REPÚBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DEL PODER POPULAR PARA LA EDUCACIÒN

UNIVERSITARIA
COLEGIO UNIVERSITARIO “FRANCISCO DE MIRANDA”
DIVISIÓN DE INVESTIGACIÓN EXTENSION Y POSTGRADO
Especialización en Auditoría Financiera y Seguridad de Datos.

EVALUACIÓN DE LOS PROCEDIMIENTOS DE SEGURIDAD

LOGICA EN LOS SERVIDORES DE SINCRONIZACION DE
DATOS Y EL SERVIDOR DE BASES DE DATOS (SUSE) EN
PRODATA
Proyecto de Trabajo de Grado para optar al Título de
Especialista en Auditoría de Sistemas Financieros y Seguridad
de Datos

Autora: Madriz, Catherinne

Tutor: Ráfael Malpica

Caracas, Febrero 2013

 REPÚBLICA BOLIVARIANA DE VENEZUELA
MINISTERIO DEL PODER POPULAR PARA LA EDUCACIÒN
UNIVERSITARIA
COLEGIO UNIVERSITARIO “FRANCISCO DE MIRANDA”
DIVISIÓN DE INVESTIGACIÓN EXTENSION Y POSTGRADO
Especialización en Auditoría Financiera y Seguridad de Datos.

EVALUACIÓN DE LOS PROCEDIMIENTOS DE SEGURIDAD

LÓGICA EN LOS SERVIDORES DE SINCRONIZACION DE
DATOS Y EL SERVIDOR DE BASES DE DATOS (SUSE) EN
PRODATA

Autora: Madriz, Catherinne

Tutor: Rafael Malpica

Caracas, Febrero 2013

RESUMEN
La presente investigación se refiere a la evaluación de los procedimientos
empleados en la administración de los servidores de Sincronización y Base
de Datos en la empresa PRODATA, una empresa venezolana la cual tiene
como actividad económica del desarrollo y venta de software de
Administración, Contabiliadad y Nómina, con mas de 20 años en el
mercado, la misma es con el fin de evaluar los procedimientos empleados
en los servidores para así verificar la eficiencia en los controles de
seguridad, de acuerdo a la evaluación, determinar los correctivos
necesarios para mitigar los riesgos y así la empresa adopte un mecanismo
basándose en mejores prácticas de seguridad en la información. Esta
investigación se encuentra enmarcada en un diseño de investigación No
Experimental, de tipo de campo dentro de un nivel de investigación
descriptivo. Tomando en cuenta las técnicas de recolección de datos la
observación diecta, la entrevista con un guión no estructurada y
cuestionario, los cuales permitió evaluar la situación que presenta
actualmente en el cumplimiento de lineamientos de seguridad de la
información en los servidores en estudio.
Descriptores: Políticas de Seguridad, Estándares, Riesgos.
i
ii
 DEDICATORIA

El trabajo de grado, se lo dedico a mis padres por su constancia y

apoyo; a mi tía María Madriz por estar siempre a mi lado en todo momento,

a mis abuelos que en donde se encuentran en este momento me dan su

bendición, a mi Hermano Jesús y a mi esposo Asdrúbal quién me da su

apoyo incondicional siempre.

Catherinne Madriz

iii
 AGRADECIMIENTOS

Ante todo le doy gracias a Dios por darme la fortaleza necesaria para

realizar este trabajo de grado.

A la Profesora Eva Hidalgo, por su asesoramiento en la fase

metodológica, al profesor Rafael Malpica, quienes me ayudaron en la

elaboración del trabajo de grado.

A todo el personal de la empresa PRODATA, a todos le doy mis más

sinceros agradecimientos por hacer realidad este trabajo de grado.

Catherinne Madriz

iv
 INDICE GENERAL

PORTADA
ACTA DE EVALUACIÓN DE TRABAJO DE GRADO DE
POSTGRADO............................................................................................ii
DEDICATORIA.........................................................................................iii
AGRADECIMIENTOS...............................................................................iv

INTRODUCCIÓN………………………………………………...........……….1

CAPITULOS

I. EL PROBLEMA

Planteamiento del problema……………………....………….....…….4

Objetivos………………………………………..…....….……...….…..11
Objetivo General…………………….…………....……....…..….….11
Objetivo Especifico……………………..……....………..……….…11
Justificación de la investigación………………....………..….….…..12
Alcance…………………………………………....…………...….……14
II. MARCO TEÓRICO
Antecedentes relacionados……………….………………........…….15
Bases Teóricas...............................................................................16
III. MARCO METODOLOGICO
Diseño de la Investigación…………………………….......………… 48
Tipo de Investigación………………………………………………….48
Nivel de la Investigación………………………………………..……..49
Población y muestra………………………………………….….…….50
Conceptualización de las Variables…………………….…….……..51
IV. DESARROLLO DE RESULTADOS
Técnica de Recolección de Datos………………………….………..56
Presentación de resultados……………………………...……………59
V. CONCLUSIONES Y RECOMENDACIONES
Conclusiones…………………………………………………….……………71
Recomendaciones……………………………………………………………74
v
REFERENCIAS BIBLIOGRAFICAS
Libros………………..………………………………………..…..……76
Tesis y Trabajo de Grado..………………………………..…….…..76
Fuentes Electrónicas…….………………………………..…………77
Clases Magistrales……………………………….………………..…80
ANEXOS
A Matriz FODA ………………………………………………....…….81
B Modelo de Madurez COBIT………………………………..……..83
C Matriz de Riesgo de Leopold………………………………...…...88
D Modelo de Encuesta al Personal Encargado del Servidor
Sincronización / Base de Datos……………………………....…….89

vi
 INTRODUCCIÓN

A.Garsd (2005) Define la Investigación, como el estudio de los

métodos, procedimientos y técnicas utilizados para obtener nuevos
conocimientos, explicaciones y comprensión científica de los problemas,
fenómenos planteados y, por consiguiente, que nos pueden llevar a la
solución de los mismos. En el ámbito estratégico servirá para una toma de
decisiones acertadas en un determinado tiempo para la empresa, al tener
los conocimientos organizados, se realiza un mejor análisis crítico de las
proposiciones planteadas. Para ello es necesario el desarrollo de las ideas
para resolver cualquier tipo de problema y las soluciones obtenidas serán
a través de operaciones lógicas, partiendo de los objetivos de la
investigación.

Las Organizaciones hoy en día tienen otra manera de pensar, en

cuanto a proteger y resguardar sus recursos, dando un mayor énfasis a la
protección de la data que esta maneja, colocando más seguridad en los
accesos de usuarios inescrupuloso que puedan interactuar y/o manipular
la información y así conservar la confidencialidad de sus archivos.

Actualmente, por la rápida evolución de la tecnología, nacen

personas con destrezas tecnológicas y éstas son señaladas como intrusos
potentes , poniendo en riesgo la data de la empresa, es muy importante
que estas organizaciones adopten un conjunto mínimo de controles de
seguridad para proteger su información, a su vez contar con unas políticas
de seguridad, que no es más que un documento que recoge todos los
requisitos y prácticas de seguridad para asegurar el funcionamiento de la
infraestructura de una forma fiable. El propósito fundamental de este
documento, es proporcionar una visión de los posibles eventos y sus
respectivos correctivos para subsanar estos ataques.

1
 En un sentido amplio de un sistema, indicando como un grupo de
componentes interrelacionados trabajando juntos por un objetivo común.
Cualquier organización puede ser concebida como un sistema. Todo
sistema organizacional cuenta con una entidad abstracta denominada
sistema de información. El cual es definido como el sistema de personas,
registros de datos y actividades que procesa los datos y la información en
cierta organización, incluyendo manuales de procesos o procesos
automatizados. Usualmente el termino es usado erróneamente como un
sinónimo de sistema de información basada en computadora, lo cual son
solo tecnologías de información un componente de un sistema de
información. El sistema de información basada en computadora son el
campo de estudio de las tecnologías de información, de cualquier manera
estas difícilmente deberían tratarse como tema aparte del enorme sistema
de información que siempre está relacionado.

Esta investigación está orientada a la evaluación de los diferentes

procedimientos de seguridad que posee la empresa PRODATA, en el
resguardo de la data que ésta maneja, tomando en cuenta una de las
mejores prácticas que es COBIT 4.1 este hace énfasis en el cumplimiento
reglamentario de las directrices para ayudar a las organizaciones a
incrementar el valor de Tecnología de la Información, relacionadas con los
Objetivos de Control para la Información, es cual será muy provechoso
para el desarrollo de este estudio, para ello se tomará en cuenta los
Servidores de Sincronización y Base de Datos, ya que estos son los más
importantes en la gestión diaria de la empresa y los más significativos.

Esta investigación estará constituida por las siguientes fases.

2
 Fase I: Relata el planteamiento del problema, tratando de dar a
conocer las debilidades y/o fortalezas que están presentes en los
servidores en estudio, se indican los objetivos de la investigación que se
pretende alcanzar con resultados reales para la justificación y el alcance
de la investigación.
Fase II: Describe el Marco teórico, donde se desarrolla las
definiciones que argumentan la investigación.
Fase III: Comprende al marco metodológico que son las etapas de
la investigación, considerando el tipo, diseño del estudio, su población y
muestra tomadas para la evaluación y análisis, para dar respuestas a las
interrogantes planteadas en este trabajo, las diferentes técnicas para la
recolección de los datos fundamentales para el desarrollo de esta
investigación, y la conceptualización de las variables con sus respectivos
indicadores para su medición.
Fase IV: Contiene el análisis de los resultados arrojados por los
instrumentos de recolección de información, realizando el respectivo
análisis de cada ítems, basándose en las directrices propuestas en los
estándares utilizados en COBIT 4.1.
Fase V: Refiere las conclusiones finales de la investigación y sus
respectivas recomendaciones para el objeto en estudio.

3
 CAPITULO I
EL PROBLEMA

EL PLANTEAMIENTO DEL PROBLEMA

Los Sistemas de Seguridad abarcan tanto la parte física como

lógica de una infraestructura, ambas con el propósito de prevenir los
riesgos o problemas que se puedan presentar en algún momento. En las
organizaciones existen diversos tipos de activos, estos pueden ser tanto
intangibles como tangibles, los cuales son de prioridad para ella. En todo
negocio, el activo principal es la información.

En cuanto a la Seguridad, se considera como la “condición que

resulta del establecimiento y mantenimiento de medidas de protección que
garanticen un estado de inviolabilidad de influencias o de actos hostiles
específicos que puedan propiciar el acceso a la data de personas no
autorizadas o que afecten la operatividad de las funciones de un sistema
de computación”.

Se entiende por Seguridad Informática, “asegurar los recursos del

sistema de información de una organización, sean utilizados
correctamente y el acceso a la información y su modificación, sean
únicamente el personal acreditadas y con las autorizaciones al respecto”.
Fernandez, C, 1988).

La Seguridad lógica es la “aplicación de barreras y procedimientos

que resguarden el acceso a los datos y sólo se permita acceder a ellos a
las personas autorizadas para hacerlo”. Mucha gente considera que
seguridad es solamente la seguridad lógica, pero este concepto es
erróneo ya que se debe tener en cuenta algunos protocolos para el
acceso de la Información de la Organización.

4
 En algunas regiones del mundo, tienen como significado que la
información es un activo de la organización, debido a ello le dan la
protección y seguridad necesaria para su resguardo. Asimismo, en este
tipo de organizaciones, la práctica de la seguridad de la información se
independiza de lo técnico, haciendo análisis de vulnerabilidades, pruebas
de penetración, firewalls, antivirus, etc. para así poder tener la visión más
estratégica.

En Latinoamérica, la seguridad de la información aún no tiene ese

carácter estratégico (por lo menos, no de manera generalizada y
estructurada), todavía sigue siendo responsabilidad exclusiva del área de
tecnología, en cuanto a la vigilancia y salvaguarda de los datos de la
empresa.

Esta parte del mundo, aún esta inmadura con estos aspectos de
resguardo de la información, en comparación con el resto de los países,
debido a que no le dan la importancia a las estrategias de seguridad que
esta debe tener. Estas prácticas están asociadas a la administración de
riesgos, la continuidad del servicio, la continuidad del negocio, y la
planeación estratégica de la seguridad de la información se vuelven vitales
para mantener un nivel de seguridad adecuado a lo largo del tiempo.

En Venezuela existen compañías que no tiene tecnología

actualizada para los posibles ataques externos o internos que puedan
sufrir, colocando en riesgo su data, o no poseen la madurez de tener la
información como la más importante que esta tiene la empresa, siendo ella
el corazón de la misma y deben ser celosamente cuidadosos , pero sólo
se enfocan en la seguridad tradicional y mantener alejados los ataques
externos, a su vez otra situación que afecta es la monetaria, el no invertir
en la seguridad, ya que tener una buena protección es costosa, se
necesita un personal calificado para estas actividades; por ejemplo existen
5
empresas dedicadas al soporte de software con servidores de repositorio
de información de los clientes, éstas tienen pocas estrategias de
seguridad de acuerdo a los distintos estándares para proteger la
información, una evidencia es que los empleados de la casa de software
pueden tener acceso por medio de usuarios a los servidores y podrían
manipular esta información sin ningún tipo de control, al ser una empresa
de software debe existir un contrato de confidencialidad, ya que en ésta se
maneja información confidencial de los clientes, es decir cualquier usuario
puede acceder al servidor e incluso, sabotear o hurtar datos importantes
para uso particular. Adicionalmente el acceso físico al servidor no posee
ningún tipo de seguridad física, por lo tanto pueden ingresar con facilidad,
omitiendo lo establecido en COBIT, uno de los estándares para la
seguridad de la información.

