas y aplicaciones colectivas para los que los personal
de seguridad examine toda la población que ha sido identificada, llevado a

86
cabo la revisiones de accesos y seguridad de aplicaciones, basadas en
riesgo y las reglas de control de acceso basadas en roles.

Así mismo, una parte de la población encuestada tiene Carnet


Institucional vencido, no llevando los procedimientos de cubrir todas la
etapas del ciclo de vida del acceso de los usuarios, desde del registro inicial
de los nuevos usuarios hasta su baja y renovación de acceso a los sistemas
y servicios de información, del mismo modo, una parte de la población
encuestada ha tenido dificulta para renovar el Carnet Institucional, esta
situación de que existan empleados con carnet vencido no se cumplen los
procedimientos de cubrir todas la etapas del ciclo de vida del acceso de los
usuarios, al mismo tiempo, una parte de la población encuestada manifestó
que no le realiza control de asistencia, en la entrada y salida de cada oficina
se debe llevar las lineamientos de control de asistencia donde se debería
establecer, documentar y revisar el manejo de control de accesos en base a
las necesidades de seguridad y de funcionabilidad del CUFM.

Por otra parte la mayoría de los encuestados, expresan no estar


registrado en el sistema biométrico, esto evidencia que el Control de Acceso
a las redes y servicios asociados, no están registrados todos los
Administrativos, Obreros y Docentes en la data usuarios de los accesos a
redes y los servicios de red para los que han sido expresamente autorizados
a utilizar, e implantar un procedimiento formal de alta y baja de usuarios con
objeto de habilitar la asignación de derechos de acceso, también esa
mayoría de la población encuestada, expresan que no utiliza el sistema
biométrico para ingresar, esto acarrea un alerta en el Sistema de Gestión
Control de Acceso Físico en la Gestión Administrativa y de Seguridad, ya que
al no estar registrados todos los Administrativos, Obreros y Docentes se
vulnera las funciones de de control de asistencia responsabilidad laboral en
detrimento de el cumplimiento de la función como Instituto de formación para

87
la cual fue constituida, al no contar con la Política asertiva de cumplimiento
de horario administrativo implantado para todos sus empleados.

Del mismo modo podemos observar que la mayoría de los


encuestados, expresan que no ha participado en operativo de incorporación
al sistema biométrico, en los procedimientos de la gestión administrativa de
Oficina de Gestión de Talento Humano y Oficina de Tecnología de
Información y Comunicación, debe aplicar las políticas que establezca que al
contratar el personal en la institución deben ser incorporado de inmediato en
el Sistema Biométrico para el Sistema de Gestión de Control de Acceso
Físico en el CUFM sede Mijares.

De todo lo anteriormente expuesto como resultados de las encuesta


podemos determinar que el Consejo Directivo conjuntamente con la Oficina
de Gestión de Talento Humano, la Oficina de Tecnología de Información y
Comunicación y la Oficina de Seguridad Integral, Ambiente y Salud en el
Trabajo, debe trazar la Políticas y directrices para desarrolla el instrumento
actualizado de las Normas y procedimiento para el Sistema de Control de
Acceso de manera de regularizar los procesos de gestión administrativa del
CUFM.

Con respecto al objetivo dos de describir los elementos del Sistema de


Gestión de Control Acceso Físico de Seguridad en las Instalaciones de
acuerdo a las mejores prácticas Sede Mijares, se analizaron los siguientes
ítems:

Ítem 9 ¿Usted conoce las políticas de regulación, para de control de


acceso del CUFM Sede Mijares?
Cuadro Nro. 15 Políticas de regulación
Ítem 9
Opciones Población Porcentaje
Si 18 24,3%

88
No 53 71,6%
N/S 3 4,1%
Total 74 100,0%
Fuente: Pérez (2016)

Análisis: el 71,6 % de los encuestados, expresan no conocer las


políticas de regulación para el control de acceso físico, mientras que un 24,3
% si conoce las políticas, mientras que 4,1% no sabe, todo esto manifiesta
consecuencia en el comportamiento permisivos y regulador en dentro de la
Institución, al no contar con estándares y mejores prácticas (debidamente
implantados) que permitan asegurar el correcto funcionamiento de la
Gestión de altas/bajas en el registro de usuarios donde debería existir un
procedimiento (Manuales) formal de alta y baja de usuarios con objeto de
habilitar la asignación de derechos de acceso.

Grafico Nro. 10 políticas de regulación

4.1%

24.3%

Si
No
N/S
71.6%

Fuente: Pérez (2016)

Ítem 10 ¿Usted posee privilegios especiales de Control de Acceso al


CUFM Sede Mijares?

Cuadro Nro. 16 Privilegios especiales

89
Ítem 10
Opciones Población Porcentaje
Si 1 1,4%
No 70 94,6%
N/S 3 4,1%
Total 74 100,0%
Fuente: Pérez (2016)

Análisis: el 94,6 % de los encuestados, expresan que no posee


privilegios especiales de Control de Acceso Físico, mientras que un 1,4 % si
posee privilegios, mientras que 4,1% no sabe, no obstante solo la Oficina de
Tecnología de Información y Comunicación y la Oficina de Seguridad
Integral, maneja la integridad y cooficialidad en Gestión de los derechos de
acceso físico con privilegios especiales de acuerdo a las mejores prácticas
expresados en los estándares establece que la asignación y uso de derechos
de acceso con privilegios especiales debe ser restringido y controlado.

Grafico Nro. 11 Privilegios especiales

4.1%1.4%

Si
No
N/S
94.6%

Fuente: Pérez (2016)

90
Ítem 11 ¿Usted conoce las políticas de admisión para ingresar a las
instalaciones del CUFM?

Cuadro Nro. 17 Políticas de admisión


Ítem 11
Opciones Población Porcentaje
Si 34 45,9%
No 35 47,3%
N/S 5 6,8%
Total 74 100,0%
Fuente: Pérez (2016)

Análisis: el 47,3 % de los encuestados, expresan no conocer las


políticas de admisión para ingresar a las instalaciones, mientras que un 45,9
% manifiesta si conocerlas, mientras que 6,8% no sabe, una parte de la
población encuestada no tiene conocimiento de las políticas de admisión a
las instalaciones del CUFM, se debe difundir las políticas de admisión que
controle la conducta, vestimenta y respecto y las buenas costumbres que se
debe tener dentro de la institución una vez ingresado a ella.

Grafico Nro. 12 Políticas de admisión

6.8%

45.9%

Si
47.3% No
N/S

Fuente: Pérez (2016)

91
Ítem 12 ¿Usted conoce las normas y procedimiento para la
autorización de control de acceso del CUFM Sede Mijares?

Cuadro Nro. 18 Normas y Procedimiento


Ítem 12
Opciones Población Porcentaje
Si 18 24,3%
No 50 67,6%
N/S 6 8,1%
Total 74 100,0%
Fuente: Pérez (2016)

Análisis: el 67,6 % de los encuestados, expresan que la población no


conoce las normas y procedimientos para autorización de control de acceso
físico, mientras que un 24,3 % manifiesta si conocerlas, y un 8,1% no sabe,
se debe establecer y difundir los Manuales de Normas y Procedimiento de
Control de Acceso, que lleve las mejores práctica de permanencia y retirada
de la institución.

Grafico Nro. 13 Normas y Procedimiento

8.1%
24.3%

Si
No
N/S
67.6%

92
Fuente: Pérez (2016)

Ítem 13 ¿Usted cree que existen controles para asignar los privilegios
especiales de Control de Acceso físico al CUFM Sede Mijares?

Cuadro Nro. 19 Controles de privilegios


Ítem 13
Opciones Población Porcentaje
Si 13 17,6%
No 36 48,6%
N/S 25 33,8%
Total 74 100,0%
Fuente: Pérez (2016)

Análisis: el 48,6 % de los encuestados, expresan que la población no


sabe que existen privilegios especiales para el control de acceso físico,
mientras que un 17,6 % muestra si conocerlos, no obstante, que un 33,8%
no sabe que existen, solo la Oficina de Tecnología de Información y
Comunicación y la Oficina de Seguridad Integral, deben establecer las
asignaciones especiales para el control de acceso de acuerdo a la mejores
prácticas.

Grafico Nro. 14 Controles de privilegios

93
17.6%
33.8%

Si
No
N/S
48.6%

Fuente: Pérez (2016)

Ítem 14 ¿Usted conoce las normas y procedimiento en el registro de


usuarios del CUFM?

Cuadro Nro. 20 Registro de usuarios


Ítem 14
Opciones Población Porcentaje
Si 26 35,1%
No 41 55,4%
N/S 7 9,5%
Total 74 100,0%
Fuente: Pérez (2016)

Análisis: el 55,4 % de los encuestados, expresan que la población no


conoce las normas y procedimientos para registro de usuarios, en cuanto
que un 35,1 % manifiesta si conocerlas, mientras que 9,5% no sabe, esto
deriva a que se debe coordinar el Sistema de Información que sea de
conocimiento público en cuanto divulgación de las normas y procedimientos
una vez sea debidamente aprobada por el Consejo Directivo para su
implementación y puesta en marcha de acuerdo a las leyes que rigen la
materia y a los estándares y las mejores prácticas que establecen que

94
cuando sea requerido por la política de control de accesos se debería
controlar el acceso a los sistemas y aplicaciones mediante un procedimiento
seguro de log-on

Grafico Nro. 15 Registro de usuarios

9.5%

35.1%

Si
No
55.4% N/S

Fuente: Pérez (2016)

Resultados obtenidos en cuanto al segundo objetivo específico

De los Ítems diez (10) al catorce (14) analizados y que expresan en


cada una de las encuesta realizadas afín de describir los elementos del
Sistema de Gestión de Control Acceso Físico de Seguridad en las
Instalaciones acuerdo a las mejores prácticas, se observa que gran parte de
los encuestados, expresan no conocer las políticas de regulación para el
control de acceso físico, todo esto muestra consecuencia de la sistema de
información que divulgue las políticas de Control de Acceso Físico de
acuerdo con estándares y mejores prácticas que permiten asegurar el
correcto funcionamiento de la Gestión de altas/bajas en el registro de
usuarios donde debería existir un procedimiento formal de alta y baja de
usuarios con objeto de habilitar la asignación de derechos de acceso.

95
Del mismo modo, un grupo de los encuestados, expresan que si
posee privilegios, no obstante solo la Oficina de Tecnología de Información y
Comunicación y la Oficina de Seguridad Integral, maneja la integridad y
cooficialidad en Gestión de los derechos de acceso con privilegios especiales
de acuerdo a las mejores prácticas expresados en los estándares establece
que la asignación y uso de derechos de acceso con privilegios especiales
debe ser restringido y controlado.