Prodata, es una empresa venezolana que se inició en 1987, ha

creado más de diez (10) versiones del Sistema Administrativo, Seis (6)
versiones del Sistema de Nómina y cuatro (4) versiones del Sistema de
Contabilidad. Cuenta con una experiencia basada en 20 años en el
mercado y posee una base instalada que supera las 12.000 licencias en
todo el territorio nacional, a su vez cuenta con el apoyo de un consorcio
de empresas de servicios, “Integradores”, dedicados exclusivamente a la
venta, desarrollo e implantación de los productos. Estos productos están
basado en sistemas abiertos (Open Source) ésta significa que su código
fuente es liberado, y así los usuarios que tienen este acceso al código
puedan ajustar el producto tanto como sea necesario para conseguir y
cubrir sus necesidades realizando ajustes a los productos ellos mismos.

Por tal razón, se ha logrado la innovación en todos los aspectos del

negocio, procurando siempre tener productos de vanguardia que incluyen
6
avanzados componentes tecnológicos y el más moderno modelo de
negocios. Dentro del bosquejo está la invención e investigación, que
permite diferenciar altamente los esquemas tradicionales de Software y se
posiciona como la mejor opción del mercado con escasa competencia.
Por tales funciones se maneja gran cantidad de información, este posee
su sistema de seguridad y controles de acceso para resguardar la misma,
éste posee 4 Servidores ( Servidor de Sincronización de Datos (DpSync),
Servidor de Bases de Datos (SUSE), Servidor de Internet(PFSENSE),
Servidor de Proyecto(GFORGE) y un Servidor de Dominio(UBUNTU).

Según Fernández, C (1988), “Un servidor es una computadora que,

formando parte de una red, provee servicios a otras computadoras
denominadas clientes.” (p56)

De acuerdo con lo descrito en el Manual de Procedimientos para

Realizar una Correcta Instalación del Servidor de Sincronización en los
Clientes, Adaptapro, (2005), esta empresa maneja un servidor de tipo
sincronización de datos, donde almacenan gran cantidad de carpetas con
los nombres de cada clientes, cuya función principal es descargar los
programas y/o modificaciones que el cliente solicite o mejoras del sistema,
este proceso es simplemente Sincronizar los archivos del sistema con los
de la carpeta correspondiente en el Servidor de Sincronización Principal
(DpSync). El servidor principal (DpSync) como el “Servidor de
Sincronización Principal” y el equipo que se comunica con este último
desde las instalaciones del cliente “Servidor de Sincronización Local”.Para
estos procesos es necesario tener en cuenta las políticas de seguridad de
la información, y así tener una integridad y confiabilidad de la transferencia
de datos.

Así que, un servidor de bases de datos surge con motivo de la

necesidad de las empresas de manejar grandes y complejos volúmenes
7
de datos, al tiempo que requieren compartir la información con un
conjunto de clientes (que pueden ser tanto aplicaciones como usuarios)
de una manera segura.

La función principal de estos servidores, es gestionar la información

de los clientes que adquieren el producto, el riesgo más resaltante es la
integridad, confiabilidad y privacidad de la información de la empresa del
cliente, los peligros informáticos (virus, intrusos, sabotaje) son de suma
importancia, puesto que maneja gran cantidad de data. Actualmente hay
diversas debilidades de los sistemas al realizar el proceso de
sincronización, ya que se corre el riesgo de que un tercero intervenga en
la fase de transmisión de archivos, ocasionando pérdida de la misma y
sabotaje de los sistemas.

Adicionalmente a lo señalado, se suma un gran volumen diario de

transferencia que ocasiona congestión y tráfico de los archivos enviados
al servidor, a su vez hay que tener en cuenta que las tecnologías han
avanzado de tal manera que se pueden violar algunos sistemas de
seguridad. Todo sistema de información está expuesto a los ataques.

Uno de los manuales con directrices para la seguridad de la

información, es COBIT el cual posee prácticas para medir en forma
comparativa el ambiente donde se desarrolla la Tecnología de la
Información.
COBIT se puede englobar con las siguientes características:

• Ha sido desarrollado como un estándar generalmente aceptado y apli-

cable a las buenas prácticas de seguridad y control en Tecnologías
de la Información y Comunicaciones (TIC).

 Ayuda a salvar las brechas existentes entre riesgos de negocio,

necesidades de control y aspectos técnicos. Proporciona “prácticas

8
 sanas” a través de un Marco Referencial de dominios y procesos y
presenta actividades en una estructura manejable y lógica. Las
prácticas sanas de COBIT representan el consenso de los expertos.

 Tiene una premisa simple y práctica: con el fin de proporcionar la

información que la organización necesita para alcanzar sus objetivos,
señala que los recursos de TIC deben ser administrados por un
conjunto de procesos de TIC agrupados en forma natural.

 Está diseñado no solo para ser utilizado por usuarios y auditores, sino
que en forma más importante, está diseñado para ser utilizado como
un Check List detallado para los responsables de cada proceso.

 Proporciona las herramientas necesarias para que el responsable de

los procesos de seguridad pueda facilitarle en el cumplimiento de la
seguridad de información.

Es, por lo tanto, la herramienta innovadora para el manejo de TIC que

ayuda a la gerencia a comprender y administrar los riesgos asociados
con TIC.

Hoy en día las empresas al presentar ataques a su información, es-

tán implantando nuevas políticas de seguridad, (Huerta, 2000) lo define
como:

“Es un conjunto de requisitos definidos por los responsables de un

sistema, que indica en términos generales que está y que no está
permitido en el área de seguridad durante la operación general del
sistema. Para así proteger la información de los diferentes ataques
de hacker, y poder mantener y actualizar los controles para mitigar
los inconvenientes”.p30.

9
 En este marco, están las siguientes interrogantes:

1.- ¿Cuáles son los niveles de seguridad de la información aplicados a los

Servidores de Sincronización (DpSync) y el Servidor de Base de Datos
(SUSE)?.

2.- ¿Cuáles son los controles seguridad utilizados para resguardar la

información en los servidores Sincronización (DpSync) y el Servidor de Base
de Datos (SUSE)?

3.- ¿Qué debilidades y fortalezas tienen los servidores en cuanto a la

seguridad de la información?

4.- ¿Cuales son los estándares aplicados por la empresa en los

servidores de Sincronización (DpSync) y el Servidor de Base de Datos
(SUSE)?

5.- ¿Qué directrices del Manual de COBIT 4.1, se cumplen la

empresa en estudio?

10
 OBJETIVOS DE LA INVESTIGACIÓN

Objetivo General.

Evaluar los procedimientos de seguridad lógica en los servidores de

sincronización de datos y el servidor de base de datos (SUSE) en la empresa
PRODATA.

Objetivos Específicos.

1. Describir los niveles de seguridad en los servidores de

sincronización y Base de Datos, para el resguardo de la data.

2. Especificar los estándares y controles aplicados en la empresa

para el resguardo de la información.

3. Diferenciar debilidades y fortalezas de los sistemas de seguridad

de sincronización y Base de Datos, para el resguardo de la data.

4. Caracterizar los riesgos de los Servidores de Sincronización

(DpSync) y el Servidor de Base de Datos (SUSE).

5. Analizar las Políticas de Seguridad de Información aplicadas en

los Servidores de Sincronización y Base de Datos, basándose en
el estándar de COBIT.

11
 JUSTIFICACIÓN DE LA INVESTIGACIÓN

Aunque existen organizaciones que dan la importancia o

simplemente le restan el valor del significado de protección de la
información, no piensan en las consecuencias que acarrea una pérdida de
información e impacto tanto en lo monetarios como en el tiempo, como en
la pérdida de prestigio.

Debido a los distintos procedimientos de seguridad y más aún en la

parte lógica, esta contiene las descripciones de actividades que deben
seguirse en la realización de las funciones de la administración de los
servidores utilizados por la empresa.

Para ello se justificó el problema planteado en la investigación, con

la evaluación de procedimiento de los servidores de Sincronización de
Datos (DpSync) y el Servidor de Bases de Datos (SUSE) en PRODATA,
tomando en cuenta la confidencialidad, integridad y autenticidad de la
información. Teniendo en cuenta para el mismo el estándar COBIT 4.1, en
dos (2) de sus dominios Garantizar la Continuidad del Servicio (DS4) el
cual son directrices para minimizar el impacto al negocio en caso de la
interrupción de sus actividades, indicando como primordial los planes de
contingencias en la empresa y de Garantizar la Seguridad de los Sistemas
(DS5) en este dominio permite mantener la integridad de la información y
proteger los activos, COBIT (2007).

Para tal evaluación, se consideró las mejores prácticas que

establece COBIT 4.1 ya que propone la evaluación de los aspectos
técnicos, seguridad, riesgos, calidad y sus respectivos controles para
mitigar los riesgos que una organización esta expuesta. Este manual
posee diversos dominios que abarca una gran cantidad de objetivos
operativos, y de acuerdo al requerimiento a considerar se ubica en el

12
criterio más adecuado para tal evaluación, y así obtener una mejor
eficacia para controlar la situación planteada.

Este manual está orientada a varios niveles jerárquicos en la

empresa: a la Gerencia de la organización para la toma de decisiones en
la inversión de la Seguridad de la Información en la organización, al
personal operativo del departamento de Tecnología de Información para
garantizar el control y seguridad de los procesos que se manejen en la
misma, y a los auditores quienes podrán argumentar sus opiniones
basándose en estos controles y establecer los mínimos requerido para la
seguridad, a su vez indicar el impacto en la organización, COBIT se
considera como una herramienta importante para evaluaciones en la
materia de seguridad de la información, tomando en cuenta que éste
trabaja mediante un marco de trabajo.

Considerando la magnitud de la información manejada, es

necesaria la evaluación de los sistemas de seguridad en cuanto a los
posibles ataques de intrusos a los servidores y como se podría mitigar
estos riesgos, ya que son vulnerabilidades, amenazas que pueden ocurrir
sin previo aviso y producir numerosas pérdidas para las empresas. Los
riesgos más perjudiciales son a las tecnologías de información y
comunicaciones.

En este sentido, se consideraron los dominios DS5 de Cobit 4.1,

que analiza el proceso de garantizar la seguridad de los sistemas.
Adicionalmente por tratarse de una empresa de servicios, es necesario
tener en cuenta la norma DS4 que trata de garantizar la continuidad de los
servicios, para los planes de contingencias y darle continuación al
negocio.

13
 Este proceso minimiza la probabilidad y el impacto de
interrupciones mayores en los servicios de la seguridad de la información,
sobre funciones y procesos claves del negocio.

ALCANCE

El propósito de esta investigación es dar a conocer los diversos

riesgos que la empresa en estudio, para dar a conocer las posibles
recomendaciones y fortalecer las debilidades de acuerdo a los estudios
que se realizarán, de manera que la empresa en estudio pueda corregirlos
a futuro.

De igual manera para enriquecer los conocimientos y crecimiento

profesional, se selecciono este tema que es muy importante para todas las
organizaciones, bien sea grande, mediana o pequeña, actualmente sin
importar su dimensión están propensas a poseer riesgos, es allí donde las
recomendaciones de esta investigación, indicará como es la adecuada
manipulación de la seguridad de información, con ello como objetivo final
minimizar riesgos de pérdida de información.

14
 CAPITULO II

MARCO TEÓRICO

ANTECEDENTES DE LA INVESTIGACIÓN:

Mijares (2008) en su investigación, EVALUACIÓN DE LOS

PROCEDIMIENTOS DE SEGURIDAD DE LOS SERVIDORES WINDOWS
DEL BANCO COMERCIAL BEDAM, aplica mejores prácticas de
Seguridad tales ISO 17799, COBIT, estas contribuirán a la seguridad de la
información puesto que actualmente existen debilidades de cumplimiento
de los procedimientos y normativas en materia de Seguridad de
Información.

Liendo (2007), Evaluación del cumplimiento de políticas y

estándares de Sistemas de Información en la red de agencias del Banco
X, Banco Universal. Trabajo de Grado (No Publicado) presentado para
optar al Título de Especialista de Auditoria de Sistemas Financieros y
Seguridad de Datos. Caracas. CUFM

15
 BASES TEORICAS:

Los Objetivos de Control para la Información y la Tecnología

( COBIT 4.1)

BASES LEGALES Y/O NORMATIVAS:

Ley .de Delitos Informáticos.

 Art 1: Objeto de la ley. La presente ley tiene por objeto la

protección integral de los sistemas que utilicen tecnologías de información,
así como la prevención y sanción de los delitos cometidos contra tales
sistemas o cualquiera de sus componentes o los cometidos mediante el
uso de dichas tecnologías, en los términos previstos en esta ley.

 Art. 6: Acceso indebido. El que sin la debida autorización o

excediendo la que hubiere obtenido, acceda, intercepte, interfiera o use un
sistema que utilice tecnologías de información, será penado con prisión de
uno a cinco años y multa de diez a cincuenta unidades tributarias

 Art. 7: Sabotaje o daño a sistemas. El que destruya, dañe,

modifique o realice cualquier acto que altere el funcionamiento o inutilice
un sistema que utilice tecnologías de información o cualquiera de los
componentes que lo conforman, será penado con prisión de cuatro a ocho
años y multa de cuatrocientas a ochocientas unidades tributarias.

Incurrirá en la misma pena quien destruya, dañe, modifique o inutilice

la data o la información contenida en cualquier sistema que utilice
tecnologías de información o en cualquiera de sus componentes.

La pena será de cinco a diez años de prisión y multa de quinientas a

mil unidades tributarias, si los efectos indicados en el presente artículo se
realizaren mediante la creación, introducción o transmisión, por cualquier
medio, de un virus o programa análogo.

16
  Art. 8: Acceso indebido o sabotaje a sistemas protegidos. Las
penas previstas en los artículos anteriores se aumentarán entre una
tercera parte y la mitad cuando los hechos allí previstos o sus efectos
recaigan sobre cualquiera de los componentes de un sistema que utilice
tecnologías de información protegido por medidas de seguridad, que esté
destinado a funciones públicas o que contenga información personal o
patrimonial de personas naturales o jurídicas

 Art. 11: Espionaje informático. El que indebidamente obtenga,

revele o difunda la data o información contenidas en un sistema que utilice
tecnologías de información o en cualquiera de sus componentes, será
penado con prisión de cuatro a ocho años y multa de cuatrocientas a
ochocientas unidades tributarias.

La pena se aumentará de un tercio a la mitad, si el delito previsto en

el presente artículo se cometiere con el fin de obtener algún tipo de
beneficio para sí o para otro.

El aumento será de la mitad a dos tercios, si se pusiere en peligro

la seguridad del Estado, la confiabilidad de la operación de las instituciones
afectadas o resultare algún daño para las personas naturales o jurídicas
como consecuencia de la revelación de las informaciones de carácter
reservado.

 Art. 13: Hurto. El que a través del uso de tecnologías de

información, acceda, intercepte, interfiera, manipule o use de cualquier
forma un sistema o medio de comunicación para apoderarse de bienes o
valores tangibles o intangibles de carácter patrimonial sustrayéndolos a su
tenedor, con el fin de procurarse un provecho económico para sí o para
otro, será sancionado con prisión de dos a seis años y multa de
doscientas a seiscientas unidades tributarias.

17
  Art. 20: Violación de la privacidad de la data o información de
carácter personal. El que por cualquier medio se apodere, utilice,
modifique o elimine, sin el consentimiento de su dueño, la data o
información personales de otro o sobre las cuales tenga interés legítimo,
que estén incorporadas en un computador o sistema que utilice
tecnologías de información, será penado con prisión de dos a seis años y
multa de doscientas a seiscientas unidades tributarias.

La pena se incrementará de un tercio a la mitad si como

consecuencia de los hechos anteriores resultare un perjuicio para el titular de
la data o información o para un tercero.

En tal sentido, en los últimos años el uso de Internet se encuentra

en aumento cada día. Debido a este crecimiento es necesario que las
organizaciones utilicen recursos para controlar el acceso de usuarios a los
sistemas de información de la organización.

En tal sentido, la información es considerada un recurso que, como

el resto de activos importantes que pueda tener una empresa, al tener un
gran valor, debe estar debidamente protegida. Es importante tener claro
este significado, puesto que, para el manejo de la tecnología es esencial,
pues es necesario tener presente que la información:

 Esta almacenada y procesada por una computadora.

 Puede ser confidencial para un grupo de personas o a escala

institucional.

 Puede ser mal utilizada o divulgada.

 Puede estar sujeta a robos, sabotaje o fraudes.

18
 Los primeros puntos son los más relevantes, ya que se muestra
que la información es de gran valor, en los últimos, se evidencia que
puede provocar su destrucción parcial o total de la misma. Información.

“Los sistemas de información, consiste en una cantidad de

procedimientos y reglas para entregar la información a los miembros de la
organización”.

Existen dos palabras muy importantes y vinculadas entre sí, estas

son la Seguridad, que nace cuando hay posibles amenazas,
considerándose como amenaza para la integridad de la información:
Riesgo, es todo tipo de vulnerabilidades, amenazas que pueden ocurrir
sin previo aviso y producir numerosas pérdidas para las empresas. Los
riesgos más perjudiciales son a las tecnologías de información y
comunicaciones. En definitiva la Seguridad, es una forma de protección
contra los riesgos.

Cada vez se hace más evidente que la seguridad de la información,

va en ascenso de acuerdo con las necesidades que hoy en día presentan
las organizaciones, puesto que en esta época ha tomado gran auge por
los diversos ataques o sabotajes a las organizaciones, en las cuales
deben estar de la mano con los estándares internacionales para proteger
su activo principal: estas directrices proporcionan ciertas normas, que son
buenas prácticas en la gestión de riesgos asociados con la información
para prevenir los fraudes o ataques y mantener la integridad de la data. La
protección de la información debe ser el objetivo principal de una
organización, por la evolución de las plataformas tecnológicas, y los
riesgos van aumentando en los últimos años.

Cuando hablamos de seguridad de Información, se hace referencia

a cualquier método utilizado para proteger los datos almacenados en los

19
dispositivos de almacenamiento externo, contra el acceso a personas no
autorizadas.

Es decir, consiste en la protección de los datos que manipula la

organización, de las amenazas tanto internas como externas, lo que
podría poner en peligro la información de la empresa.

ISO 17799 (2005), la define como “la preservación de las siguientes

características o atributos de la misma: confidencialidad, integridad y
disponibilidad”.

Seguridad de Información a plenitud, hoy en día no existe, sólo se

mitigan los posibles riesgos, para así reducir en gran cantidad los peligros
que pueda dañar y/o manipular la información, puesto que cada día nacen
nuevas amenazas y con la evolución de la tecnología esto hace mucho
más ardua la tarea de tener segura al 100% la información.

Espiñeira, Sheldon y Asociados (2007), nos indica que existen 3

alcances necesarios para que la Seguridad de la Información funcione
apropiadamente:

 Avanzar de un enfoque reactivo de gestión, hacia el

establecimiento de estrategias y planes de corto, mediano y largo plazo.

 Lograr una reducción efectiva del esfuerzo en Seguridad de

Información por la atención y resolución de situaciones cotidianas, en
función de enfocarse en el aporte de valor al negocio.

 • Incorporar el enfoque de servicio en la gestión de la Seguridad

de Información.

De acuerdo a la encuesta anual sobre la seguridad de la informática

que realiza Ernst & Young (E&Y) en el año 2011 en todo el mundo, indica
que “las empresas actúan luego de que haya habido un problema, las

20
intervenciones en seguridad informática aparece después que hubo un
problema”, explico Fernando Conesa socio de Ernst & Young.

Según esta encuesta, existen cifras preocupantes ya que los datos

demuestran que un 67% de las empresas consultadas considera muy
importante las políticas de seguridad informática. Pero sólo el 15% reporta
a los directorios de las empresas el estado de seguridad o incidentes
informáticos sucedidos cada mes. Un 16% lo hace cada cuatro meses, un
8% cada seis meses, un 11% nunca y el 10% sólo una vez por año. Luego
la encuesta resalta sobre los obstáculos que ocasiona implementar una
buena seguridad de información, destaco lo siguiente: que hay falta de
conciencia en los usuarios finales, limitaciones de presupuesto,
disponibilidad de personal especializado, dificultad para probar el
valor de la seguridad informática (el retorno de la inversión) y el ritmo
acelerado de los cambios tecnológicos.

En Venezuela en el 2007, se realizó una encuesta a 436 empresas

con diversas actividades económicas para el análisis de las tendencias en
seguridad de información por sector, se evidenció que para las empresas
grandes y medianas sin importar su actividad, es importante la seguridad
de la información, y cuentan con el personal necesario para este fin, pero
en las pequeñas empresas no cuentan con un personal calificado para la
seguridad, ya que para ellos no es necesario o no le dan la importancia
que esta posee.

Proporción de la encuesta en este punto tan importante.

21
 Fuente: Prácticas de Seguridad de Información de las empresas de Venezuela. 2007-2008.

https://www.pwc.com/ve/es/encuestas/assets/si-2008.pdf .

Nos indica que las empresas encuestadas consideran que los

principales obstáculos que presenta la práctica de seguridad de activos de
información son falta de cultura/adiestramiento de los usuarios (56%),
restricciones de presupuesto (51%), falta de personal especializado en
seguridad de información (42%) y falta de tiempo dedicado a seguridad de
información (42%). Adicionalmente, analizó que para el año 2007 uno de
los orígenes de los incidentes de seguridad reportados, se observa que un
72% de los mismos ha sido causado por un empleado de la organización y
un 17% por hackers.

Por otra parte, el Proyecto Abierto de Seguridad de Aplicaciones

Web (OWASP), en un discurso dictado en Venezuela indico que estudios
realizados por especialistas los ataques eran proporcionales entre los ex-
empleados de la empresa y los hackers, en vista que por la seguridad que
22
maneja las grandes empresas están en la búsqueda de la investigación de
medianas y pequeñas empresas para los ataques, puesto que como no le
prestan atención debida a la seguridad de la información, estos se
aprovechan de esta error y atacan.(Subero D, 2012)

Toda organización bien sea pequeña, mediana o grande, sin

importar su dimensión, puede ser víctimas de ataques maliciosos y traer
pérdida importante de información, para ello es importante y necesario
tener una excelente seguridad para su data, y así conservar la integridad y
confidencialidad de la misma, ya que actualmente existen individuos que
se dedican al espionaje, robo ( Hackeo), sabotaje entre otras actividades
ilícitas, que la organización está expuesta cada día.

Para ello es necesario, implementar medidas que brinden seguridad

a las organizaciones, con un personal calificado para esta gestión y
proteger, garantizando la confiabilidad de la información.

Los actores que amenazan la seguridad de la información se podría

considerar como los hackers, a cualquier persona con amplios
conocimientos en tecnología, teniendo estos conocimientos como de
informática, electrónica o comunicaciones, estos se mantiene
permanentemente actualizado y conoce a fondo todo lo relacionado con
programación y sistemas complejos; es un investigador nato que se inclina
ante todo por conocer lo relacionado con cadenas de datos cifrados y las
posibilidades de acceder a cualquier tipo de "información segura". Su
formación y las habilidades que poseen les dan una experticia mayor que
les permite acceder a sistemas de información seguros, sin ser
descubiertos, y también les da la posibilidad de difundir sus conocimientos
para que las demás personas se enteren de cómo es que realmente
funciona la tecnología y conozcan las debilidades de sus propios sistemas
de información. Por otro lado, un craker, es aquella persona con
23
comportamiento compulsivo, que alardea de su capacidad para reventar
sistemas electrónicos e informáticos. Este es un hábil conocedor de
programación de Software y Hardware; diseña y fabrica programas de
guerra y hardware para reventar software y comunicaciones como el
teléfono, el correo electrónico o el control de otros computadores remotos.
Seguridad de la Información.

Estas personas que ocasionan daños, sabotaje y/o robo de

información, sus acciones se considera como un delito informático estos
ataques de intrusos maliciosos que violan los lineamientos de seguridad
de las organizaciones para un fin, bien sea para el saboteo o el robo de
información. Un delito Informático, es un crimen genérico o crimen
electrónico, que agobia con operaciones ilícitas realizadas por medio de
Internet o que tienen como objetivo destruir y dañar computadores, medios
electrónicos y redes de Internet. Estos delitos informáticos están
contemplados en la Ley Especial contra los Delitos Informáticos.

De esta manera se debe tomar en cuenta las reglas mínimas para

los distintos procesos que posea la organización, en cuanto a la
manipulación de la información para conservar los requerimientos de las
necesidades de calidad y seguridad de las empresas, se estudian a través
de siete (7) criterios de información, que pueden ser usados
genéricamente para definir los requerimientos de los negocio de la
Tecnología de Información (TI), estos criterios de acuerdo a Los Objetivos
de Control para la Información y la Tecnología ( COBIT 4.1) éstos
criterios son:

24
 EFECTIVIDAD: tiene que ver con que la información sea relevante y
pertinente a los procesos del negocio, y se proporcione de una
manera oportuna, correcta, consistente y utilizable

EFICIENCIA: consiste en que la información sea generada optimizando

los recursos (más productivo y económico).

DISPONIBILIDAD: se refiere a que la información esté disponible

cuando sea requerida por los procesos del negocio en cualquier
momento. También concierne con la protección de los recursos y las
capacidades necesarias asociadas.

INTEGRIDAD: está relacionada con la precisión y completitud de la

información, así como con su validez de acuerdo a los valores y
expectativas del negocio.

CONFIABILIDAD: significa proporcionar la información apropiada para

que la gerencia administre la entidad y ejercite sus responsabilidades
fiduciarias y de gobierno.

CONFIDENCIALIDAD: se refiere a la protección de información

sensitiva contra revelación no autorizada.

CUMPLIMIENTO: tiene que ver con acatar aquellas leyes, reglamentos

y acuerdos contractuales a los cuales está sujeto el proceso de
negocios, es decir, criterios de negocios impuestos externamente, así
como políticas internas. (COBIT 4.1. 2007. P10)

Además, brinda a través de un marco de trabajo de dominios y

procesos, actividades en una estructura manejable y lógica y divide la
Tecnología de la Información (TI) en 34 procesos pertenecientes a
Dominios y provee objetivos de control de alto nivel para cada uno de
ellos. Estos dominios son:

25
Planear y Organizar. Este dominio cubre las estrategias y las tácticas y
se refiere, a la identificación de la forma en que la tecnología de
información puede contribuir de la mejor manera al logro de los
objetivos del negocio. Además, la consecución de la visión
estratégica necesita ser planeada, comunicada y administrada desde
diferentes perspectivas. Finalmente, deberá establecerse una
organización y una infraestructura tecnológica apropiadas

Adquirir e Implementar. Para llevar a cabo la estrategia de TI, las

soluciones de TI deben ser identificadas, desarrolladas o adquiridas,
así como implementadas e integradas dentro del proceso del
negocio. Además, este dominio cubre los cambios y el mantenimiento
realizados a sistemas existentes, para asegurar que el ciclo de vida
es continuo para esos sistemas.