También parte de los encuestados, expresan no conocer las políticas


de admisión para ingresar a las instalaciones, se debe difundir las políticas
de admisión que controle la conducta, vestimenta y respecto y las buenas
costumbres que se debe tener dentro de la institución una vez ingresado a
ella. Donde se debe establecer de acuerdo a los procedimientos de la
gestión administrativa de Oficina de Gestión de Talento Humano y Oficina de
Tecnología de Información y Comunicación, que al contratar el personal en la
institución debe hacerles del conocimiento las políticas, todo esto de acuerdo
a las estándares y las mejores prácticas que establece que la revisión de los
derechos de acceso de los usuarios como los responsables de los activos
que deberían revisar con regularidad los derechos de acceso de los usuarios.

Así mismo gran parte de los encuestados, expresan que la población


no conoce las normas y procedimientos para autorización de control de
acceso físico, esta situación vulnera el acceso, permanencia y retirada de la
institución al no contar con un Instrumento válidamente aprobado por el
Consejo Directivo y con las directrices de implantación y ejecución para
emplear un Sistema de Gestión de Control de Acceso Físico que incluya la
retirada o adaptación de los derechos de acceso donde se deberían retirar
los derechos de acceso para todos los empleados, contratistas o usuarios de
terceros a la información y a las instalaciones del procesamiento de
información a la finalización del empleo, contrato o acuerdo, o ser revisados
en caso de cambio.

96
Por otra parte un grupo de los encuestados, expresan que la población
muestra conocer que si existen privilegios especiales para el control de
acceso físico, no obstante, solo la Oficina de Tecnología de Información y
Comunicación y la Oficina de Seguridad Integral, conjuntamente con la
directrices de Consejo Directivo deben establecer las asignaciones
especiales para el control de acceso físico de acuerdo con las estándares y
mejores prácticas que establece que la Gestión de los derechos de acceso
físico con privilegios especiales en donde la asignación y uso de derechos de
acceso con privilegios especiales debería ser restringido y controlado.

Además la mitad de los encuestados, expresan no conocer las normas


y procedimientos para registro de usuarios, esto deriva a que se debe
coordinar el Sistema de Información donde sea de conocimiento público las
normas y procedimientos debidamente aprobada por el Consejo Directivo
para su debida implementación y puesta en marcha de acuerdo a los
estándares y las mejores que establecen que cuando sea requerido por la
política de control de accesos se debería controlar el acceso a los sistemas y
aplicaciones mediante un procedimiento seguro de log-on.

Con respecto al objetivo tres (3) de Elaborar el Sistema de Control de


Acceso y de Seguridad en las Instalaciones en el Colegio Universitario
Francisco de Miranda Sede Mijares, se analizaron los siguientes ítems:

Ítem 15 ¿Usted ha sido desincorporado sistema de biométrico del


CUFM?

Cuadro Nro. 21 desincorporación


Ítem 15
Opciones Población Porcentaje
Si 3 4,1%
No 48 64,9%
N/S 23 31,1%
Total 74 100,0%

97
Fuente: Pérez (2016)

Análisis: el 64,9 % de los encuestados, expresan que la población no


ha sido desincorporada del sistema biométrico, mientras que un 4,1 %
manifiesta ha sido desincorporado, mientras que 31,1% no sabe, solo que se
produzca un cese de las funciones en la institución es que la Oficina de
Tecnología de Información y Comunicación y la Oficina de Seguridad
Integral, es que realiza la desincorporación del sistema biométrico, tal como,
establece las mejores prácticas de los estándares que señala que para el
uso de herramientas de administración de sistemas, implanta el uso de
utilidades software que podrían ser capaces de anular o evitar controles en
aplicaciones y sistemas deberían estar restringidos y estrechamente
controlados.

Grafico Nro. 16 desincorporación

4.1%

31.1%

Si
No
64.9% N/S

Fuente: Pérez (2016)

98
Ítem 16 ¿Usted maneja información confidencial sobre el Control de
Acceso Físico al CUFM Sede Mijares?
Cuadro Nro. 22 Información Confidencial
Ítem 16
Opciones Población Porcentaje
Si 2 2,7%
No 70 94,6%
N/S 2 2,7%
Total 74 100,0%
Fuente: Pérez (2016)

Análisis: el 94,6 % de los encuestados, expresan que la población no


maneja información confidencial de control de acceso físico, mientras que un
2,7 % manifiesta si conocerla, y el 2,7% no sabe, lo que manifiesta un riesgo
que personas ajenas tengan conocimiento de información que solo debe
manejar la Oficina de Tecnología de Información y Comunicación y la Oficina
de Seguridad Integral y los cargos de confianza de la institución.

Grafico Nro. 17 Información Confidencial

2.7% 2.7%

Si
No
N/S

94.6%

99
Fuente: Pérez (2016)

Ítem 17 ¿Usted le han requisado al ingresar al CUFM?

Cuadro Nro. 23 Requisado


Ítem 17
Opciones Población Porcentaje
Si 4 5,4%
No 70 94,6%
N/S 0 0,0%
Total 74 100,0%
Fuente: Pérez (2016)
Análisis: el 94,6 % de los encuestados, expresan que la población no
lo han requisado al ingresar, mientras que un 5,4 % manifiesta si haber sido
requisado, esto representa un riesgo de Control de Acceso ya que todo
ingreso debe ser requisado por medida de seguridad de acuerdo con las
mejores prácticas de los estándares que señala que se debería restringir el
acceso a todos a los que no cumplan la formalidad de las políticas de
restricción para el ingreso a la Institución.
Grafico Nro. 18 Requisado

5.4%

Si
No
N/S
94.6%

Fuente: Pérez (2016)

100
Ítem 18 ¿Usted le han imposibilitado el ingreso al CUFM?

Cuadro Nro. 24 Ingreso


Ítem 18
Opciones Población Porcentaje
Si 4 5,4%
No 70 94,6%
N/S 0 0,0%
Total 74 100,0%
Fuente: Pérez (2016)

Análisis: el 94,6 % de los encuestados, expresan que la población no


le han imposibilitado el ingreso, mientras que un 5,4 % manifiesta si haber
sido imposibilitado ingresar, a fin de minimizar riesgo se debe comprobar la
autenticidad para validad el ingreso o no a las Instalaciones.

Grafico Nro. 19 Ingreso

5.4%

Si
No
N/S

94.6%

Fuente: Pérez (2016)

101
Resultados obtenidos en cuanto al tercer objetivo específico

De los Ítems quince (15) al dieciocho (18) analizados y que expresan


en cada una de las encuesta realizadas afín de Elaborar el Sistema de
Gestión de Control de Acceso Físico y de Seguridad en las Instalaciones en
el Colegio Universitario Francisco de Miranda Sede Mijares, se observa que
una parte de los encuestados, manifiesta que han sido desincorporado, solo
que se produzca un cese de las funciones en la institución es cuando la
Oficina de Tecnología de Información y Comunicación y la Oficina de
Seguridad Integral, realiza la desincorporación del sistema biométrico, tal
como se establece las mejores prácticas de los estándares que señala que
para el uso de herramientas de administración de sistemas, implanta el uso
de utilidades software que podrían ser capaces de anular o evitar controles
en aplicaciones y sistemas deberían estar restringidos y estrechamente
controlados.

Por otra parte los encuestados, expresan que una parte de la


población maneja información confidencial de control de acceso físico, esto
manifiesta un riesgo que personas ajenas al TI tengan conocimiento de
información que solo debe manejar la Oficina de Tecnología de Información y
Comunicación y la Oficina de Seguridad Integral y los cargos de confianza de
la institución.

Además gran parte de los encuestados, expresan que no lo han


requisado al ingresar, esto representa un riesgo de Control de Acceso Físico
ya que todo ingreso debe ser requisado por medida de seguridad de acuerdo
con las mejores prácticas de los estándares que señala que se debería
restringir el acceso a todos a los que no cumplan la formalidad de las
políticas de restricción para el ingreso a la Institución, así mismo, un grupo de
los encuestados, expresan que la población no le han imposibilitado el

102
ingreso, a fin de minimizar riesgo se debe comprobar la autenticidad para
validad el ingreso o no a las Instalaciones.

Todo esto concluye que se deben sumar esfuerzos para garantizar


que establezcan políticas coherentes en los usos de la tecnología y controles
de seguridad física que garanticen que todo el personal que haga vida en la
Institución se encuentre informado y seguro de todos los de los
procedimientos de la Gestión administrativa para el ingreso a las
instalaciones.

103
FASE V

Conclusiones y Recomendaciones

CONCLUSIONES

Una vez mostrado cada una de los resultados obtenido de las


preguntas de las encuesta podemos concluir que existe fallas en el Control
de Acceso Físico en el Colegio Universitarios Francisco de Miranda ya que
se encontró dentro de la población encuestada personas si carnet
institucional, carnet vencidos y problemas para renovar el carnet, que es un
riesgo da control de la gestión administrativa al no implantar mecanismos
derivados a que una vez de tener un nuevo ingreso a la institución la Oficina
de Gestión de Talento Humano se debe procesar un carnet institucional, así
como los operativos de renovación de carnet que la Institución realiza cada
año se debe realizar al comienzo del año administrativo.

También determino que hay unidades que no realizan control de


asistencia de entrada y salida por departamento donde se debe generalizar
las políticas de control de Asistencia, por otra parte, se determino que existen
personas dentro de la institución que no están incluidos en el sistema
biométrico o al menos desconoce que están integrado al Capta Huella donde
la Oficina de Tecnología de Información y Comunicación y la Oficina de
Seguridad Integral debe realizar operativo para ingresar o renovar los
usuarios en la data del sistema biométrico de la Institución.

Igualmente se observo dentro de los encuestados que hay


desinformación en cuanto a las políticas de regulación de Control de Acceso
Físico, donde el Consejo Directivo debe evocar directrices a través de su

104
estructura organizativa crear en el proceso de modernización llevado a cabo
y crear una Oficina de Divulgación y Comunicación Institucional que se
encargue de promover cada una de las políticas internas así como
lineamientos ministeriales para mantener informado toda la comunidad del
CUFM, donde se haga del conocimiento las políticas regulación del Sistema
de Gestión de Control de Acceso Físico, Políticas de admisión, Normas y
procedimientos de autorización de Control de Acceso Físico, de Registro de
usuarios, entre otros.

Además, se determino que existen personas que poseen privilegios


especiales e información Confidencial de Control de Acceso Físico, donde la
Oficina de Gestión de Talento Humano conjuntamente con la Oficina de
Tecnología de Información y Comunicación y la Oficina de Seguridad
Integral, debe asegurar y resguardar la fuga de información institucional
corriendo el riesgo de comprometer información confidencial de
funcionamiento operativo.