Entrega y Soporte. A este dominio le concierne la entrega efectiva de

los servicios requeridos, que van desde las operaciones tradicionales
pasando por los aspectos de seguridad y continuidad hasta el
entrenamiento. Para prestar servicios, se deben establecer los
procesos de soporte necesarios. Este dominio incluye el
procesamiento efectivo de datos mediante los sistemas de
aplicación, clasificados a menudo bajo los controles de aplicación

Monitoreo y Evaluar. Todos los procesos de TI necesitan ser evaluados

regularmente a través del tiempo por su calidad y el cumplimiento
con los requerimientos de control. Este dominio resuelve así la
supervisión del proceso de control de la administración y el
aseguramiento independiente suministrada por la auditoría interna y
externa u obtenida de fuentes alternativas.

26
 Adicionalmente de estos dominios, existen procesos que
permiten el cumplimiento de las directrices que COBIT 4.1, plantea para
su marco de trabajo y así lograr las metas de seguridad de la información.

La misión de COBIT es Investigar, desarrollar, hacer público y

promover un marco de control de gobierno de TI autorizado, actualizado,
aceptado internacionalmente para la adopción por parte de las empresas
y el uso diario por parte de gerentes de negocio, profesionales de TI y
profesionales de aseguramiento. (COBIT, 2007.)
Los Objetivos de Control para la Información y la Tecnología
relacionada (COBIT) brindan buenas prácticas a través de un marco de
trabajo de dominios y procesos, y presenta las actividades en una
estructura manejable y lógica. Las buenas prácticas de COBIT
representan el consenso de los expertos. Están enfocadas fuertemente en
el control y menos en la ejecución. Estas prácticas ayudarán a optimizar
las inversiones habilitadas por TI, asegurarán la entrega del servicio y
brindarán una medida contra la cual juzgar cuando las cosas no vayan
bien. (COBIT, 2007)

Adicionalmente COBIT posee los niveles de madurez están

diseñadas como perfiles de procesos de Tecnología de Información, que
una empresa reconocería como descripciones de estados posibles
actuales y futuros. No están diseñados para ser usados como un modelo
limitante, donde no se puede pasar al siguiente nivel superior sin haber
cumplido todas las condiciones del nivel inferior. La ventaja de un modelo
de madurez es que es relativamente fácil para la dirección ubicarse a sí
misma en la escala y evaluar qué se debe hacer si se requiere desarrollar
una mejora. La escala incluye al 0 ya que es muy posible que no existan
procesos en lo absoluto. La escala del 0-5 se basa en una escala de

27
madurez simple que muestra como un proceso evoluciona desde una
capacidad no existente hasta una capacidad optimizada.

Considerando esta escala COBIT la detalla de la siguiente manera:

0 No existente- Carencia completa de cualquier proceso
reconocible. La empresa no ha reconocido siquiera que existe un
problema a resolver.
1 Inicial- Existe evidencia que la empresa ha reconocido que los
problemas existen y requieren ser resueltos. Sin embargo; no existen
procesos estándar.
2 Repetible- Se han desarrollado los procesos hasta el punto en
que se siguen procedimientos similares en diferentes áreas que realizan la
misma tarea.
3 Definido- Los procedimientos se han estandarizado y
documentado, y se han difundido a través de entrenamiento. Sin embargo,
se deja que el individuo decida utilizar estos procesos, y es poco probable
que se detecten desviaciones.
4 Administrado- Es posible monitorear y medir el cumplimiento de
los procedimientos y tomar medidas cuando los procesos no estén
trabajando de forma efectiva.
5 Optimizado- Los procesos se han refinado hasta un nivel de
mejor práctica, se basan en los resultados de mejoras continuas y en un
modelo de madurez con otras empresas. (COBIT, 2007)

La orientación a negocios es el tema principal de COBIT. Está

diseñado para ser utilizado no sólo por proveedores de servicios, usuarios
y auditores de TI, sino también y principalmente, como guía integral para
la gerencia y para los dueños de los procesos de negocio.

28
 Cualquier proceso requiere de controles, COBIT define control,
como las políticas, procedimientos, prácticas y estructuras
organizacionales diseñadas para brindar una seguridad razonable que los
objetivos de negocio se alcanzarán, y los eventos no deseados serán
prevenidos o detectados y corregidos.

Cada día las empresas con una visión de futuro, están utilizando la
herramienta de comunicación por ejemplo el Internet, ya que esta se
establece mediante una red abierta. Si esta no cuenta con políticas,
procesos y productos de seguridad adecuados, podría poner en riesgo la
información que esta maneja poniendo el peligro la confidencialidad de la
data.

La seguridad permite tener a la empresa confianza, y poseer una

buena reputación con sus clientes, socios y los distintos usuarios que esta
tenga. Existen países que deben cumplir con normas y leyes para la
confidencialidad de la información, podemos citar a España el cual tiene
una Ley Orgánica de Protección de Datos, publicada el 14 de Diciembre
de 1999, que tiene como objeto garantizar y proteger, en lo que concierne
al tratamiento de datos personales, las libertades públicas y los derechos
fundamentales de las personas físicas, y especialmente de su honor e
intimidad personal y familiar. Ley Orgánica de Protección de Datos,
(1999).14 de Diciembre de 1999.

En Venezuela, VenCert tiene 3 años garantizando la seguridad de la

Información del estado venezolano, perteneciendo a la Superintendencia
de Servicios de Certificación Electrónica, ente adscrito al Ministerio del
Poder Popular para Ciencia, Tecnología e Industrias Intermedias. Su
principal objetivo, es la prevención, detección y gestión de los incidentes
generados en los sistemas de información de la Administración Pública
Nacional y los Entes Públicos a cargo de la gestión de Infraestructuras
29
Críticas de la Nación, conformado por un equipo de especialistas
dedicados a la implantación y gestión de medidas tecnológicas con el
objetivo de mitigar el riesgo de ataques contra los sistemas de la
comunidad a la que se proporciona el servicio. El VenCERT es la
herramienta de máxima fiabilidad de la que dispone la República
Bolivariana de Venezuela para anticiparse a los ataques que puedan
amenazar la seguridad de sus sistemas de información. Además de la
prevención, el VenCERT tiene la atribución de detectar y gestionar
cualquier incidente que afecte o ponga en riesgo la seguridad de la
información de la Administración Pública Nacional y los entes públicos a
cargo de la gestión de Infraestructuras Críticas de la Nación.
Superintendencia de Servicios de Certificación Electrónica.

Es por ello, que la empresa PRODATA posee un manual práctico

sobre los procedimientos para realizar una correcta sincronización con sus
respectivos clientes, considerando como un servidor local a una máquina
que tiene dos funciones adicionales que una estación de trabajo, es
simplemente sincronizar los archivos del sistema con una carpeta en el
servidor de Sincronización Principal ( DpSync); cabe destacar que este
servidor principal se encuentra en las instalaciones de la empresa en
estudio.

Según Cappuccio V, (2009), indica como políticas de seguridad las

reglas y procedimientos que regulan la forma en que una organización
previene, protege y maneja los riesgos de diferentes daños.

Otra definición de política de seguridad, se refiere a un documento

que recoge todos los requisitos y prácticas de seguridad para asegurar el
funcionamiento de la infraestructura de una forma fiable. Modelo para la
declaración de prácticas de Certificación y políticas de certificados de los
Proveedores de servicios de certificación (psc).
30
 Todo documento de política de seguridad tiene como finalidad
principal, informar a los usuarios los mecanismos que deben cumplir, de
manera de proteger la información de la organización.

Los autores coinciden en que las políticas de seguridad, son

procedimientos el cual se debe considerar para el resguardo de la
información, y por ende confiable e integra.

Para muchas empresas, la información es valiosa pero con

frecuencia no son atendidos como tal, sino toman decisiones sobre la
seguridad de la información cuando se establece un ataque. La necesidad
de asegurar el valor de la información debería ser primordial entender los
beneficios para el negocio implementar esta seguridad.

En tal sentido, para la organización él no poseer este documento de

Políticas de Seguridad es sumamente grave, siendo éste uno de los
problemas más peligroso que tienen las organizaciones hoy en día, por la
falta de estos procedimientos se encuentran en peligro de ataques
externos como internos.

Cada organización debe definir claramente las responsabilidades

para la protección de la información, esta sin importar su dimensión, si
grande o pequeña, ya que para todo el resguardo es importante y se
complementan con los distintos estándares existentes para tal fin. Es
probable que por la cantidad de información requieran asesoramiento
especializado en esta materia.

Los estándares son considerados lineamientos o directrices, que

proporcionan una gama de pautas a seguir para la prevención y
salvaguardar la información de las organizaciones, éstas al implementarse
no son consideradas como barrera que no pueda pasar atacantes pero
pueden ser mitigados y minimizar los riegos.

31
 Es esencial que las organizaciones identifiquen sus debilidades y
fortalezas en la seguridad de la información, para atacar los puntos débiles
y convertirlos en fortaleza, es allí donde los atacantes aprovechan las
vulnerabilidades y manipulan o sabotean los recursos de la empresa.

Este dominio se basa en soluciones automatizadas para lograr un

funcionamiento óptimo de la seguridad de la información.

Para el logro de este dominio y los beneficios esperados por las

organizaciones es importante seguir unos objetivos de control COBIT, que
indica:

(a) Marco de Trabajo de Continuidad de Tecnología de la

Información (TI):

Su objetivo del es ayudar en la determinación de la resistencia

requerida de la infraestructura y de guiar el desarrollo de los planes de
recuperación de desastres y de contingencias. El marco de trabajo debe
tomar en cuenta la estructura organizacional para administrar la
continuidad, la cobertura de roles, las tareas y las responsabilidades de
los proveedores de servicios internos y externos, su administración y sus
clientes; así como las reglas y estructuras para documentar, probar y
ejecutar la recuperación de desastres y los planes de contingencia de TI.

(b) Planes de Continuidad de TI:

Los planes deben considerar los requerimientos de resistencia,

procesamiento alternativo, y capacidad de recuperación de todos los
servicios críticos de TI. También deben cubrir los lineamientos de uso, los
roles y responsabilidades, los procedimientos, los procesos de
comunicación y el enfoque de pruebas.

32
 (c) Recursos Críticos de TI:

Centrar la atención en los puntos determinados como los más

críticos en el plan de continuidad de TI, para construir resistencia y
establecer prioridades en situaciones de recuperación.

(d) Mantenimiento del Plan de Continuidad de TI:

Exhortar a la gerencia de TI a definir y ejecutar procedimientos de

control de cambios, para asegurar que el plan de continuidad de TI se
mantenga actualizado y que refleje de manera continua los requerimientos
actuales del negocio. Es esencial que los cambios en los procedimientos y
las responsabilidades sean comunicados de forma clara y oportuna.

(e) Pruebas del Plan de Continuidad de TI:

Probar el plan de continuidad de TI de forma regular para asegurar

que los sistemas de TI pueden ser recuperados de forma efectiva, que las
deficiencias son atendidas y que el plan permanece aplicable. Esto
requiere una preparación cuidadosa, documentación, reporte de los
resultados de las pruebas y, de acuerdo con los resultados, la
implementación de un plan de acción.

(f) Entrenamiento del Plan de Continuidad de TI:

Asegurarse de que todos las partes involucradas reciban sesiones

de habilitación de forma regular respecto a los procesos y sus roles y
responsabilidades en caso de incidente o desastre. Verificar e incrementar
el entrenamiento de acuerdo con los resultados de las pruebas de
contingencia.

(g) Distribución del Plan de Continuidad de TI:

Determinar que existe una estrategia de distribución definida y

administrada para asegurar que los planes se distribuyan de manera
33
apropiada y segura y que estén disponibles entre las partes involucradas y
autorizadas cuando y donde se requiera. Se debe prestar atención en
hacerlos accesibles bajo cualquier escenario de desastre.

(h) Recuperación y Reanudación de los Servicios de TI:

Planear las acciones a tomar durante el período en que TI está

recuperando y reanudando los servicios. Esto puede representar la
activación de sitios de respaldo, el inicio de procesamiento alternativo, la
comunicación a clientes y a los interesados, realizar procedimientos de
reanudación, etc.

(i) Almacenamiento de Respaldos Fuera de las Instalaciones:

Almacenar fuera de las instalaciones todos los medios de respaldo,

documentación y otros recursos de TI críticos, necesarios para la
recuperación de TI y para los planes de continuidad del negocio. El
contenido de los respaldos a almacenar debe determinarse en conjunto
entre los responsables de los procesos de negocio y el personal de TI. La
administración del sitio de almacenamiento externo a las instalaciones,
debe apegarse a la política de clasificación de datos y a las prácticas de
almacenamiento de datos de la empresa.