RECOMENDACIONES

Como resultado de este estudio de investigación que se origina en


Diseñar un Sistema de Gestión de Control de Acceso Físico y de Seguridad
de las instalaciones del Colegio Universitario Francisco de Miranda sede
Mijares; permitió detectar la presencia de debilidades y riesgos que atentan
contra la eficiencia y eficacia en el cumplimiento de los objetivos para los cual
fue creada esta Institución, con base a ello, se establecen como
recomendaciones, la aplicación de las siguientes medidas esperando que las
mismas sirvan de lineamientos para generar un Sistema de Gestión de
Control de Acceso Físico afín de fortalecer los procesos de la organización
de presentan a continuación las siguiente recomendaciones:

1. La Oficina de Gestión de Talento Humano debe procesar un carnet


institucional una vez de tener un nuevo ingreso a la institución.

105
2. Antes del comienzo del año administrativo realizar operativos de
renovación de carnet.
3. Cada Oficina debe realizan control de asistencia de entrada y salida de
sus empleados.
4. La Oficina de Tecnología de Información y Comunicación y la Oficina de
Seguridad Integral debe realizar operativo para ingresar o renovar los
usuarios en la data del sistema biométrico de la Institución.
5. Consejo Directivo debe evocar directrices a través de su estructura
organizativa y crear en el marco del proceso de modernización una
Oficina de Divulgación y Comunicación Institucional que se encargue de
promover cada una de las políticas internas así como lineamientos
ministeriales para mantener informado toda la comunidad del CUFM.
6. El Consejo Directivo de velar por actualizar y desarrollar el Manual de
Normas y procedimientos de Registro de Usuarios.
7. El Consejo Directivo de velar por actualizar y desarrollar el Normas y
Procedimiento para la Autorización de Control de Acceso Físico.
8. El Consejo Directivo conjuntamente con la Oficina de Tecnología de
Información y Comunicación y la Oficina de Seguridad Integral debe velar
por actualizar y desarrollar el Manuales para desarrollar la Data integrada
del Sistema Biométrico del CUFM.
9. El Consejo Directivo conjuntamente con La Oficina de Gestión de Talento
Humano, debe velar por actualizar y desarrollar el Manuales para otorgar
privilegios especiales y manejo de Información Confidencial del Sistema
de Gestión de Control de Acceso Físico al CUFM.

106
FASE VI

PROPUESTA

En esta Fase plantea la propuesta de la investigación, la cual está


conformada a Diseñar un Sistema de Gestión de Control de Acceso Físico y
de Seguridad de las instalaciones del Colegio Universitario Francisco de
Miranda sede Mijares.

El objetivo fundamental es crear una propuesta que contenga los


pasos y elementos para implantar un Sistema de Gestión de Control de
Acceso Físico se realice lo mas objetivamente posible, al tiempo que permita
tomar los correctivos para disminuir los riesgos en la Institución, aumentar los
procesos de control y aumentar la seguridad.

Se requiere que este diseño sea aplicado en el corto plazo con el fin
de propiciar el comienzo de los cambios que mejore el sistema de control de
acceso dentro de la institución.

Presentación de la propuesta

El proyecto que se desarrolla, se propone Diseñar un Sistema de


Control de Acceso y de Seguridad de las instalaciones del Colegio
Universitario Francisco de Miranda sede Mijares, subsanar circunstancias
que acarrean descontrol e inseguridad y en buscar minimizar los riesgos de
pérdida de bienes públicos, herramientas y otros objetos de valor, así como
también la entrada de personal no autorizados brindando más seguridad
tanto para el personal administrativo, docentes y toda la comunidad
Institución.

107
Así mismo surge la necesidad de transformación de la Institución,
debe tomarse en cuenta que al ingresar por un sistema de control acceso
físico (capta huella) para los administrativos y obreros, personal docente,
estudiantes, y visitantes, y al no llevar control de acceso físico, se incurre en
gastos innecesarios de papelería, horas administrativas en la División
Académica y la Oficina de Gestión de Talento Humano para registrar y llevar
control de horarios de entrada y salida de todos sus trabajadores y alumnos.

Por otra parte, el Consejo Directivo debe dar al personal de seguridad,


a todos los trabajadores y estudiantes los instrumentos para el desarrolla el
Sistema de Gestión de Control de Acceso Físico, seguridad y resguardo de
las instalaciones, como son los Manuales de Normas y Procedimiento para
Registro de Usuarios, de Autorización de Control de Acceso Físico y el
Manuales Registro en la Data del Sistema Biométrico y otros instrumentos
necesarios para legalizar el proceso de Gestión administrativo de ingreso a la
institución

Justificación del la Propuesta

El Plan se justifica porque está dirigido a subsanar progresivamente


las fallas que arrojo el análisis de las encuestas realizadas de manera de que
sea un beneficio para los procedimiento de Gestión Administrativas de la
Oficina de Gestión de Talento Humano de los y establecer la mejores
prácticas en la Oficina de Tecnología de Información y Comunicación y la
Oficina de Seguridad Integral, todas esta propuesta debe ser aprobada por el
Consejo Directivo y pronta puesta en marcha a fin de minimizar los riesgos y
resguardos de las instalaciones, bienes y seguridad de los empleados,
estudiante y visitantes.

Objetivo General de la propuesta

108
Diseñar un Sistema de Gestión de Control de Acceso Físico y de
Seguridad de las instalaciones del Colegio Universitario Francisco de
Miranda sede Mijares.

Objetivos Específicos de la Propuesta

Prevenir los eventuales eventos que vulneren el Control de Acceso Físico y


Seguridad las Instalaciones en el Colegio Universitario Francisco Miranda
sede Mijares.

Implantar los elementos en el Sistema de Gestión de Control de Acceso


Físico y Seguridad las Instalaciones en el Colegio Universitario Francisco
Miranda sede Mijares.

Desarrollar el Sistema de Gestión de Control de Acceso Físico y Seguridad


de las Instalaciones en el Colegio Universitario Francisco Miranda sede
Mijares.

Seguimientos al Sistema de Gestión de Control de Acceso Físico y


Seguridad de las Instalaciones en el Colegio Universitario Francisco Miranda
sede Mijares.

Estudio de la Usuario

Análisis del perfil de la población que es asidua en el ingreso y permanencia


en Colegio Universitario Francisco de Miranda sede Mijares, en sus
actividades y áreas que comúnmente visitan o permanecen, afín de tener
una visión practicas de la áreas y actividades que realizan una vez que
ingresa a la institución los diferentes usuarios.

109
Cuadro No. 25 Perfil de Usuario Alumno
ANÁLISIS DEL PERFIL DEL USUARIO
De acurdo a los estudios realizadas del usuario o habitante, lo podemos dividir en
permanentes y temporales.
Respecto al alumno (temporales):
Alumnos Temporales
Actividades Estudiar, tomar clases, hacer tareas,
dirigirse al edificio, ingresar al edificio,
usar sanitarios, checar actividades
relacionadas con la Institución, consultar
cuestiones académicas, conferencia y
exposiciones, comer, beber o convivir,
clases teóricas, clases prácticas, clases
por computadora, comprar material.
Espacio Entrada, Control de Acceso Físico
(pasillo de entrada y salida) se dirige:
Patio, Centro estudiantil, cafetería,
Control de Estudio, vestíbulo, sanitarios,
reproducción, Servicio Médico.
Entrada, Control de Seguridad (pasillo
de entrada y salida) se dirige: Pasillos,
Ascensor, Escaleras, pisos (1, 2, 3, 4 y
5) Aulas, Dirección, Subdirección,
División Académica, Cubículos para
Profesores Coordinadores oficina
audiovisual, Gimnasio, laboratorio de
Informática.
Fuente: Pérez (2016)

110
Cuadro No. 26 Perfil de Usuario Profesor

ANÁLISIS DEL PERFIL DEL USUARIO


De acurdo a los estudios realizadas del usuario o habitante, lo podemos dividir en
permanentes y temporales.
Respecto a Profesores (temporales y/o permanentes):
Profesores Temporales y/o Permanentes
Actividades Llegar, ingresar al edificio, registrare
entrada en Control de Acceso, impartir
clase teórica o practica, ir al sanitario,
checar actividades relacionadas con
calificaciones, consultar cuestiones
académicas, exponer obra, asistir a
alguna exposición, comer, beber o
convivir, planeación o preparación de
clase, revisión de trabajos y
calificaciones.
Espacio Entrada, Control de Acceso Físico
(pasillo de entrada y salida) se dirige:
Patio, cafetería, Control de Estudio,
vestíbulo, sanitarios, reproducción,
Servicio Médico.
Entrada, Control de Seguridad (pasillo
de entrada y salida) se dirige: Pasillos,
Ascensor, Escaleras, pisos (1, 2, 3, 4 y
5) Aulas, Dirección, Subdirección,
División Académica, Cubículos de
Profesores Coordinadores, Oficina
Audiovisual, Gimnasio, Laboratorio de
Informática.
Fuente: Pérez (2016)

111
Cuadro No. 27 Perfil de Usuario Empleado
ANÁLISIS DEL PERFIL DEL USUARIO
De acurdo a los estudios realizadas del usuario o habitante, lo podemos dividir en
permanentes y temporales.
Respecto a empleados (temporales y/o permanentes):
Profesores Temporales y/o Permanentes
Actividades Llegar, ingresar al edificio, registrarse
entrada en Control de Acceso, Dirigirse
a su Oficina de Trabajo, realizar Control
de Asistencia, realizar actividades
relacionadas con otras oficinas, tramitar
actividades académicas, asistir a alguna
reuniones relacionadas con otras
oficinas, asistir a Alumnos, Profesores,
comer, beber, ir al sanitario o convivir,
planeación o preparación de actividades
relacionadas académicas.
Espacio Entrada, Control Acceso Físico (pasillo
de entrada y salida) se dirige: Patio,
cafetería, Control de Estudio, vestíbulo,
sanitarios, reproducción, Servicio
Médico.
Entrada, Control de Seguridad (pasillo
de entrada y salida) se dirige: Pasillos,
Ascensor, Escaleras, pisos (1, 2, 3, 4 y
5) Aulas, Dirección, Subdirección,
División Académica, Cubículos de
Profesores Coordinadores, Oficina
Audiovisual, Gimnasio, Laboratorio de
Informática.
Fuente: Pérez (2016)

112
Grafico No. 20 Diagrama de Flujo

Fuente: Pérez (2016)

113
Grafico No 21 foto satelital del CUFM

Fuente: Google Maps (2014)

114
Propuesta de diseño de control de Acceso

Para corregir progresivamente la actual situación es necesario


implementar Sistema de Gestión de Control de Acceso Físico. En este
sentido, el presente métodos propone diseño y guía de Control de Acceso
para prevención, minimizar los riesgo, la vulnerabilidad que podrá tomarse en
cuenta por el Consejo Directivo para implementarse en el CUFM. La
estructura de la propuesta comprende: 1) Seguridad, 2) Amenazas y Riegos,
3) Prevención, 4) Medios técnicos de Protección, 5) Programa de Seguridad.
Plan de Seguridad Física, 6) Respuesta Planes Complementarios, 7) Manual
de Operaciones de Seguridad, 8) Planes de Seguridad de Objetivos
Especiales. Diagnostico de Seguridad.

1. Seguridad

Objetivo de Seguridad:

Proveer conocimientos sobre tipo y naturaleza de las amenazas a la


seguridad y las contramedidas adecuadas, analizando los medios de
seguridad física y los equipos de última tecnología con sus capacidades y
limitaciones.

Seguridad

Interrelación dinámica (competencia) entre Protector y Delincuente


para obtener (o conservar) el Bien, enmarcado en una situación dada.

Características

 El Protector no siempre es el poseedor del Bien.


 El Delincuente no siempre aspira a poseer el Bien.
 Delincuente y Protector pueden delegar sus objetivos en un tercero por
otro Bien o por dinero.

115
 El Bien puede ser intangible (honor, virtud, conocimiento,...)
 La situación del entorno puede ser distinta e influenciar las tres figuras.
Grafico No 22 Tres Entorno de Seguridad

Fuente: Chomba (2008)

Cuadro No 28 Glosario de Seguridad


Percepción de asociar el costo de la seguridad al
Costo- beneficio
valor de los bienes que protege
Cambio en el estado de un bien que es
Daño
considerado grave por su propietario
Falla en el Sistema de Seguridad. Si el agresor la
Debilidad
reconoce se transforma en vulnerabilidad
Frecuencia Eventos que transcurren por unidad de tiempo

Estimación sobre la importancia de un impacto


Impacto o gravedad
potencial.

Manual de Documento que contiene la normativa y los


Operaciones de procedimientos de Seguridad para toda la
Seguridad (MOS) Organización
Actitud imprudente de mostrar un BIEN como un
Notoriedad
blanco rentable.
Probabilidad de que el AGRESOR aproveche una
Vulnerabilidad
debilidad para aumentar el riesgo del BIEN
Fuente: Chomba (2008)

Seguridad física

Disciplina que se ocupa de los aspectos relacionados con la


Protección de Bienes, personas e instalaciones, las amenazas y riesgos que

116
puedan atentar contra ellos y las técnicas para Prevenir y controlar los
Riesgos a que son sometidos por posibles Delincuentes.

Puntos de partida

 La Organización

 La Información sobre la situación de seguridad

 El planeamiento gerencial de la seguridad:

o Elaboración de Planes

o Ejecución

o Control

Nociones seguridad

 Prevención es seguridad: Prevenir es evitar pérdidas.


 Acción – reacción: Con la prevención se conserva un Bien. La Seguridad
puede ser Reactiva y Reparadora.
 Intangibilidad: La Seguridad es un valor intangible que se logra por
medios tangibles.
 Cobertura total: La función seguridad es amplia y general. No deben
existir campos ajenos a su accionar (en lo posible).
 Difusión: La función seguridad debe ser protocolizada por la Gerencia
(políticas) y conocida por todas las instancias.
 Función gerencial. Es su nivel natural.
 Costo –beneficio. La función seguridad es muy productiva porque evita
daños y pérdidas si está eficientemente implementada. La inversión debe
ser proporcional a las ganancias que se obtienen y a las pérdidas que se
evitan o previenen.

117
 Seguridad interna. Depende de la honradez y el respeto de los miembros
de la organización.
 Vigilancia. Es un suplemento importante de la seguridad, pero no todo es
vigilancia.
 Inseguridad. Necesariamente es creciente si la Organización progresa
pues las causas son múltiples y a veces fuera de control.
 Responsabilidad. La seguridad es responsabilidad individual y general.
2. Amenazas y riesgos

Concepto de amenaza: combinación de circunstancias externas


(incluyendo acciones de terceros) que conllevan la posibilidad de un daño o
pérdida propio.

Clasificación

1. Individual o local (asesinato, robo, secuestro,...)

2. General o colectiva (motines, asaltos, tomas, ..)

3. Intencional o provocada (incendio, sabotaje, terrorismo,..)

4. Fortuita o accidental (incendios, escapes de gas, averías,...)

5. Naturales

a. Previsibles (inundaciones, desbordes,.. )

b. Imprevisibles (terremotos, huracanes, tornados..)

Calificación de las amenazas

Percepción de la probabilidad de ocurrencia: es la estimación de la


frecuencia de aparición de las señales de peligro y de la proximidad
observada de ocurrencia. Se suele utilizar la siguiente escala:

118
P = 1 . El evento ocurrirá: Señales e indicios permanentes.

P= 0,8 Es muy probable que ocurra: Señales periódicas.

P= 0,5 Es posible que ocurra: Indicios frecuentes.

P = 0,3 Es probable que no ocurra: Señales esporádicas.

P = 0,1 No es posible predecir que ocurra: Indicios raros.

El impacto o gravedad (intensidad, severidad) depende del Bien


amenazado y de las consecuencias que producirá sobre la vida, actividad o
intereses de la persona, familia o Empresa. Ejemplo de gradación de
Impacto:

I = 10 Pérdida de vida. Daños severos. Impacto fatal.

I= 8 Perjuicios irremediables para la Organización.

I= 5 Perjuicios importantes de tipo personal.

I= 3 Perjuicios moderados en lo personal y empresarial.

I= 1 Efectos poco notables. No es posible considerar las consecuencias


del impacto.

En cuanto a la urgencia (proximidad temporal) es la estimación del


tiempo disponible para tomar una acción que contrarreste (detenga, evite la
concreción) de una amenaza. Si la emergencia ya sucedió se debe poner en
marcha el “Plan de respuesta a la Emergencia”. Para esta estimación una
guía es la siguiente:

T= 5 El evento ya sucedió o está sucediendo.

T= 4 El evento está próximo a ocurrir.

T= 3 El evento es cercano predecible.

T= 2 El evento es lejano predecible.

119
T= 1 El evento no ocurrirá en el futuro predecible.

Grado de Amenaza y Prioridad para la Acción

Dado un evento respecto del cual se ha podido estimar la probabilidad


de ocurrencia, el Impacto y la urgencia, el grado de amenaza se obtiene por

el producto directo de los índices correspondientes grado  P  I  T 


En cuanto a la prioridad para la acción, resulta de la comparación
entre los valores relativos del grado de amenaza.

Por ejemplo:

Cuadro No 29 Grado de Amenaza


Probabilidad Grado de
Bien Impacto Urgencia Prioridad
de ocurrencia amenaza

A 1 10 5 50 1

B 0,8 8 4 10,4 2

C 0,5 5 3 7,5 3

D 0,3 3 2 1,8 4

E 0,1 1 1 0,1 5

Fuente: Chomba (2008)

Factores que condicionan a las amenazas

Son factores concurrentes que voluntariamente o no comprometen a un Bien,


aumentando su exposición al Daño. Por ejemplo,

1. Capital: depende del origen y el monto.

2. Notoriedad: señala blancos rentables.

120
3. Tamaño: Cuanto más grande más difícil de proteger.

4. Utilidades: si son grandes, dan idea de ganancia fácil.

5. Desprotección: es aliciente para la agresión.

6. Tipo de producto: Valor y uso.

7. Vecindario: Zona urbana o rural, violencia sindical o delincuencial.

8. Aspectos ge topográficos: Desastres naturales.

9. Relaciones comunitarias: buenas o malas.

10. Situación laboral: disciplina, orden, trabajo.

11. Postura sindical.

12. Acción gerencial.

Riesgo

Concepto de Riesgo: Es la probabilidad de que se concrete una amenaza.

Nivel de riesgo: estimación del orden de prioridad para atender, proteger,


vigilar, controlar un Bien. Se evalúa por la suma de los índices
correspondientes:

Frecuencia (F): de la aparición de señales o advertencias.

Urgencia (U): estimación de la proximidad en espacio y tiempo.

Intensidad (I): gradación del peligro a través de los daños emergentes.

Efecto psicológico (Ep): estimación de la afectación del ambiente.


N  F  U  I  E 
p

121
Cuadro No. 30 Nivel de Riesgo
EFECTO
URGENCIA INTENSIDAD PSICOLÓGICO
FRECUENCIA NIVEL DE RIESGO –
(cercanía del (importancia, impacto, (afectación
(aparición de señales) PRIORIDAD
riesgo) peligro) ambiente)
Permanentes 25 Inmediata 25 Peligroso 25 Miedo 25
100 1.Peligroso

Periódicas 15 Real 15 Grave 15 Terror 15


60 2. Grave

Frecuentes 10 Cercana 10 Preocupante 10 Inquietud 10


40 3. Preocupante

Esporádicas 5 Casual 5 Aparente 5 Recelo 5


20 4. Aparente

Raras veces 3 Lejana 3 Leve 3 Calma 3


12 5. Leve

Fuente Chomba (2008)

Cuadro No. 31 Clasificación de los riesgos

NIVEL DE RIESGO DESCRIPCIÓN POSIBILIDAD DE CONCRECIÓN

Peligro de muerte
1. Peligroso Certidumbre de que se cumplirá. Crisis
Miedo social
Permanente. Muy alto (caos)
Tendencia al éxodo

2. Grave Peligro serio y directo


Sensación de que se cumplirá la amenaza
Periódico. Alto Temor generalizado

Sensación de desprotección
3. Preocupante
Tendencia a considerar Ambiente con tendencia hostil
Frecuente. Medio
factible

4. Aparente.
Situación requiere prevención Amenaza aleatoria
Esporádico. Bajo

Indicios aislados poco


5. Leve
preocupantes No se percibe amenaza o señal de peligro
Raro. Muy bajo
Vida apacible

Fuente Chomba (2008)

122
Análisis de riesgos

Procedimiento lógico cuyo objetivo es establecer amenazas, identificar


y clasificar riesgos, establecer niveles de riesgo y sus probabilidades de
ocurrencia. En particular definir las Debilidades y vulnerabilidades que
pueden afectar al Bien, las Instalaciones y el personal.

A. Método general

1. Determinar:

 Áreas importantes
 Operaciones clave
 Puntos críticos o problemáticos

2. Determinar amenazas, riesgos, debilidades y vulnerabilidades y toda otra


exposición a la acción delincuencial.

3. Realizar la evaluación del Análisis de Riesgos

4. Determinar el Nivel de Riesgo y asignar los recursos del Plan de


Seguridad.

5. Diseñar Plan de Contramedidas para evitar, reducir, aceptar, distribuir o


transferir los riesgos según el Plan de Seguridad Física.