(j) Revisión Post Reanudación:

Una vez lograda una exitosa reanudación de las funciones de TI

después de un desastre, determinar si la gerencia de TI ha establecido
procedimientos para valorar lo adecuado del plan y actualizar el plan en
consecuencia. (COBIT, 2007)

Dentro del manual de COBIT, se hace referencia el dominio DS4, su

objetivo es Garantizar la Continuidad del Servicio, el cual refleja la

34
necesidad de brindar continuidad en los servicios de TI requiere
desarrollar, mantener y probar planes de continuidad de TI, almacenar
respaldos fuera de las instalaciones y entrenar de forma periódica sobre
los planes de continuidad. Un proceso efectivo de continuidad de
servicios, minimiza la probabilidad y el impacto de interrupciones mayores
en los servicios de TI, sobre funciones y procesos claves del negocio.

Según COBIT, indica los Objetivos De Control De Ds4.

 DS4.1 Marco de Trabajo de Continuidad de TI

Desarrollar un marco de trabajo de continuidad de TI para soportar la
continuidad del negocio con un proceso consistente a lo largo de toda la
organización. El objetivo del marco de trabajo es ayudar en la
determinación de la resistencia requerida de la infraestructura y de guiar el
desarrollo de los planes de recuperación de desastres y de contingencias.
El marco de trabajo debe tomar en cuenta la estructura organizacional
para administrar la continuidad, la cobertura de roles, las tareas y las
responsabilidades de los proveedores de servicios internos y externos, su
administración y sus clientes; así como las reglas y estructuras para
documentar, probar y ejecutar la recuperación de desastres y los planes
de contingencia de TI. El plan debe también considerar puntos tales como
la identificación de recursos críticos, el monitoreo y reporte de la
disponibilidad de recursos críticos, el procesamiento alternativo y los
principios de respaldo y recuperación.
 DS4.2 Planes de Continuidad de TI
Desarrollar planes de continuidad de TI con base en el marco de trabajo,
diseñado para reducir el impacto de una interrupción mayor de las
funciones y los procesos clave del negocio. Los planes deben considerar
requerimientos de resistencia, procesamiento alternativo, y capacidad de
recuperación de todos los servicios críticos de TI. También deben cubrir
35
los lineamientos de uso, los roles y responsabilidades, los procedimientos,
los procesos de comunicación y el enfoque de pruebas.

 DS4.3 Recursos Críticos de TI

Centrar la atención en los puntos determinados como los más críticos en
el plan de continuidad de TI, para construir resistencia y establecer
prioridades en situaciones de recuperación. Evitar la distracción de
recuperar los puntos menos críticos y asegurarse de que la respuesta y la
recuperación están alineadas con las necesidades prioritarias del
negocio, asegurándose también que los costos se mantienen a un nivel
aceptable y se cumple con los requerimientos regulatorios y
contractuales. Considerar los requerimientos de resistencia, respuesta y
recuperación para diferentes niveles de prioridad, por ejemplo, de una a
cuatro horas, de cuatro a 24 horas, más de 24 horas y para periodos
críticos de operación del negocio.
 DS4.4 Mantenimiento del Plan de Continuidad de TI
Exhortar a la gerencia de TI a definir y ejecutar procedimientos de control
de cambios, para asegurar que el plan de continuidad de TI se mantenga
actualizado y que refleje de manera continua los requerimientos actuales
del negocio. Es esencial que los cambios en los procedimientos y las
responsabilidades sean comunicados de forma clara y oportuna.
 DS4.5 Pruebas del Plan de Continuidad de TI
Probar el plan de continuidad de TI de forma regular para asegurar que
los sistemas de TI pueden ser recuperados de forma efectiva, que las
deficiencias son atendidas y que el plan permanece aplicable. Esto
requiere una preparación cuidadosa, documentación, reporte de los
resultados de las pruebas y, de acuerdo con los resultados, la
implementación de un plan de acción. Considerar el alcance de las

36
pruebas de recuperación en aplicaciones individuales, en escenarios de
pruebas integrados, en pruebas de punta a punta y en pruebas
integradas con el proveedor.

 DS4.6 Entrenamiento del Plan de Continuidad de TI

Asegurarse de que todos las partes involucradas reciban sesiones de
habilitación de forma regular respecto a los procesos y sus roles y
responsabilidades en caso de incidente o desastre. Verificar e
incrementar el entrenamiento de acuerdo con los resultados de las
pruebas de contingencia.
 DS4.7 Distribución del Plan de Continuidad de TI
Determinar que existe una estrategia de distribución definida y
administrada para asegurar que los planes se distribuyan de manera
apropiada y segura y que estén disponibles entre las partes involucradas
y autorizadas cuando y donde se requiera. Se debe prestar atención en
hacerlos accesibles bajo cualquier escenario de desastre.
 DS4.8 Recuperación y Reanudación de los Servicios de TI
Planear las acciones a tomar durante el período en que TI está
recuperando y reanudando los servicios. Esto puede representar la
activación de sitios de respaldo, el inicio de procesamiento alternativo, la
comunicación a clientes y a los interesados, realizar procedimientos de
reanudación, etc. Asegurarse de que los responsables del negocio
entienden los tiempos de recuperación de TI y las inversiones necesarias
en tecnología para soportar las necesidades de recuperación y
reanudación del negocio.
 DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones
Almacenar fuera de las instalaciones todos los medios de respaldo,
documentación y otros recursos de TI críticos, necesarios para la

37
 recuperación de TI y para los planes de continuidad del negocio. El
contenido de los respaldos a almacenar debe determinarse en conjunto
entre los responsables de los procesos de negocio y el personal de TI. La
administración del sitio de almacenamiento externo a las instalaciones,
debe apegarse a la política de clasificación de datos y a las prácticas de
almacenamiento de datos de la empresa. La gerencia de TI debe
asegurar que los acuerdos con sitios externos sean evaluados
periódicamente, al menos una vez por año, respecto al contenido, a la
protección ambiental y a la seguridad. Asegurarse de la compatibilidad
del hardware y del software para poder recuperar los datos archivados y
periódicamente probar y renovar los datos archivados.
 DS4.10 Revisión Post Reanudación
Una vez lograda una exitosa reanudación de las funciones de TI después
de un desastre, determinar si la gerencia de TI ha establecido
procedimientos para valorar lo adecuado del plan y actualizar el plan en
consecuencia.

COBIT nos indica en su Dominio DS5, la necesidad de mantener la

integridad de la información y de proteger los activos de TI, requiere de un
proceso de administración de la seguridad. Este proceso incluye el
establecimiento y mantenimiento de roles y responsabilidades de
seguridad, políticas, estándares y procedimientos de TI.

En cuanto a los OBJETIVOS DE CONTROL DS5, tomado de

COBIT, indica lo siguiente:

 DS5.1 Administración de la Seguridad de TI

Administrar la seguridad de TI al nivel más alto apropiado dentro de la
organización, de manera que las acciones de administración de la
seguridad estén en línea con los requerimientos del negocio.

38
 DS5.2 Plan de Seguridad de TI
Trasladar los requerimientos de negocio, riesgos y cumplimiento dentro de
un plan de seguridad de TI completo, teniendo en consideración la
infraestructura de TI y la cultura de seguridad. Asegurar que el plan esta
implementado en las políticas y procedimientos de seguridad junto con las
inversiones apropiadas en los servicios, personal, software y hardware.
Comunicar las políticas y procedimientos de seguridad a los interesados y
a los usuarios.
 DS5.3 Administración de Identidad
Asegurar que todos los usuarios (internos, externos y temporales) y su
actividad en sistemas de TI (aplicación de negocio, entorno de TI,
operación de sistemas, desarrollo y mantenimiento) deben ser
identificables de manera única. Permitir que el usuario se identifique a
través de mecanismos de autenticación. Confirmar que los permisos de
acceso del usuario al sistema y los datos están en línea con las
necesidades del negocio definidas y documentadas y que los
requerimientos de trabajo están adjuntos a las identidades del usuario.
Asegurar que los derechos de acceso del usuario se solicitan por la
gerencia del usuario, aprobados por el responsable del sistema e
implementado por la persona responsable de la seguridad. Las
identidades del usuario y los derechos de acceso se mantienen en un
repositorio central. Se despliegan técnicas efectivas en coste y
procedimientos rentables, y se mantienen actualizados para establecer la
identificación del usuario, realizar la autenticación y habilitar los derechos
de acceso.

 DS5.4 Administración de Cuentas del Usuario

Garantizar que la solicitud, establecimiento, emisión, suspensión,

39
modificación y cierre de cuentas de usuario y de los privilegios
relacionados, sean tomados en cuenta por un conjunto de procedimientos
de la gerencia de cuentas de usuario. Debe incluirse un procedimiento de
aprobación que describa al responsable de los datos o del sistema
otorgando los privilegios de acceso. Estos procedimientos deben aplicarse
a todos los usuarios, incluyendo administradores (usuarios privilegiados),
usuarios externos e internos, para casos normales y de emergencia. Los
derechos y obligaciones relativos al acceso a los sistemas e información
de la empresa deben acordarse contractualmente para todos los tipos de
usuarios. Realizar revisiones regulares de la gestión de todas las cuentas
y los privilegios asociados.
 DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad
Garantizar que la implementación de la seguridad en TI sea probada y
monitoreada de forma pro-activa. La seguridad en TI debe ser
reacreditada periódicamente para garantizar que se mantiene el nivel
seguridad aprobado. Una función de ingreso al sistema (logging) y de
monitoreo permite la detección oportuna de actividades inusuales o
anormales que pueden requerir atención.
 DS5.6 Definición de Incidente de Seguridad
Definir claramente y comunicar las características de incidentes de
seguridad potenciales para que puedan ser clasificados propiamente y
tratados por el proceso de gestión de incidentes y problemas.
 DS5.7 Protección de la Tecnología de Seguridad
Garantizar que la tecnología relacionada con la seguridad sea resistente
al sabotaje y no revele documentación de seguridad innecesaria.
 DS5.8 Administración de Llaves Criptográficas
Determinar que las políticas y procedimientos para organizar la
generación, cambio, revocación, destrucción, distribución, certificación,

40
 almacenamiento, captura, uso y archivo de llaves criptográficas estén
implantadas, para garantizar la protección de las llaves contra
modificaciones y divulgación no autorizadas.
 DS5.9 Prevención, Detección y Corrección de Software Malicioso
Poner medidas preventivas, detectivas y correctivas (en especial contar
con parches de seguridad y control de virus actualizados) en toda la
organización para proteger los sistemas de la información y a la
tecnología contra malware (virus, gusanos, spyware, correo basura).
 DS5.10 Seguridad de la Red
Uso de técnicas de seguridad y procedimientos de administración
asociados (por ejemplo, firewalls, dispositivos de seguridad,
segmentación de redes, y detección de intrusos) para autorizar acceso y
controlar los flujos de información desde y hacia las redes.
 DS5.11 Intercambio de Datos Sensitivos
Transacciones de datos sensibles se intercambian solo a través de una
ruta o medio con controles para proporcionar autenticidad de contenido,
prueba de envío, prueba de recepción y no repudio del origen.

De igual manera como en todos sus dominios y procesos nos da los

objetivos de control para este:

(a) Administración de la Seguridad de TI: Administrar la

seguridad de TI al nivel más alto apropiado dentro de la organización, de
manera que las acciones de administración de la seguridad estén en línea
con los requerimientos del negocio.

(b) Plan de Seguridad de TI: Asegurar que el plan esta

implementado en las políticas y procedimientos de seguridad junto con las
inversiones apropiadas en los servicios, personal, software y hardware.
Comunicar las políticas y procedimientos de seguridad a los interesados y

41
a los usuarios.

(c) Administración de Identidad: Asegurar que todos los

usuarios (internos, externos y temporales) y su actividad en sistemas de TI
(aplicación de negocio, entorno de TI, operación de sistemas, desarrollo y
mantenimiento) deben ser identificables de manera única. Permitir que el
usuario se identifique a través de mecanismos de autenticación. Confirmar
que los permisos de acceso del usuario al sistema y los datos están en
línea con las necesidades del negocio definidas y documentadas y que los
requerimientos de trabajo están adjuntos a las identidades del usuario.

(d) Administración de Cuentas del Usuario: Garantizar que la

solicitud, establecimiento, emisión, suspensión, modificación y cierre de
cuentas de usuario y de los privilegios relacionados, sean tomados en
cuenta por un conjunto de procedimientos de la gerencia de cuentas de
usuario. Debe incluirse un procedimiento de aprobación que describa al
responsable de los datos o del sistema otorgando los privilegios de
acceso.

(e) Pruebas, Vigilancia y Monitoreo de la Seguridad: Garantizar

que la implementación de la seguridad en TI sea probada y monitoreada
de forma pro-activa. La seguridad en TI debe ser re-acreditada
periódicamente para garantizar que se mantiene el nivel seguridad
aprobado. Una función de ingreso al sistema (logging) y de monitoreo
permite la detección oportuna de actividades inusuales o anormales que
pueden requerir atención.

(f) Definición de Incidente de Seguridad: Definir claramente y

comunicar las características de incidentes de seguridad potenciales para
que puedan ser clasificados propiamente y tratados por el proceso de
gestión de incidentes y problemas.

42
 (g) Protección de la Tecnología de Seguridad: Garantizar que la
tecnología relacionada con la seguridad sea resistente al sabotaje y no
revele documentación de seguridad innecesaria.