Formular el Plan de Verificación (Aplicar el Principio de Pareto:


separar y atender lo crítico).

B. Método local

Buscar respuesta a los siguientes interrogantes:

a. ¿Qué debe protegerse?

123
b. ¿Cuál es la amenaza?

c. ¿Cuál es la protección existente?

d. Recomendaciones sobre mantenimiento, mejoramiento, cambios de


medios y procedimientos.

C. Método descriptivo

1. ¿En qué consiste la amenaza?


2. ¿Cuál es la probabilidad de ocurrencia?
3. ¿Dónde es probable que ocurra?
4. ¿Cuándo es posible que comience?
5. ¿Cuán grave o impactante será?
6. ¿Qué tendencia se espera después que ocurra?
7. Recomendaciones para la prevención y respuesta.

Procedimiento secuencial:

1) Identificar los Riesgos

2) Clasificarlos

3) Análisis de Riesgos

4) Analizar alternativas de acción concreta:

a) Evitar el riesgo. Prevención efectiva. Traslado del Bien amenazado


(separarlo en tiempo y espacio) Mejorar sistemas de seguridad local.

b) Reducir el Riesgo. Eliminar actividades riesgosas o disminuir su


frecuencia.

c) Aceptar el Riesgo. Cuando a. y b. fracasan o sus costos son


excesivos. Concentrar en disminuir vulnerabilidades.

124
d) Distribuir el Riesgo. Distribuir Bienes y actividades riesgosas entre
unidades productivas. Aceptar posibilidad de pérdidas menores.

e) Transferir el Riesgo. Asegurar los Bienes. Contratos deben ser


secretos.

3. Estudio de Prevención

Prevención: Conjunto de medidas que se toman por anticipado y que


tienen por objeto evitar o reducir la probabilidad de ocurrencia o sea el riesgo
de ocurrencia de un incidente.

Respuesta: Conjunto de acciones que se realizan antes, durante y


después de ocurrido un incidente para anular o disminuir sus consecuencias
negativas.

Evaluación de Amenazas

 Definición de escenarios
 Determinación de factores críticos
 Identificación de debilidades.
 Análisis de riesgos y vulnerabilidades

Plantear estrategias Generales de Prevención

 Recolección de datos. Inteligencia


 Control de factores críticos
 Reducción de vulnerabilidades
 Generación de mecanismos de cooperación interna, externa de acuerdo
a las mejores prácticas que genere como resultados los diferentes tipos
de manuales.

Estrategias de Prevención

125
1. Prevención por medio del diseño ambiental.

Se basa en establecer criterios (Manuales de acuerdo a la Mejor


práctica) de diseño y utilización efectiva del Bien para reducir amenazas.

 Control de accesos

La seguridad inversamente proporcional al número de puntos de


acceso en barrera perimetral (difícil, muy difícil, 4. imposible).

Portería principal:

 Genera imagen de la Organización

 Administra de noche y feriados

 Concentra controles

 Portero capacitación especial

 Medios técnicos

Barreras

Objetivos: demorar – disuadir – canalizar agresiones

Tipos: naturales – estructurales – Iluminación proyectiva – Cercas – Medios


Técnicos (ver).

Vigilancia

Actitud del personal de la Institución. Observan áreas públicas en


forma continua o aleatoria para detectar anormalidades de acuerdo a los
lineamiento del instrumento preestablecido.

Prevención por medio del diseño ambiental.

126
Se basa en establecer criterios de diseño y utilización efectiva del Bien
para reducir amenazas.

2. Establecer prevención por acción colectiva

Conjunto de decisiones donde se ha previsto la articulación de planes


de seguridad entre:

 Sociedad (vecinos)
 Organizaciones intermedias (ONG, Sociedades de fomento, parroquias...)
 Organizaciones gubernamentales (Comunas, Municipios, ...)
 Fuerzas de Seguridad (Policía, Bomberos,..)
 Organizaciones barriales o vecinales para implementar Planes de
Seguridad Proactivos.

Criterios para mejorar la prevención

 Aumento del tiempo necesario para concretar intrusión.


 Disminución del tiempo de detección.
 Disminución del tiempo de reporte.
 Disminución del tiempo de respuesta policial.
 Disuasión. Habilidad para convencer acerca de los costos de
transgresión y conveniencia de cambiar de objetivo. Ideal: sin violencia.
 Generar percepción que todo es observado y los extraños son
reconocidos.
 Vigilancia capaz.
 Desvirtuar percepción de “área aislada o vulnerable”.
 Generar percepción de “área bajo observación policial”.

Prevención de amenazas internas

 Los robos o las amenazas internas más significativas.

127
 Es difícil obtener estadísticas precisas de pérdidas atribuibles a robos de
empleados.
 Las pérdidas internas generalmente provienen de:
o Hurtos de pequeñas cantidades durante periodos largos.
o Distracción de dinero o efectos por los responsables de su
custodia.
o Pérdidas de inventarios por distintos medios.

Propuesta de prevención y Seguridad

Accidente: evento indeseado cuya consecuencia es Daño físico o


material. En general de ocurrencia aleatoria.

Incidente: evento indeseado que degrada la eficiencia de la


operación.

En general no es de naturaleza casual.

Estadísticas accidento lógicas:

Por acciones inseguras: 85 %

Por condiciones inseguras: 15 %

Prevención de accidentes

• Inspecciones constantes.

• Análisis de seguridad laboral.

• Descubrimiento temprano de condiciones inseguras.

• Identificación de situaciones de alto riesgo.

• Investigación inmediata de cada accidente.

128
Grafico No 23 Prevención y Seguridad

Fuente: Chomba (2008)

Tomar en cuenta en la propuesta las cuatro “D” de la prevención

Detener o desanimar al agresor, para evitar el delito.

Detectar la agresión antes de que ocurra.

Demorar (retardar) la agresión para preparar la respuesta.

Denegar el acceso a Blancos Críticos.

4. Medios técnicos de protección

1. Sistemas de protección activa

1) Sistemas de seguridad contra actos antisociales

129
1. Subsistema de detección de intrusión. Detección interior.
Detección exterior.

2. Subsistema de detección de atracos.

3. Subsistema de control de accesos.

4. Subsistema de vigilancia por CCTV-

5. Subsistema de control de rondas.

6. Subsistema de centralización de alarmas.

7. Subsistema de comunicaciones.

2) Sistemas de seguridad contra incendios


3) Sistemas para otras amenazas.
4) Sistema de seguridad laboral (safety) y salud ocupacional.

2. Sistemas de protección pasiva

1. Subsistema de cerramiento.

2. Subsistema de recintos protegidos.

3. Subsistema de control de accesos.

Medios técnicos de protección

Son los materiales, dispositivos y sistemas que se emplean para


enfrentar riesgos identificados y evaluados.

Clasificación general

 Medios técnicos de protección contra actividades antisociales.

 Medios técnicos de protección contra incendios.

130
 Medios técnicos de protección contra otras amenazas.

 Medios técnicos de protección laboral y salud ocupacional.

Clasificación específica

1. Medios técnicos o electrónicos

 Alarma y control
 CCTV
 Protección contra vandalismo
 Protección informática
 Integración de sistemas
 Informática de seguridad
 Detección de materiales y objetos
 Detección de intrusión
 Detección de incendios
 Detección de explosivos
 Comunicaciones de seguridad
 Centralización de alarmas

2. Medios técnicos pasivos (físicos)

 Blindajes
 Vehículos contra incendios
 Vehículos blindados
 Protección contra robo y atraco
 Protección pasiva contra intrusión
 Protección pasiva contra incendios
 Protección contra agresión
 Extinción de incendios
 Evacuación y señalización

131
3. Medios técnicos activos y pasivos

 Control de accesos
 Seguridad vial
 Protección laboral.
 Protección contra agresión
 Protección de la información
 Protección contra contaminación
 Protección contra explosivos

Sistemas de protección activa

Presentan obstáculos o impedimentos al Delincuente

1 Sistema de seguridad contra actos antisociales

Objetivo: evitar, reducir y controlar acciones delictivas como robos, atracos,


agresiones, sabotajes, espionajes, etc.

Fase: Intrusión, ejecución y fuga

Defensa: Alerta, reacción y intervención

Subsistema de detección de intrusión

Objetivo: Conocimiento anticipado de acceso no permitido.

Tres bloques:

Iniciadores: transductores que permiten detección a través de sensores o


detectores de Entrada y emiten señal de Salida. (Con alimentación:
transductor activo). 83 tipos distintos.

Sistemas de seguridad contra actos antisociales (Cont.)

a) Subsistema de detección de intrusión (Cont.)

Iniciadores

Detección interior

132
• Detectores volumétricos (activos), IR, US, MW

• Detectores volumétricos de tecnología dual

Detección exterior

• Barrera de IR

• Barrera de MW

• Sistema de protección de vallados

• Sistemas enterrados de protección perimetral

Centrales

Reciben señales y gestionan alarmas (microprocesadores). Capacitadas


para tomar decisiones

Avisadores

Generan alarmas según indicación de Central (ópticas, acústicas, de


comunicaciones, silenciosas)

Sistemas de seguridad contra actos antisociales (Cont.)

b) Subsistema de detección de atracos

Detección temprana permite frustrar atracos.

Estructura: Iniciadores - Centrales – Avisadores

c) Subsistema de control de accesos

Objetivo: comprobar, inspeccionar, intervenir o fiscalizar el paso o circulación


de personas, vehículos u objetos a través del área de control.

Control de accesos de personas

Tiene capacidad para:

1) Identificar personas

2) Impedir accesos a no autorizados

133
3) Jerarquizar accesos

4) Obtener información y llevar registro automático

5) Conocer intentos de transgresión, instantáneamente

Opciones:

• El sistema confirma por enlace con Central

• El sistema maneja su propia base de datos

Sistemas de seguridad contra actos antisociales (Cont.)

c) Subsistema de control de accesos (Cont.)

Credencial material

• Llave mecánica

• Llave eléctrica

• Llave electrónica

• Llave magnética

• Llave mixta

• Tarjeta con código circuito eléctrico

• Tarjeta con banda magnética

• Tarjeta magnética

• Tarjeta holográfica

• Tarjeta de código magnético

• Tarjeta de código capacitivo

• Tarjeta de código óptico

• Tarjeta de código electrónico

• Tarjeta mixta

134
• Emisor de radiofrecuencia

• Emisor de IR , láser

• Emisor de US

Credencial de conocimiento

• Teclado digital

• Cerradura combinación

• Escritura

Credencial personal

• Huella digital

• Voz

• Geometría de la mano

• Rasgos faciales

• Iris del ojo

Tipos de credenciales (cont.)

Análisis comparativo entre tipos de credenciales

Cuadro No. 32 Tipos de Credenciales


TIPO VENTAJAS DESVENTAJAS

Tiempo de respuesta breve

CREDENCIAL Reducido número de errores en Posible pérdida

MATERIAL identificación negativa Posible duplicación

Precio medio

135
Tiempo de respuesta reducido

Bajo número de errores en

CREDENCIAL DE identificación negativa Posibilidad de traspasar datos


CONOCIMIENTO Posibilidad de claves especiales e voluntariamente o no a otras personas

indicaciones auxiliares.

Precio bajo

Mayor número de errores en


Mínimo número de errores en identificaciones negativas.
CREDENCIAL
identificaciones positivas.
PERSONAL Mayor tiempo de respuesta
Elevada seguridad
Precio elevado

Fuente: Chomba (2008)

Identificación biométrica

Objetivo: Reconocer o identificar identidad por característica física y medible


de una persona, por aplicación de un Soft.

Rostro- termograma rostro- huellas dactilares- geometría de la mano-venas


de las manos- iris- patrones de retina- voz- firma

Tecnologías biométricas:

 Ópticas: Basados en tecnología CCD que obtiene foto de minucias de la


huella
 US: Detectan líneas de las huellas (bifurcaciones, interrupciones) por
retardo en el eco
 Capacitivas: Mide la ddp del campo que se genera al contacto con placa
de Si, generando un patrón de minucias

De vehículos

Objetivos:

 Incrementar el nivel de seguridad

136
 Automatizar reconocimiento de matrícula y datos
 Generar registros de información y detalles

Controles posibles

 Asociar matrícula con imágenes de vehículo y conductor


 Comparación con base de datos
 Contraste con un código
 Comprobar validez en fecha y horario

De materiales y objetos

Estructura similar. Se distinguen:

 Detección de explosivos
 Detección de armas
 Equipos de detección por RX - Scanners

Subsistema de vigilancia por CCTV

Permite captar y enviar imágenes con el objeto de vigilar y controlar un


recinto

 Elementos de captación de imágenes


 Elementos de control y comunicación
 Elementos de alarma
 Elementos de visualización de imágenes
 Elementos de registro de imágenes

Elementos de captación de imágenes

 Cámaras de video
 Ópticas: Se seleccionan según distancia focal, iluminación, etc.

Elementos de Control y comunicación

Equipos de control (dan las posibilidades de captación)

137
 Posicionadores horizontales o verticales
 Lavalunas
 Ventiladores y calefactores
 Interruptores de iluminación
 Controles de zoom
 Controles de iris
 Interruptores de cámara

Equipos de conmutación (transforman entradas de video de las cámaras al


monitor)

 Amplificadores
 Distribuidores
 Conmutadores manuales
 Secuenciadotes
 Divisores de cuadrante
 Matrices de conmutación

Elementos de comunicación (transportan señal de video a equipos de


visualización)

 Cable coaxial
 Cables de pares + ecualizador
 Enlace de MW distancias superiores a 3 km
 Láser
 IR
 Fibra óptica

Elementos de alarma

 Videosensores. Equipos de detección


 de movimientos basados en análisis de
 cambio de contraste de imágenes.

138
 No se aconseja como único sistema.

Elementos de visualización de imágenes

 Monitores. Equipos auxiliares (Generadores de fecha y hora –


EclipsadorMicrófonos de audio – Multiplexores).

Elementos de registro de imágenes

 Magnetoscopios – Videoimpresoras – Almacenamiento digital de


imágenes
 Videograbación /transmisión digital de imágenes
 Permiten controlar desde un Centro de Tele gestión multimedia todas las
instalaciones de una organización.

Prestaciones mínimas

El sistema debe responder adecuadamente a los requerimientos buscados,


optimizando la relación costo/ eficacia. Para ello se deben definir parámetros de
diseño tales como:

Color / blanco y negro – Resolución de imagen – Sensibilidad de las cámaras –


Iluminación de la zona vigilada – Tonalidad de los colores

Sistemas de protección pasiva

Es el conjunto de sistemas utilizando medios pasivos que ofrecen protección


de personas y bienes presentando obstáculos al delincuente o a la
materialización de riesgos.

a. Subsistema de cerramientos

Medios técnicos de protección ante intrusión

Elementos fijos

• Muros, bloques y paneles

• Mamparas y tabiques

• Vallados y enrejados

139
• Alambradas y concertinas

• Rejas y empalizadas

• Canales y zanjas

Elementos practicables

• Puertas acorazadas y blindadas

• Barreras de detención de vehículos

• Cierres y persianas

b. Subsistema de recintos protegidos

Objetivo: protección de información y valores. En cada caso se debe


considerar:

o Delimitar el área

o Evitar o retardar la intrusión

o Proteger el área

o Custodiar información y valores

Arcas y dispositivos

o Armarios y cajas fuertes. Pueden ser Autónomas – Empotrables

o Buzones y cajeros especiales. Antivandalismo – Antiatraco – Antirrobo


Manuales- Mecánicas – Automáticas – Interiores – exteriores

o Habitáculos. Cámaras acorazadas

c. Subsistema de control de accesos.

Puertas

 Según su accionamiento: pivotante – suspendida – deslizante


o Según grado de seguridad: Blindadas – fuertes – acorazadas
o Esclusas de paso. (sistemas que no permiten la apertura de dos

140
puertas a la vez, salvo excepciones)
 Barreras, molinetes
 Cerraduras y mecanismos de apertura y cierre

5 El Programa de Seguridad. Plan de Seguridad Física

1) Objetivo del Programa

Todo programa de seguridad se motiva cuando se percibe cierto


peligro o se toma conciencia de una amenaza grave, inmediata, real o
potencial. Se inicia con la generación de una conciencia preventiva, la
elaboración de un programa efectivo y luego la elaboración de un plan que
contrarreste los riesgos.

El Objetivo es establecer los medios humanos, físicos y tecnológicos,


los procedimientos, el control y la supervisión, a fin de afrontar los riesgos y
las situaciones de emergencia minimizando los daños y garantizando la
integridad física del personal y de las visitas, la continuidad de las
operaciones y la imagen pública de la organización.

2) Estudio de Seguridad

Es el primer paso de un Programa de Seguridad Preventiva. Hasta su


realización, se presiente la amenaza, pero no se conoce su probabilidad,
gravedad, urgencia. Incluye un acuerdo final sobre nivel de riesgo admisible,
tal que .la organización debe decidir si el riesgo amerita el establecimiento de
un sistema de seguridad.

3) Organización del Elemento de Seguridad

Tomada la decisión, el primer paso es designar un Comité de


Seguridad, generalmente compuesto por:

a. Gerente General o Ejecutivo suplente

b. Jefe de Seguridad

c. Jefe de Personal o de Relaciones Industriales

141
d. Jefe de Operaciones, o de Producción o de Finanzas

e. Jefe del Departamento de Auditoría (eventual)

f. Inspector fiscal (eventual)

g. Autoridades civiles y policiales (eventual)

h. Personal técnico, asesores, consultores (eventual)

Su función es analizar las recomendaciones que surgen del Estudio de


Seguridad y planificar su establecimiento, a partir de las opciones que se
presentan como más convenientes. Debe concluir en una recomendación
final para ser aprobada por la Gerencia General o máxima autoridad
equivalente en la organización.

4). Componentes de un Sistema de Seguridad

Elementos básicos vitales:

Personal.

Medios físicos y equipos tecnológicos.

Procedimientos de trabajo e indicaciones de Seguridad.

Control y Supervisión.

Elementos complementarios:

Protección de la Información.

Protección de las Comunicaciones.

Protección de la Informática.

Selección y contratación de personal.

Capacitación.

Operación y Dirección.

Protección de VIPs.

142
Elementos especiales:

Inteligencia Interna.

Investigaciones.

Inteligencia Comer

5) Planeamiento

Ordenar en espacio y tiempo. Es el momento de fijar las metas para el


logro de los objetivos. En todos los casos los resultados (medibles) serán los
que determinen el cumplimiento de las fases que se acuerden. Para cada
objetivo y para cada meta se elabora un Plan de Acción. Se acuerda en
general que plazos de corto alcance son menos de un año, plazos de medio
alcance hasta 5 años y plazos de largo alcance, de más de 10 años. La fase
inicial es esencial. Lo que bien empieza, bien termina.

6) Establecimiento del Sistema

 Instalación de los medios y equipos.


 Designación del Jefe de Seguridad.
 Contratación del personal.
 Redacción de reglamentos, manuales e instrucciones de Seguridad.
 Control perceptivo y aprobación de medios y equipos.
 Capacitación: personal de seguridad y empleados de la institución.

7) Ensayos

 Operación del sistema completo (personal, medios y procedimientos).


 Modificaciones y Adaptaciones.
 Control y Supervisión.

8) Planes

Plan de seguridad física

Planes complementarios

143
 De emergencias (dependiendo de las amenazas/riesgos)
 Planes contra incendio
 Manejo de crisis
 De seguridad de eventos especiales
 De evacuación total o parcial
 De protección de directivos y sus familias
 De Fuerzas de Seguridad

9) Presupuesto

Tarea a cargo de Finanzas y Presupuesto. Las pautas deben ser


conocidas y aprobadas por el Comité de Seguridad. Se tendrá en cuenta:

a. Las recomendaciones del Estudio de Seguridad.

b. El concepto del Jefe de Seguridad.

c. El alcance del Programa.

d. Las necesidades iniciales urgentes de personal y medios.

e. El tiempo planeado total y el de las fases.

La presentación la realiza el Comité de Seguridad con la presencia del


Gerente General y se concluye acerca de la opción más adecuada, rentable
y económica. Un aspecto crucial a considerar será la financiación.

Estudio de seguridad

A. Concepto

Su objetivo es señalar las debilidades de una organización, con el


objeto de proponer que se solucionen los puntos críticos, de modo de
prevenir que se conviertan en vulnerabilidades, que puedan conducir a
exposiciones o peligros graves. Debe finalizar con recomendaciones
concretas acerca de acciones a tomar de manera inmediata, en el corto y
mediano plazos, así como las medidas y procedimientos generales y

144
específicos que deben ser incluidos en el Plan General de Seguridad y en los
complementarios

B. Alcance

Deben determinarse claramente las áreas o actividades que se someten a


estudio.

Un Estudio de Seguridad puede ser:

1) General: si incluye Seguridad Física, Seguridad Personal, Seguridad de


los directivos y sus familias, Seguridad de la información.

2) Parcial: Si incluye sólo algunas de las especialidades.

3) Específico: Si es una inspección o investigación ceñida a un problema


específico.