(h) Administración de Llaves Criptográficas: Determinar que las

políticas y procedimientos para organizar la generación, cambio,
revocación, destrucción, distribución, certificación, almacenamiento,
captura, uso y archivo de llaves criptográficas estén implantadas, para
garantizar la protección de las llaves contra modificaciones y divulgación
no autorizadas.

(i) Prevención, Detección y Corrección de Software Malicioso:

Poner medidas preventivas, detectables y correctivas (en especial contar
con parches de seguridad y control de virus actualizados) en toda la
organización para proteger los sistemas de la información y a la tecnología
contra malware (virus, gusanos, spyware, correo basura).

(j) Seguridad de la Red: Uso de técnicas de seguridad y

procedimientos de administración asociados (por ejemplo, firewalls,
dispositivos de seguridad, segmentación de redes, y detección de
intrusos) para autorizar acceso y controlar los flujos de información desde
y hacia las redes.

(k) Intercambio de Datos Sensitivos: Transacciones de datos

sensibles se intercambian solo a través de una ruta o medio con controles
para proporcionar autenticidad de contenido, prueba de envío, prueba de
recepción y no repudio del origen.

Todos estos procesos que nos indican que COBIT es para

garantizar que los sistemas de información mantengan su integridad, y
minimizar las vulnerabilidades que están propensos en el día a día de la
empresa.

43
 Otro aspecto que se debe tomar en cuenta, sobre todo en las
empresas de software o de tecnología, son los acuerdos de
confidencialidad o no divulgación, se utilizan para reseñar que la
informaciones confidencial o secreta. Los empleados deben firmar con
términos y condiciones iniciales de empleo, a los accesos a las
instalaciones de procesamiento de información. Los acuerdos de
confidencialidad deben ser revisados cuando se producen cambios en los
términos y condiciones de empleo o del contrato. Los términos y
condiciones de empleo deben establecer la responsabilidad del empleado
por la seguridad de la información.

Todos los sistemas de seguridad en la organización presentan

debilidades y fortalezas, estas debilidades pueden ser por la falta de
conocimientos, las fortalezas son nacidas de las debilidades luego de los
incidentes y proceso de mejora llegan a ser fortalezas para la empresa.

Toda computadora posee y manipula gran cantidad de información,

más aún, un servidor considérese este como, un computador donde se
almacena gran cantidad de aplicaciones, la cual se distribuye a los clientes
para su administración de recursos.

Según Víctor Belmar Muñoz, quien es un experto en Prevención de

riesgo en el país de Chile, “toda actividad conlleva un riesgo, ya que la
actividad exenta de ello representa inmovilidad total. Pero aun así, si todos
nos quedamos en casa sin hacer nada y detuviera toda actividad
productiva y de servicios, aún existiera el riesgo, no cabe duda que
menores pero existirían, el riesgo cero no existe”.

Entonces, Belmar define como riesgo como la probabilidad que un

peligro (causa inminente de pérdida), existente en una actividad

44
determinada durante un período definido, ocasione un incidente con
consecuencias factibles de ser estimadas.

La gestión de riesgos se divide generalmente en: Estimación De

Riesgos describe cómo estudiar los riesgos dentro de la planeación
general del entorno informático y se divide en los siguientes pasos:

1) La identificación de riesgos genera una lista de riesgos capaces de

afectar el funcionamiento normal del entorno informático.
2) El análisis de riesgos mide su probabilidad de ocurrencia y su impacto
en la organización.
3) La asignación de prioridades a los riesgos.

La identificación de los riesgos, es donde se verifican las

amenazas en el entorno informático. Una vez identificados y analizados
sus probabilidades de ocurrencia, existen bases para controlarlos que son:

 Planificación De Riesgos su objetivo, es desarrollar un plan que

controle cada uno de los eventos perjudiciales a que se encuentran
expuestas las actividades informáticas.

 Resolución De Riesgos la resolución de los riesgos está

conformado por los métodos que controlan el problema de un diseño de
controles inadecuado, los principales son: Evitar el Riesgo, conseguir
información acerca del riesgo, planificar el entorno informático de forma
que si ocurre un riesgo, las actividades informáticas sean cumplidas.

Para cuantificar los riesgos en una organización es necesario

realizar evaluaciones a los responsable de la seguridad de la información,
y establecer las medidas, esta puede ser realizados por la alta gerencia o

45
por personal externo en calidad de auditoría. Se podría considerar estas
recomendaciones:

 Especificar la aplicación, los programas y archivos.

 Las medidas en caso de desastre, pérdida total, abuso y los

planes necesarios.

 Las prioridades que se deben tomar en cuanto a las acciones a

corto y largo plazo.

 El personal que prepara la información no debe tener acceso a

la operación.

 Los análisis y programadores no deben tener acceso al área de

operaciones y viceversa.

 Los operadores no deben tener acceso restringido a las

librerías ni a los lugares donde se tengan los archivos almacenados; es
importante separar las funciones de librería y de operación.

 Los operadores no deben ser los únicos que tengan el control

sobre los trabajos procesados y no deben hacer las correcciones a los
errores detectados.

En referencia a la clasificación anterior, cabe agregar la definición de

la Matriz de Evaluación de Riesgo, siendo esta una metodología de
análisis de los eventos que pueden ocurrir en una organización. En la
misma se observa en sus columnas las acciones que pueden alterar el la
evolución de la empresa, en sus filas, son características evaluadas que
pueden ser alteradas.

En la matriz presenta en cada cuadricula admite dos valores, la

magnitud del impacto con una valoración cuantitativa de 1 (mínima) a 10
(máxima) para calificar la magnitud del impacto, esta asignación es
46
subjetiva. Adicionalmente se considera la gravedad del impacto, siendo
esta una valoración de 1 (mínima) a 10 (máxima), también con
asignaciones subjetivas.

MARCO METODOLÓGICO

El marco metodológico, es un conjunto de acciones destinadas a

describir y analizar el fondo del problema planteado, a través de
procedimientos específicos que incluyen las técnicas de información y
recolección de datos, determinando el “cómo” se realizará el estudio.

En otras palabras, son las distintas herramientas que permite

obtener la información que son necesarias para la elaboración del análisis,
teniendo en cuenta para ello que diversos autores, dan una estructura
para lo cual tenernos un diseño de la investigación, que son las
estrategias metodológicas adoptadas para resolver el problema planteado;
el tipo de investigación, que refiere a la clase donde se orienta el estudio,
y tenemos los niveles de la investigación, que nos dice la profundidad de
la investigación, que de acuerdo a sus características se sitúa en un
respectivo nivel.

Además, mostrará los datos y sus respectivos componentes de los

proceso de la investigación. En ese mismo sentido, en todo estudio existe
una población que es el universo en estudio, mientras que la muestra es
una porción que se destaca de la población objeto de investigación.

Todo estos elementos se utilizarán con el fin de realizar el análisis

de los datos obtenidos mediante las técnicas de información y de

47
recolección de datos, que se emplean para el tratamiento de los mismos,
es decir el “cómo” se realizó el estudio para responder el problema
planteado.

DISEÑO DE INVESTIGACIÓN

Palella y Martins (2006) nos indican que “el diseño de investigación

se refiere a la estrategia que adopta el investigador para responder al
problema, dificultad o inconveniente planteado en el estudio.” (p 95).

Patella, S., Martins F. (2006), indica que dentro de los tipos de

diseño de investigación, podemos señalar el Diseño de Investigación No
Experimental, en donde no se manipulan de forma deliberada ninguna
variable. El investigador no sustituye intencionalmente la variable
independiente. Se observan los hechos tal cual y como se presentan en su
contexto real y en un tiempo determinado o no, para luego analizarlos.

Con referencia a lo anterior, esta investigación se identifica con el

diseño antes mencionado, pues no se manipular deliberadamente las
variables, adicionalmente no se construye una situación específica, sino
se observan tal como son en su contexto natural y así poderlos analizar.

En ese sentido, esta investigación tiene como finalidad evaluar los

procedimientos en los servidores de Sincronización y Base de Datos en
Prodata.

TIPO DE INVESTIGACIÓN

El tipo de investigación se refiere a la clase de estudio que se va a

realizar. Se orienta sobre la finalidad general del estudio y sobre la manera
48
de recoger las informaciones o datos necesarios. Patella, S., Martins F.
(2006)

Dentro de los tipos de investigación podemos destacar que:

UPEL nos dice que una Investigación de Campo es el “ análisis

sistemático de problemas en la realidad, con el propósito bien sea de
describirlos, interpretarlos, entender su naturaleza y factores
constituyentes, explicar sus causas y efectos, o predecir su ocurrencia,
haciendo uso de métodos característicos de cualquiera de los paradigmas
o enfoques de investigación conocidos o en desarrollo”.

Adicionalmente a lo antes expuesto, una investigación de campo no

se formula hipótesis y las variables se enuncian en los objetivos de la
investigación que se desarrollará. Patella, S., Martins F. (2006).

Tomando en cuenta este planteamiento, ésta investigación se ubica

en el tipo de investigación de campo, ya que no posee una hipótesis de
investigación, describe la situación que presenta el objeto en estudio, para
luego, con las técnicas, recopilar la información necesaria para su análisis,
y así observar el comportamiento de las variables en estudio.

NIVEL DE INVESTIGACIÓN

Todo estudio debe estar dentro de un nivel de investigación, el cual

Arias (1997) nos indica que refiere “al grado de profundidad con que se
aborda un objeto o fenómeno” (p.47) ( Arias citado por Palella y Martins
(2006)).

Palella y Martins (2006) indican como una investigación Descriptiva,

aquella donde “El propósito de este nivel es interpretar realidades de
hecho. Incluye descripción, registro, análisis e interpretación de la
naturaleza actual, composición o procesos de los fenómenos” (p.102)

49
 Dada las condiciones que anteceden, esta investigación posee
características descriptivas, ya que conocerá los aspectos necesarios para
el desarrollo del mismo, y así obtener el análisis sobre el objeto en estudio

Tomando en cuenta los planteamientos de Palella y Martins (2006),

este estudio posee las características del nivel de investigación
descriptivo, ya que se va interpretar las realidades de los hechos de los
servidores de la empresa PRODATA en cuanto al de Base de Datos y
Sincronización. A su vez se hace una descripción, registro de su
funcionamiento, análisis e interpretación de la naturaleza actual.

POBLACIÓN Y MUESTRA

“Una población es el conjunto de todos los casos que concuerdan

con una serie de especificaciones”. (Selltiz, 1974 citado por Sampieri.)

La población objeto de estudio, para la presente investigación, está

conformada por cuatro (4) personas lo cuales se distribuyen de la
siguiente manera, un (1) Administrador de Servidor de Sincronización, un
(1) Administrador de Servidor de Base de Datos, un (1) Gerente de
Operaciones, un (1) Usuario operativo, de acuerdo a esta se obtendrá una
muestra, para el desarrollo de este proyecto.

Considerando como muestra a una porción de la población en

estudio, el cual lo confirma Sudman indicando, que la muestra “suele ser
definida como un subgrupo de la población” (Sudman, 1976 citado por
Sampieri.) (p.210)

En el manual de TG-UAH, nos especifica la población puede ser

infinita o finita. En el caso de la presente investigación, la población es
finita, dado que “es aquella cuyos elementos en su totalidad son
identificables por el investigador”. (p27).

50
 Debido a este planteamiento, podemos considerar que la población
es igual que la muestra, en vista de que Hernández citado en Castro
(2003) considera que “si la población es menor a cincuenta (50
individuos), la población es igual a la muestra. (p.69.).

En ese sentido, podemos afirmar entonces que al tomar el total de

la población no se puede aplicar ningún criterio muestral.

Teniendo claro estos términos el tamaño de la muestra en estudio es de 4

igual a la población.

CONCEPTUALIZACIÓN DE LAS VARIABLES

La operacionalización de las variables, es fundamental porque a

través de ellas se precisan los aspectos y elementos que se quieren
cuantificar, conocer y registrar con el fin de llegar a conclusiones.

Brevemente se puede definir una variable como todo aquello que

vamos a medir, controlar y estudiar en una investigación. Las variables
pueden ser definidas conceptual y operacionalmente.

En el siguiente cuadro de Operacionalización de las variables, se

ubicara las variables que se estudian en esta investigación, con sus
respectivos indicadores que serán los datos que proporcionara una visión
integrada de la situación que se va a evaluar, sus dimensiones que son los
elementos integrantes de la variable para el análisis, las técnicas de
recolección de datos y/o Instrumentos para obtener los datos necesarios
para el análisis.

51
 DEFINICIÓN
OBJETIVOS VARIABLES DIMENSIÓN INDICADORES ITEMS
CONCEPTUAL
* Los Son los * Manual 6-7-8-11-12-
1. 1.-
niveles de procedimiento de 16-18
Describir seguridad s que se Procedimien *Directrices de
en los tienen en tos para los sistemas de
los niveles
servidores cuenta para el Realizar seguridad de
de de resguardo de una sincronización
sincronizaci la información Correcta y base de
seguridad
ón y Base Instalación datos.
en los de Datos. del Servidor *Reglas
de mínima de para
servidores
Sincronizaci la
de ón en los sincronización
Clientes, y base de
sincroniza
Adaptapro. datos.
ción y *Políticas de
Seguridad.
Base de
*Normativas de
Datos, Seguridad de
Información.
para el
*Seguridad de
resguardo la red.
de la data.