C. Tiempo y costo

La Gerencia contratante determinará los límites el Estudio. En cuanto al


costo depende de los siguientes factores:

a) Tipo, magnitud y ubicación de la Organización

b) Grado de riesgo y de amenaza percibida

c) Alcance y objetivos del Estudio

d) Estructura organizacional

e) Tiempo asignado

f) Composición del equipo de analistas de riesgos.

g) Forma de pago

D. Actualización

El contrato debe establecer la obligación de actualizar el Estudio y el período


de vigencia hasta la próxima revisión

E. Áreas y operaciones críticas

145
Debe ser informado en detalle.

F. Contactos con personal de la instalación – presentación – apoyos

Lista de especialistas que pueden ser llamados a intervenir aportando


información específica:

Cuadro No. 33 Estudio de Seguridad por Especialidad


ESPECIALIDAD TEMAS

Ingeniería Cimentación, alcantarillado, torres vigilancia, drenajes, etc

Arquitectura Vallas, áng.,los , puntos de vista, porterías, fachadas

Energía Fuentes, Redes, Sistemas de emergencia, iluminación

Comunicaciones Frecuencias, repetidoras, Canales locales, VHF, UHF, códigos

Detección, sensores, detectores activos, pasivos, infrarrojos, monitoreo


Electrónica
de alarmas, CCTV

Tránsito Vías, Estacionamientos, señalización

Informática Seguridad de sistemas, controles de información

Sociología Estudio vecindario, áreas de influencia, relaciones comunitarias

Seguridad Medicina e higiene laboral, impacto de las operaciones en el ambiente,


industrial Incendio, áreas de evacuación

Contabilidad Análisis de cuentas, recibos, nómina, proveedores

Agronomía Impacto arborización, jardinería

Transporte de
Manejo de efectivo y valores, Contratación, seguros
valores

Fuente: Chomba (2008)

146
Plan de seguridad física

1) Situación ambiental

 Descripción del área, persona o actividad objetivo y situación de riesgo


que la afecta.

 Identificación y evaluación de las amenazas, agentes de amenazas,


debilidades y vulnerabilidades manifiestas o probables.

 Calificación del nivel de riesgo para cada situación crítica.

 Medios con que se cuenta para afrontar la amenaza o la emergencia.


Organización de seguridad. Entidades de apoyo o refuerzo.

 Hipótesis plausibles sobre futuros escenarios.

2) Misión

Descripción clara, concisa y precisa del resultado a lograr con la ejecución.


(Cuándo, dónde, para qué)

3) Ejecución

 Descripción del modo en que se ejecutará el Plan (aquí va el Cómo).


 Fases, etapas con sus metas y objetivos.
 Tareas para cada persona involucrada.
 Instrucciones de coordinación. Especificación de normas y departamentos
involucrados, coordinando todas las actividades.

4) Aspectos administrativos

 Personal necesario en cada etapa.

147
 Medios y equipo necesario. Disponibilidad asegurada para la oportunidad
de ejecución. Instrucciones de coordinación administrativa.
 Presupuesto para cada etapa y fase del Plan. Forma en que se piensa
financiar. Normas y autorizaciones.

5) Dirección y control

 Dirección General del Plan. Aquí se especifica la cadena de mandos y


responsabilidades.
 Comunicación y control. Medios de comunicación de la Dirección y de la
Coordinación.
 Clasificación. Códigos y claves

6) Protocolo de aprobación con fecha y hora

6. Respuesta: Planes Complementarios

Plan de seguridad para emergencias

1. Objetivos específicos del control de Emergencias

Ante el evento de una emergencia (aviso de bombas, accidente


químico, explosión, inundación, tornado, etc.). se tendrán en cuenta las
previsiones y respuestas al incidente, cualquiera sea su naturaleza. En
particular los planes de emergencia tendrán en cuenta las acciones
correspondientes a:

A. Prevención del evento

B. Respuesta:

 Antes (preparación de la respuesta)


 Durante (control mientras se produce)
 Después (posterior al evento)

2. Organización

148
La máxima autoridad de la Organización toma la decisión de instrumentar un
Plan de Emergencias. Se debe designar a continuación la integración de un

Comité de emergencias

Sus funciones son:

 Elaborar el Plan de emergencia correspondiente al incidente


 Designar una Brigada de Emergencias.
 Designar los líderes por sector geográfico
 Dirigir las tareas de prevención
 Dirigir las tareas correspondientes a la respuesta.
 Evaluar los resultados
 Elaborar un informe por cada incidente

En cuanto a su integración, pueden ser designados:

 Un alto directivo de la Organización


 Un representante de Recursos Humanos
 El Jefe o Responsable de Seguridad.
 El Intendente del Edificio o bien el Responsable de Mantenimiento
 Eventualmente, el representante gremial

3 Prevención de la emergencia

Las medidas de prevención deben incluir cursos específicos de tipo teórico –


práctico sobre:

A. Aviso de bomba

B. Accidente Químico

C. Explosión

D. Inundación

E. Tornados

Para cada caso establecer:

149
a) Preparación de comunicaciones preliminares

b) Designación y entrenamiento de equipo de evacuación

c) Designación y entrenamiento de equipo de rescate

d) Designación y entrenamiento de equipo de primeros auxilios

e) Cursos de control del pánico

f) Adquisiciones según requerimiento de los equipos de ayuda


(botiquines, señales, brazaletes, etc.)

g) Elaboración de cartillas para que el personal adopte medidas


preventivas

h) Cronograma de ejecución de simulacros

Ejemplo de cartillas para prevención de emergencias:

 Mantener la calma y transmitirla, evitando el pánico.


 Respetar y acatar las indicaciones de los líderes (identificables por un
brazalete).
 Conocer las salidas de emergencia, más próximas al lugar de trabajo.
 No correr.
 No efectuar ademanes exagerados.
 No transportar objetos si se ordena evacuación.
 Las mujeres deben cambiarse y quitarse los tacos altos.
 Permanecer en silencio para escuchar a los líderes y a los pedidos de
auxilio.
 Recordar el punto de reunión acordado en los simulacros.
 No regresar al lugar siniestrado.
 Las personas con discapacidades deben salir al final para no demorar la
evacuación.
 Permitir y facilitar el paso de los brigadistas.

4. Respuesta a la emergencia

150
4.1. Antes del accidente

a. Personal involucrado. Todos tienen rol que cumplir. Evaluada la magnitud


del accidente, la primera decisión será evacuar o no las instalaciones.

b. Designación de los líderes de los equipos de emergencia

c. Establecer listas de personas y actividades.

4.2. Durante el accidente

a. Convocar los servicios de emergencias, policías, bomberos, ambulancias.

b. Mantener la calma y transmitirla, evitando el pánico.

c. Respetar y acatar las indicaciones de los líderes (identificables por un


brazalete).

d. No correr ni efectuar ademanes exagerados.

e. Guardar los elementos de valor para la Organización.

f. No transportar objetos en caso de evacuación.

g. Las mujeres deben cambiarse y quitarse los tacos altos.

h. Permanecer en silencio para escuchar a los líderes y a los pedidos de


auxilio.

i. Recordar el punto de reunión acordado en los ensayos.

j. No regresar al lugar siniestrado.

k. Las personas con discapacidades deben salir al final para no demorar la


evacuación.

l. Permitir y facilitar el paso de los brigadistas .

4.3. Después del accidente

a. Completar la evacuación según prioridades.

b. Reportar el accidente y su desarrollo al Comité de Emergencias.

151
c. Idem al Equipo de rescate.

d. Chequear los daños permanentes de edificios, equipos y materiales.

e. Verificar la atención de accidentados y pérdidas fatales

f. Realizar el informe final.

7 Manual de Seguridad

En ellas se deben agudizar los procedimientos de Control, ya que es donde


resulta más probable que se presenten amenazas y riesgos. Ejemplo:

 Embarques, despachos y transferencias de materiales y mercancías.


 Recepción de repuestos, materia prima e insumos.
 Depósito, almacenamiento e inventarios parciales y totales.
 Manejo de efectivo y procesos contables.
 Auditoría. Ésta no es una función más. Las pérdidas no deben
considerarse un hecho inevitable, sino que deben investigarse (porque si
no, cunde el mal ejemplo).

Cuatro formas de procedimientos:

 Auditoría debe completar su trabajo e investigar las pérdidas llegando a


los responsables.
 Delegar la autoridad en Seguridad para que lo haga.
 Formar un equipo Auditoría – Seguridad (Con un Coordinador).
 Contratando un servicio externo.

Reducir al mínimo la probabilidad de incidentes que generen pérdidas,


daños, perturbaciones y lesiones (riesgos) derivados de amenazas tales
como:

 Robo, sustracciones, manejos deshonestos.


 Perturbaciones o desórdenes internos o externos que interfieren con
 producción.

152
 Actos intencionales, fortuitos o naturales.
 Atentados, actos de fuerza o desorden.

Reducir al mínimo los efectos de potenciales incidentes, si es que éstos llegaran a


ocurrir.

8 Planes de Seguridad de objetivos Especiales. Diagnostico de


Seguridad.

Diagnóstico de seguridad

1. Inspección de seguridad

 Tiene un objetivo definido y preciso. Es realizada por un profesional


Analista o Inspector de Seguridad.
 Se realiza con la finalidad de proponer un plan de protección local o bien
cubrir puntos oscuros del Sistema de Seguridad instalado.
2. La información preliminar
 Obtención: Visitas – Entrevistas – Consulta de archivos – Análisis de
estadísticas – Consulta del historial de seguridad de la Organización –
Inspección de puntos críticos – Operaciones clave – Cartografía –
Encuestas y estudios anteriores.
 Información básica sobre amenazas, riesgos, peligro.
 Estudio de Seguridad realizado, sus autores, fechas, etc.
 Obtenida la información se organiza, edita y alista para la incorporación al
Informe de Inspección.

3. Puntos críticos

 Organizar el estudio teniendo en cuenta el principio de Paretto.


Concentrar la atención en los puntos cuya solución resuelve el problema.
Resolver los puntos triviales no asegura que el problema no siga
creciendo.

4. Debilidades y vulnerabilidades

153
 Respecto de las debilidades del Sistema de Seguridad, su identificación,
reconocimiento y corrección o protección a tiempo evitará que se
transformen en vulnerabilidades.

5. Círculos concéntricos de seguridad

 La Inspección debe seguir un orden preestablecido por el Inspector, cuyo


planeamiento conviene ajustar según el criterio de los círculos
concéntricos de seguridad (incorporar gráfico)

 6. Encuestas de calidad del servicio de seguridad

 Son encuestas de realización periódica (generalmente, trimestrales) para


establecer como el usuario percibe y califica al Servicio de Seguridad.
Deben ser elaboradas por profesionales experimentados y sus
resultados deberán poseer características que la hagan confiables.

 En manos del Inspector de su análisis podrán surgir puntos importantes


del plan de acción con miras a corregir las fallas denunciadas, como así
también se deberán tener en cuenta las correcciones y mejoras
solicitadas.

 7. Recomendaciones y conclusiones

 De la Inspección de Seguridad deben surgir los ajustes al Plan de


Seguridad Física, que incluyan mejoras, mantenimiento, modificaciones o
eliminaciones de normas vigentes. De este modo se logra una mejora
paulatina priorizando la calidad.

Contenidos de un informe de inspección

1.1 Control en el ingreso y egreso de personas:

a. Personal propio.

b. Proveedores.

c. Contratistas, Técnicos y Service.

154
d. Clientes.

e. Visitas.

1.2 Control en el ingreso y egreso de vehículos livianos:

a. Del personal propio.

b. De los proveedores.

c. De los contratistas, técnicos y service.

d. De los clientes.

e. Visitas.

1.3 Control de camiones.

A. Propios.

a. En la recepción.

b. En la expedición.

B. De terceros.

a. En la recepción.

b. En la expedición

1.4 Control en el ingreso y egreso de mercaderías y objetos varios.

1.5 Determinación de responsabilidades por áreas.

1.6 Rondas generales y particulares.

Seguimiento:

Análisis del resultado del Informe de las Inspecciones

a) Evaluar las situaciones de riesgo detectadas


b) Estudio de cada incidente

155
Recomendaciones vinculantes en cuanto a la prevención y Seguridad

a) Delimitar cada situación insegura y riesgo


b) Tomar acciones de cada situación insegura y riesgo

Plan de acción para minimizar las amenazas y situaciones de riesgo.

a) Diseñar el plan de acción en cuanto a las recomendaciones vinculantes


b) Tiempo de accione para sus puesta en marcha

Seguimiento a las recomendaciones vinculantes de Prevención y Seguridad

a) Realizar planificación de la auditoria de seguimiento una vez presentado


el plan de acción.
b) Evaluar en la auditoría si se materializaron las recomendaciones de las
situaciones de inseguridad y riesgo.

156
REFERENCIAS
 (Zorrilla Arena & Torres Xammar, 1986). Guía para elaborar la tesis
 Adám F. y Asociados. (1987). Andragogía y Docencia Universitaria.
FIEA Fondo Educación Federación Interamericana de Educación de
Adultos. (1ª edición). (Asociados., Adán F. y, 1987)
 ISO http://iso27000.es/iso27002_9.html
 COBIT 4.1
 http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf
 IT Governance Institute
 Leading The IT Governance Community
 BOBIT 5.
 http://www.monografias.com/trabajos12/coso/coso.shtml
 Mundo laboral Kaba: tecnología de identificación RCID para el control
de acceso Ud.3 http://www.kaba.es/Sala-de-
prensa/Prensa/Notasdeprensa/25818_243812/tecnologia-dei
http://www.iso27001standard.com
 -http://www.nextel.es/iso27001
 -http://nimbosystems.com
 dentificacion-rcid-generico.html 33 Índice de la unidad
 Gaceta Oficial N° 1.429 Extraordinario de fecha 8 de septiembre de
1970 Ley de Universidades
 http://es.slideshare.net/OswaldoChombaCastro/seguridad-fisica-
34109232
 John Wiley, Jack J. Champlain: Auditing information system
 J. R. Méndez, F. Fdez. Riverola, F.J. Rodríguez, F. Díaz: Seguridad
básica para organizaciones.
 Taimur Aslam, Ivan Krsul, and Eugene H. Spafford. “Use of a
taxonomy of security faults”, Technical
 Report TR-96-051, Purdue University Department of Computer
Science, 1996.
 Cristian F. Borghello, “Seguridad Informática: Sus implicaciones e
implementaciones”, 2001
 PIATTINI, M. y otros, “Auditoria Informática. Un Enfoque Práctico. 2ª
Edición” Ed. RA-MA Editorial, 2001
 Página oficial del NIST (National Institute of Standard and Technology)
http://www.nist.gov/
 Oswaldo Chomba Castro 2016, http://www.liderman.com.pe/
 Seguridad Física de Instalaciones, Temario La Función Seguridad
Amenazas y Riesgos

157
Cuadro No 34 CRONOGRAMAS DE ACTIVIDADES AÑOS 2014 - 2016

Objetivo Metas Actividades Sept.- Dic. Feb.-jul. Sept.-Enero Feb.-julio


2014 2015 2015 2016
Realización del Con la asesoría del Tutor realizar el
Diseñar un proyecto Tesis de Grado.
Planteamiento Programar y efectuar reunión con el
Sistema de del problema Colegio Francisco de Miranda para
Control de Capitulo I determinar el problema.
Realizar un estudio de población para
Acceso y de conocer cantidad de personas que
Seguridad de Estudian y Trabajan en el CUFM
A través de la División Académica
las cuantificar la Cantidad de población a
instalaciones estudiar.
Realizar Árbol del Problema.
del Colegio
Objetivo Consultar a través de Textos y Tesis y
Universitario General Revistas Especializadas como
Especifico referencias conceptuales capítulo II
Francisco de
Justificación Efectuar Reunión con el Tutor para
Miranda sede Alcance conocer el ámbito de acción para el
Referencias Control de Acceso.
Mijares.
Capítulo II Consultar Tesis y Revistas
Especializadas relacionadas con el
Control de Acceso.
Marco Teórico Consultar a través de Textos paginas
Marco Wed las Mejores Practicas a utilizar en
Conceptual el Diseño de Control de Acceso del
Cuadro de CUFM.
Variables Efectuar Reunión con el Tutor para
Instrumento conocer el ámbito de acción de Control
Capítulo III de Acceso del CUFM.
Programar Reunión con el tutor para el
diseño de Instrumento a practicar
Diseño de Diseñar cuestionario para determinar el
Control de Control de Acceso y Seguridad de las
Acceso y Instalaciones describir los elementos y
Seguridad de la elaborar el Sistema
Instalaciones Estudios y Análisis del Instrumento,
Capítulo I,II, III realizar Conclusiones y Propuesta.
Diseñar del Control de Acceso y
Seguridad de la Instalaciones del CUFM
sede Mijares.

158
Anexo A
Señores
CONSEJO DIRECTIVO
Colegio universitario Francisco de Miranda
Presente.

Me es grato dirigirme a ustedes con un cordial saludo e invitándolos


muy responsablemente a participar en el cuestionario del proyecto de tesis
de una Propuesta a fin de Diseñar un Sistema Automatizado de Control de
Acceso y Seguridad en las instalaciones del Colegio Universitario Francisco
de Miranda sede Mijares, para este estudio se debe sincerar la situación
actual de cómo se encuentra el CUFM, levantando la información importante
con preguntas que de manera anónima y confiable, solo busca recabar
información en pro del proceso de modernización que lleva el CUFM y
aportar en beneficio de un bien común de todos que trabajan y hacen vida en
esta casa de estudio.

Esperando su participación en el cuestionario se despide de ustedes,

Atentamente,

Lcdo. Willians Simón Pérez Hernández


Profesor Docente Instructor

Telf. 0414 3051564


Williansperez82@gmail.com
Willianssimon282@hotmail.com

159
MINISTERIO DEL PODER POPULAR PARA
LA EDUCACIÓN UNIVERSITARIA, CIENCIA Y TECNOLOGÍA
COLEGIO UNIVERSITARIO FRANCISCO DE MIRANDA
DIVISIÓN DE INVESTIGACIÓN Y POSTGRADO
COORDINACIÓN DE POSTGRADO
ESPECIALIZACIÓN DE AUDITORÍA DE TECNOLOGÍA DE INFORMACIÓN
FINANCIERA Y SEGURIDAD DE DATOS
CUESTIONARIO PARA LOS PROFESORES, PERSONAL DE SEGURIDAD
Y ADMINISTRATIVO DEL COLEGIO UNIVERSITARIO FRANCISCO DE
MIRANDA SEDE MIJARES:

El instructivo que se presenta a continuación tiene como propósito, recopilar


información en relación el Sistema Automatizado de Control de Acceso y
Seguridad en las instalaciones de CUFM sede Mijares.

Sus respuestas, a esta encuesta constituyen un aporte al trabajo de grado


para optar al título Especialista en Auditoría de Tecnología de la información
Financiera y Seguridad de Datos, en el Colegio Universitario Francisco de
Miranda.

Agradecido quedo de ustedes.

Atentamente,

Willians Pérez
_____________________________________________________________
nstrucciones:
A continuación se expones diecinueve (19) preguntas en la cual usted
deberá seleccionar una respuesta de acuerdo a las siguientes instrucciones:

1. Lea cuidadosamente cada una de las preguntas.


2. Responda la pregunta con la mayor sinceridad posible.
3. Marque con una equis (X) la alternativa que considere conveniente; (Si),
(No), (No Se), y de ser necesario justifique su respuesta en las
Observaciones.
4. Seleccione una opción.
5. Utilice bolígrafo para marcar sus respuestas.

Gracias por su participación.

160
Nro. Pregunta Si No N/S Observación
1 ¿Usted posee carnet institucional del CUFM?
2 ¿Su carnet institucional del CUFM está vencido?
3 ¿Ha tenido dificultad para renovar su Carnet
institucional del CUFM recientemente?
4 ¿En la unidad del CUFM donde usted trabaja le
realizan control de Asistencia diariamente?
5 ¿Usted está registrado en el sistema Capta
huella del CUFM Sede mijares?
6 ¿Usted utiliza para ingresar al CUFM el Sistema
de Capta huella?
7 ¿Usted ha participado en operativo para
incorporarlo el Sistema de Capta huella CUFM?
8 ¿Usted posee contraseña para ingresar al
sistema de Capta Huella CUFM Sede mijares?
9 ¿Usted conoce las políticas de regulación,
restricción y autorización de control de acceso
del CUFM Sede mijares?
10 ¿Usted posee privilegios especiales de Control
de Acceso al CUFM Sede mijares?
11 ¿Usted sabe las políticas de admisión y
restricción para ingresar a las instalaciones del
CUFM?
12 ¿Usted conoce las normas y procedimiento para
la restricción y autorización de control de acceso
del CUFM Sede mijares?
13 ¿Usted cree que existen controles para asignar
los privilegios especiales de Control de Acceso al
CUFM Sede mijares?
14 ¿Usted conoce las normas y procedimiento para
la incorporación y desincorporación en el registro
de usuarios del CUFM?
15 ¿Usted ha sido Incorporado y Desincorporado
sistema de Capta Huella del CUFM?
16 ¿Usted maneja información confidencial sobre el
Control de Acceso al CUFM Sede mijares?
17 ¿Usted le han registrando y verificado al ingresar
al CUFM?
18 ¿Usted le han imposibilitado el ingreso al CUFM
siguiendo las normas y procedimiento para la
restricción y autorización de Acceso?

161
Anexo B

162
Anexo C

163
Anexo D

164

También podría gustarte