Son * Proceso  Estánda 19-20-25-26

2.- Especificar Estándares
lineamientos de res de
los estándares y controles
para la Resguardo segurid
y controles aplicados
seguridad de
aplicados en la para el de la ad de la
la
empresa para resguardo Información.
52
 DEFINICIÓN
OBJETIVOS VARIABLES DIMENSIÓN INDICADORES ITEMS
CONCEPTUAL
información. *Procedimi informa
el resguardo de la
de la información. entos para ción.
información. los accesos
a los  Control
servidores. es
general
* Criterios es para
para la el
creación de funcion
usuarios. amiento
del
proceso
de
resguar
do de
informa
ción.

*Manual de * Estándares y 24-25-27-28

3.-Diferenciar Debilidades
COBIT 4.1 controles
las debilidades y fortalezas
aplicados para
y fortalezas de de los
el resguardo de
los sistemas sistemas de
la información.
de seguridad seguridad
*Controles de
de de
Seguridad del
sincronización sincronizaci
servidor de
y Base de ón y Base
Sincronización
Datos, para el
53
 DEFINICIÓN
OBJETIVOS VARIABLES DIMENSIÓN INDICADORES ITEMS
CONCEPTUAL
y Base de
resguardo de de Datos.
Datos.
la data.
*Control de
Aplicaciones.
*Controles de
Seguridad de
Datos.
*Riesgos de
Administración
de Servidores.
Son las * Manual de * Proceso de TI 19-24-30-34-
4.- Riesgos de
vulnerabilidad COBIT 4.1. en el dominio 35-37
Caracterizar los
es ante un P09.
los riesgos de Servidores
posible
los Servidores de
peligro de
de Sincronizaci
violación de
Sincronización ón (DpSync)
los controles
(DpSync) y el y el Servidor
de seguridad.
Servidor de de Base de
Base de Datos Datos
(SUSE). (SUSE).

*Políticas de Son las *Aspectos *DS4. 16-18-27-28

5.- Analizar las
Seguridad directrices y coincidentes Garantizar la
Políticas de
en los objetivos . continuidad del
Seguridad
Servidores generales que negocio.
aplicadas en
de establece la *Aspectos *DS5.
los Servidores
Sincronizaci empresa para no Garantizar la
de
ón y Base el resguardo seguridad de
54
 DEFINICIÓN
OBJETIVOS VARIABLES DIMENSIÓN INDICADORES ITEMS
CONCEPTUAL
de Datos de la coincidentes los sistemas.
Sincronización
información. .
y Base de
Datos,
basándose en
COBIT

55
 TÉCNICAS DE RECOLECCIÓN DE DATOS

Luego de establecer la población y su respectiva muestra,

considerada para el estudio, es necesario recolectar los datos para el análisis
de las variables involucradas en la investigación.

Sampieri (2006) nos dice que recolectar los datos implica tres
actividades estrechamente vinculadas entre sí:

a) Seleccionar un instrumento de medición de los disponibles en el

estudio del comportamiento o desarrollar uno (el instrumento de
recolección de los datos). Este instrumento debe ser válido y
confiable.

b) Aplicar ese instrumento de medición. Es decir, obtener las

observaciones y mediciones de las variables que son de interés para
nuestro estudio (medir variables).

c) Preparar las mediciones obtenidas para que puedan analizarse

correctamente (a esta actividad se le denomina codificación de los
datos. (Sampieri, R., Collado C. Y Otros. (1995)).

De acuerdo con las actividades planteadas por Sampieri, se

seleccionara varios instrumentos de recolección de los datos, dentro de los
cuales podemos señalar, la técnica de la Observación, que está
fundamentada en todos los campos de la ciencia, el cual consiste en el uso
sistemático de nuestros sentidos orientados a la captación de la realidad que
se estudia. Existen tipos de observaciones, donde en ésta investigación se
considera la Observación Directa, pues es cuando el investigador se pone en
contacto personalmente con el hecho o fenómeno que trata de investigar.
(Patella, S., Martins F (2006))

56
 Después de lo anterior expuesto, por ser de modalidad directa la
primera fase de la recolección de los datos de este estudio, se observa la
situación por la cual se presenta los servidores, con ello la seguridad lógica y
la manipulación de los mismos, por lo que permite tener una situación real de
lo existente.

De acuerdo a los autores Patella y Martins (2006), el instrumento para

la recolección de los datos a partir de la técnica de observación, se utiliza la
lista de cotejo, siendo esta “un instrumento muy útil para registrar la
evaluación cualitativa en situaciones de aprendizaje. Permite orientar la
observación y obtener un registro claro y ordenado de todo cuanto acontece”.
(p.138)

Adicionalmente, se utilizará la técnica de la entrevista, se realiza a un

sujeto encargado del área de servidores, ésta es una técnica que permite
obtener datos mediante un diálogo que se realiza entre dos personas cara a
cara: el entrevistador “investigador” y el entrevistado; la intención es obtener
información que posea este último. (p130)

Para ello se utiliza como instrumento un guión de entrevista no

estructurada, la cual “es aquel en que no existe una estandarización formal
dejando, por lo tanto, un margen más o menos grande de libertad para
formular las preguntas y proporcionar las respuestas”. (p.141)

De manera que la entrevista informal se tuvo en cuenta en ésta

investigación, puesto que fue una conversación sobre el tema en estudio,
con ello el entrevistado proporciona las respuestas sin problemas.

Igualmente se manejo para la recolección de datos, la encuesta al

personal encargado de los distintos servidores, debido a que es una técnica
destinada a obtener datos de varias personas cuyas opiniones interesan al
investigador. Para ello, se utiliza como instrumento de recolección de datos,

57
un cuestionario conformado por un listado de preguntas escritas, que son
respondidas de manera anónimamente para mayor confianza a los sujetos
en estudio. Por consiguiente, posee preguntas abiertas para que el usuario
exponga libremente su respuesta, teniendo preguntas básicas y de
seguimiento, también se tiene las preguntas cerradas con alternativas de
respuestas dicotómicas y múltiples. A su vez se presentan las preguntas de
escalas de medición de actitudes y respuestas.

58
PRESENTACIÓN DE LOS RESULTADOS

Patella y Martins (2006), indican que los datos se clasifican en dos

grupos de acuerdo a su naturaleza, estos son los primarios y secundarios:

“Los datos primarios son aquellos que se obtienen directamente de la

realidad misma, sin sufrir ningún proceso de elaboración previa. En otras
palabras, son los que el investigador recoge por sí mismo, en contacto con la
realidad. Los datos secundarios son registros escritos que proceden también
de un contacto con la práctica, pero ya han sido recogidos, y muchas veces
procesadas, por otros investigadores”. (p185)

De acuerdo con lo anterior, ésta investigación tiene como datos los

primarios, puesto que se recolecto la información directamente al personal
encargado de los servidores de base de datos y sincronización de la
empresa PRODATA.

Una vez que se tiene la información, con los distintos instrumentos

empleados en la investigación, se procede a la interpretación de los mismos.

Esta investigación utiliza para la interpretación de los datos

recolectados, el análisis estadístico, el cual permite hacer suposiciones e
interpretaciones sobre la naturaleza y significación de aquellos en atención a
los distintos tipos de información que puedan proporcionar. (Patella, S.,
Martins F (2006)).

De acuerdo a lo anterior, el nivel de análisis que se ubica este trabajo

de investigación es el “análisis nominal”, ya que en este nivel se convierten
las variables cualitativas en estudio en variables cuantitativas, pues en las
mismas asignan un valor a las categorías. (p.138)

59
 El análisis de los resultados partió de los datos obtenidos de
aplicación de los instrumentos administrados en el presente estudio, que son
para dar respuestas a los objetivos planteados en este trabajo de
investigación, los cuales arrojó los siguientes resultados:

Objetivo 1: Describir los niveles de seguridad en los servidores de

sincronización y Base de Datos, para el resguardo de la data.

El análisis de este objetivo de investigación, partió de la descripción

de la situación actual de la empresa en estudio, tomando en cuenta los ítems
formulados en el cuestionario utilizada para la recolección de datos, lo cual
se orienta hacia, los niveles de seguridad en los servidores de sincronización
y Base de Datos, para el resguardo de la data que posee los servidores en
estudio, los cuales se tomo 7 ítems del instrumento de recolección de datos,
ya que con ellos se muestra lo necesario para la evaluación de este objetivo,
los mismo dio como resultado lo siguiente:

60
 Tabla 1.

ITEMS SI % NO %
6.- ¿Los pasword o claves de 4 100
accesos a los servidores se
encuentran anotados en lugares
visibles por otros usuarios?
7- ¿Reciben asesoramiento 1 25% 3 75%
especializado en materia de
seguridad de información?
8.- ¿Hacen monitoreo de los 4 100%
cambios significativos para el
resguardo de la información
frente a posibles amenazas?
11.- ¿En el escritorio del Pc se 4 100%
observa información clasificada?
12.- ¿Poseen claves públicas 4 100%
para los procesos de
sincronización?
16.- ¿Existe manual de políticas 4 100%
de seguridad de información?
18.- ¿Existen manuales que 4 100%
describan el uso adecuado de
los servidores?
Los resultados se pueden graficar de la siguiente manera:

100

50
% SI
0 NO
6 7 8 11 12 16 18
ITEMS

Gráfico 1:
Correspondiente a los valores Tabla 1

61
 Interpretación: El gráfico 1, muestra los niveles de seguridad en los
servidores de sincronización y Base de Datos para el resguardo de la data,
refleja un 100% de los encuestados indicando que los usuarios no colocan
de manera visible sus claves de accesos, los mismo la resguardan de
manera empírica, ya que la empresa no entrega ninguna políticas de
seguridad de información, esto lo confirma el 100% de estas individuos
encuestados. De acuerdo a las respuestas suministradas por la muestra, nos
indicó un 100% de los encuestados, que el personal encargado de la
administración de servidores reciben asesoramiento, sin embargo estos no
son certificados por ninguna institución. Según se vio en los resultados, que
la totalidad de la muestra en estudio indicó el 100% que no poseen manuales
ni de políticas de seguridad ni el manual para el uso adecuado de los
servidores.

Cabe agregar, que el personal encargado en las labores del

resguardo de la información y/o manipulación de los servidores de
sincronización y bases de datos, realizan monitoreos de los cambios
significativos para el resguardo de la información frente a posibles
amenazas, esto es indicado por el 100% de las personas encuestadas, no
obstante esto procesos realizados en los servidores, son por iniciativa propia
de los encargados del buen funcionamiento de los servidores, ya que en la
empresa no existen norma para esta actividad.

Como afirma los resultados obtenidos con respecto a la existencia de

claves públicas para los procesos de sincronización, estas se cumplen en la
empresa tal como se vio en los resultados obtenidos indicando un 100% de
afirmación.

62
 Objetivo 2: Especificar los estándares y controles aplicados en la empresa
para el resguardo de la información.

Para el análisis de este objetivo se tomó 4 ítems del cuestionario para la

recolección de datos.

Tabla 2.
ITEMS SI % NO %
19.- ¿Se controla el ingreso de 4 100%
terceros a las áreas de acceso
restringido de los servidores?
20.- ¿Realizan respaldo de la 4 100%
información?
25.- ¿Se realizan auditorías 4 100%
periódicas de la seguridad de
información?
26.- ¿La empresa establece 4 100%
contratos de confidencialidad
con sus empleados?

Los Resultados se pueden apreciar de la manera como sigue:

100

50
% SI
0 NO
19 20 25 26
ITEMS

Gráfico2: Correspondiente a datos de tabla 2

63
 Interpretación: De acuerdo a los resultados arrojados para este
objetivo en análisis, el 100% de los encuestados, consideran que la empresa
no cumple con la restricción física de terceras personas a las áreas donde
están ubicados los servidores en estudio. De la misma manera no realizan
auditorias periódicas de la seguridad de información y no entregan a sus
empleados contratos de confidencialidad. Por otra parte, el 100% de los
encuestados expresaron que la empresa Prodata no posee documentado las
políticas de seguridad de información, motivado a la no existencia de este
manual, el personal realiza mantenimiento a los servidores de manera
empírica, sin tener ningún tipo de lineamiento. Mientras que el 100% de los
encuestados señalan que si realizan respaldos de la información con
frecuencia semanal, los cuales son almacenados fuera de la organización
en servidores espejo.

Objetivo 3: Diferenciar las debilidades y fortalezas de los sistemas de

seguridad de sincronización y Base de Datos, para el resguardo de la data.

Con respecto a la cantidad de ítems utilizados para este análisis se

aplicó 4 ítems, los cuales se puede observar las debilidades y fortalezas de
los sistemas de seguridad de los servidores en estudio.

64
 Tabla 3.

ITEMS SI % NO %
24.- ¿Poseen autenticación 4 100%
de usuarios para
conexiones externas a los
servidores?
25.- ¿Se realizan auditorias 4 100%
periódicas de la seguridad
de información?
27.- ¿Existen Planes de 4 100%
contingencias para los
posibles ataques?
28.- ¿Existen políticas de 4 100%
Seguridad para el cableado
de la Red de la
Organización?
Con base a estos resultados se puede expresar gráficamente lo
siguiente:

100

50
% SI
0 NO
24 25 27 28
ITEMS

Gráfico 3: Correspondiente a los valores Tabla 3

Interpretación: Con respecto a los planes de contingencias para la

continuidad del negocio, un 100% de la muestra indica la no existencia de
esta documentación, al mismo tiempo la misma cantidad porcentual expresa
65
que no existen manuales de la seguridad del cableado de la red en la
organización, no poseen políticas de la seguridad de la información y no
realizan auditorías periódicas de la seguridad de información.

Sin embargo, el 100% de los encuestados consideró que si poseen

autenticación de usuarios para conexiones externas a los servidores
considerándose como una fortaleza en el sistema de seguridad de la
información.

Objetivo 4: Caracterizar los riesgos de los Servidores de

Sincronización (DpSync) y el Servidor de Base de Datos (SUSE).

De acuerdo a este objetivo, se tomó en consideración 6 ítems del

instrumento de recolección de los datos, pues son los que nos indican la
evaluación en los riesgos que pueden tener los servidores de la empresa.

Tabla 4.

ITEMS SI % NO %
19.- ¿Se controla el ingreso de 4 100%
terceros a las áreas de acceso
restringido de los servidores?
24.- ¿Poseen autenticación de 4 100%
usuarios para conexiones
externas a los servidores?
30- ¿Realizan Mantenimiento 4 100%
preventivo?
34.- ¿Se realizan evaluaciones 3 75% 1 25%
de los riegos?
35.- ¿Poseen Controles para 4 100%
mitigar riesgos?
37.- ¿Poseen Antivirus? 4 100%

66
De acuerdo a los resultados que se expresan en la tabla podemos graficarlos
de la siguiente manera:

100

50 SI
%
NO
0
19 24 30 34 35 37
ITEMS
Gráfico 4:
Correspondiente a los valores Tabla 4

Interpretación: En relación con las respuestas arrojadas por la

muestra, el cual se le aplicó el instrumento de recolección de datos, un 75%
indico que se realizan evaluaciones de los riegos, por otra parte un 25%
reflejo que no se realiza estas evaluaciones.

En tanto que, los Monitoreos de los cambios significativos para el

resguardo de la información frente a posibles amenazas, se obtuvo un 100%
de las respuestas obtenidas afirmando estos monitoreos tomando en cuenta
que este personal encargado no posee ningún tipo de lineamiento
documentado para esta actividad, por otra parte un 100% de los
encuestados indicó que no se controla el ingreso de terceras personas a las
áreas de servidores de sincronización y base de datos, a su vez la misma
ponderación del 100% para el ítems al que se refiere en el Mantenimiento
preventivo, arroja un resultado fue totalmente negativo para el total de los
encuestados.

No obstante, en cuanto a autenticación de usuarios para conexiones

externas a los servidores y la existencia de antivirus, estas arrojan un 100%
de los encuestados confirmando el cumplimiento de esta actividad en la

67
empresa Prodata, es decir los encuestados consideran que se cumple este
control ya que poseen claves de sincronización y estas son configuradas de
manera robustas para mayor seguridad.

Objetivo 5: Analizar las Políticas de Seguridad aplicadas en los

Servidores de Sincronización y Base de Datos, basándose en COBIT.

En este objetivo se evidencia para su análisis 4 ítems, donde nos

proporciona la información de las políticas de seguridad de los servidores.

68
 Tabla 5.

ITEMS SI % NO %
16.- ¿Existe manual de políticas 4 100%
de seguridad de información?
18.- ¿Existen manuales que 4 100%
describan el uso adecuado de los
servidores?
27.- ¿Existen Planes de 4 100%
contingencias para los posibles
ataques?
28.- ¿Existen políticas de 4 100%
Seguridad para el cableado de la
Red de la Organización?

Gráficamente podemos apreciar los resultados de la siguiente

manera:

Interpretación: De acuerdo a la gráfica que se muestra anteriormente

100

50
% SI
0 NO
16 18 27 28
ITEMS

Gráfico 5:
Correspondiente a los valores Tabla 5

con los resultados del instrumento de recolección de datos arroja lo

siguiente; es evidente que el 100% de las respuestas son negativas de
acuerdo con la existencia de planes de contingencias para los posibles
ataques, las políticas de Seguridad para el cableado de la Red de la
Organización, manuales como las políticas de seguridad de información y
manuales que describan el uso adecuado de los servidores de sincronización
69
y base de datos, siendo esto importante tanto para la continuidad del negocio
como para el buen funcionamiento de las herramientas para el resguardo de
la integridad de los datos.

Adicionalmente a la interpretación de los resultados obtenidos

en los instrumentos de recolección de datos, podemos observar en el anexo
A la matriz FODA (Fortalezas, oportunidades, debilidades y amenazas),
siendo esta una importante herramienta para la verificación de los factores
internos y externos que se encuentran expuesto la empresa Prodata. Con
ella se diferencia las debilidades y fortalezas de los sistemas de seguridad
de sincronización y Base de Datos.

A su vez en el anexo B, se localiza el modelo de madurez que indica

el manual de COBIT, para la evaluación de acuerdo a la escala de medición
que se debe mejorar para lograr un nivel óptimo para el resguardo y buen
funcionamiento de la seguridad de la información.

Para una evaluación de riesgos, de acuerdo a la matriz de Leopold

ubicado en el anexo C, se puede observó la consecuencia de no tener
políticas de seguridad es perjudicial para la empresa, ya que no se poseen
lineamientos para el resguardo de la información, siendo este un riesgo para
la pérdida de información, bien sea por mal uso o por robo, por consiguiente
es la actividad que deberá modificar rápidamente la empresa.
Adicionalmente, la empresa está en riesgo en la seguridad de redes, puesto
que al no tener certificaciones que la redes se encuentran bien estructura,
pudiese ocasionar pérdida de información importante de la empresa.

CONCLUSIONES Y RECOMENDACIONES
70
 CONCLUSIONES

A través del desarrollo de la investigación, afianzado en la revisión

bibliográfica y el análisis de los resultados obtenidos de la aplicación de los
instrumentos metodológicos, se establece las siguientes conclusiones.

Tomando en consideración la normativa que indica el estándar de

COBIT 4.1, PRODATA no posee la norma del control de vigilancia, ya que no
se han aplicado normas y reglas mínimas para el control de acceso de
terceros a las áreas restringidas, donde se encuentran los servidores de
sincronización y base de datos, ocasionando así un riesgo a la empresa y
poniendo en peligro la integridad de la información, sumándose a esto la
descripción en los niveles de seguridad en los servidores en estudio para el
resguardo de la data y las autenticaciones en la escala indicadas por COBIT,
estas no existen en la empresa, por lo que se considera que son de suma
importancia para segregar las funciones de cada usuario que manipule los
servidores, para lo cual la empresa no poseen perfiles de acuerdo a los
cargos y así delimitar por privilegios los accesos de los servidores.

Tomando en cuenta los estándares y controles aplicados en la

empresa para el resguardo de la información, se observó que el personal
encargado de la administración de los servidores de sincronización y base de
datos realizan respaldo con frecuencia semanal, que son almacenados fuera
de la institución cumpliendo con ello con el control del dominio DS5 del
manual de COBIT, DS5.2 Plan de Seguridad de TI donde indica que la
importancia de poseer políticas de seguridad en la empresa.

La empresa en estudio, no realiza auditorías para la evaluación de la

seguridad de la información, tomando en cuenta que esta actividad es de
gran importancia, ya que permite evaluar las debilidades en los servidores

71
para el resguardo de la información y la elaboración de estrategias para la
creación de políticas de seguridad. Según los resultados de la aplicación del
instrumento de recolección de datos, se observó que la empresa Prodata no
entrega contratos de confidencialidad para los usuarios que tienen acceso a
los servidores y así mantener reservada la información.

En PRODATA, solo existe el manual de sincronización para buen

funcionamiento de las actividades sincronización de archivos de los clientes,
este aún no está culminado, por lo tanto no se encuentra actualizado con los
avances tecnológicos que posee estos procesos en la empresa. A pesar de
la existencia del manual de sincronización no existe ningún otra manera de
verificar el buen funcionamiento de las actividades de los servidores, ni un
plan de contingencia para la continuidad del negocio en caso de ataques de
bien sea interno o externo, o por eventos ambientales, y así minimizar tiempo
y costo, para así no perder tiempo en la reconstrucción o restauración de la
información, siendo este último estipulado en COBIT en su control DS4.2
Planes de Continuidad de TI.

Un alto porcentaje de los encuestados indica que existe protección de

los registros de los servidores, cumpliendo este con el objetivo de control
DS5.8 Administración de Llaves Criptográficas, pues existe claves robustas y
el proceso de sincronización de archivos se maneja claves públicas
utilizando el tipo de llave RSA de 128 Bits, administradas por el encargado
del servidor de sincronización.

La empresa al no realizar evaluaciones de riesgos no podrá evaluar

las vulnerabilidades que pueda tener los servidores de sincronización y base
de datos, al no considera el punto DS5.9 Prevención, Detección y
Corrección de Software Malicioso del manual de COBIT, al igual en el P09.
Evaluar y administrar los riesgos de la tecnología de la información, donde
indica objetivos de control para así identificarlos, analizarlos y posteriormente
72
evaluarlos, para adoptar estrategias necesarias para la mitigación de riesgos
y llega a niveles aceptables. Adicionalmente de estos eventos, se podrá
definir las debilidades que pueda tener la seguridad de información, para que
el personal ataque esta deficiencia convirtiéndola en fortaleza y así no
ocasione daños e impactos al negocio en un futuro, y con estos resultados
se estarían elaborando los planes de contingencia.

Por otra parte, en la evaluación de los riesgos una alta valoración de

riesgo la falta de políticas de seguridad, por lo que se considera en riesgo
moderado, el acceso físicos a los servidores y al no tener control de acceso
de terceros a las áreas servidores está en peligro al robo de información y
sabotaje.

De acuerdo a los resultados de la matriz de riesgos, todos los riesgos

poseen un gran impacto a la empresa, mediante las distintas valoraciones de
riesgos que se obtuvo en la matriz, dio como gravedad de impacto a la
empresa la falta de políticas de seguridad, de igual forma el personal no
calificado para la manipulación de servidores, ya que no posee certificación
para administración de los servidores. A su vez al no poseer controles de
seguridad tiene una gravedad alta de estar en riesgo de fuga de información,
ingreso de terceros a las áreas de servidores de sincronización y base de
datos.

RECOMENDACIONES

73
Solicitar la estructuración de un plan de trabajo que permita entre otros
aspectos, que el área de Tecnología de Información, ejecute las
actividades relacionadas con:

1. Plan de adiestramiento para el personal encargado de la

administración de los servidores de Sincronización y Base de Datos, a
realizar cursos para obtener conocimientos especializados para el uso
adecuado de servidores y en materia de seguridad de la información.

2. Desarrollar y formalizar los manuales de políticas de seguridad de

información para que el personal encargado de los servidores en
estudio tengan lineamientos a seguir, en caso de que se presente
algún evento con los mismos, planes de contingencia para la
continuidad del negocio basándose en las mejores práctica, tomando
como base el manual de COBIT, ya que con este identifican los
objetivos de control necesarios para la elaboración de este manual.

3. Establecer mecanismos de control interno que permitan el control del

acceso de terceros a las áreas de servidores, teniendo en cuenta los
lineamientos de la seguridad física que menciona el manual de
COBIT, para la empresa es importante los datos uno más que otros,
por tal motivo se debe considerar el control de acceso a los mismos.

4. Se debe establecer que como requisito en los procesos de contratación con

proveedores externos la protección de la información y deben incluirse en
todo el SLA, si es interno o externo.

5. Establecer dentro de las políticas de contratación de personal de

PRODATA, que todos los empleados formalicen su contrato de trabajo
y que el mismo incorpore la confidencialidad y manejo de la
información..

6. Establecer un plan de trabajo que incorpore dentro de sus

74
 lineamientos la elaboración de controles de riesgos, con el mismo se
podrá analizar el funcionamiento, efectividad y cumplimiento de las
medidas de protección de la información y ajustar las deficiencias que
presenta.

7. Realizar eventualmente matrices de análisis de riesgo, para evaluar

evolución de los riesgos e indicar estrategias para mitigar los mismos.

75
 REFERENCIAS BIBLIOGRÁFICAS.

Libros:

Patella, S., Martins F (2006). Metodología de la Investigación cuantitativa.

Caracas. Panapo

Sampieri, R., Collado C. Y Otros. (1995). Metodología de la Investigación.

Mexico.McGraw-Hill.

Universidad Alejandro Humbolt. Manual, normas y orientaciones para la

elaboración del trabajo de grado. 2011.

Manual de Procedimientos para Realizar una Correcta Instalación del

Servidor de Sincronización en los Clientes, Adaptapro, (2005). Caracas:
Material del Personal de ADAPTAPRO.

Los Objetivos de Control para la Información y la Tecnología (COBIT 4.1),

2007.

Tesis y Trabajo de Grados.

Mijares (2008) en su investigación, EVALUACIÓN DE LOS

PROCEDIMIENTOS DE SEGURIDAD DE LOS SERVIDORES WINDOWS
DEL BANCO COMERCIAL BEDAM, aplica mejores prácticas de
Seguridad tales ISO 17799, COBIT, estas contribuirán a la seguridad de la
información puesto que actualmente existen debilidades de cumplimiento
de los procedimientos y normativas en materia de Seguridad de
Información.
76
 Liendo (2007), Evaluación del cumplimiento de políticas y
estándares de Sistemas de Información en la red de agencias del Banco
X, Banco Universal. Trabajo de Grado (No Publicado) presentado para
optar al Título de Especialista de Auditoria de Sistemas Financieros y
Seguridad de Datos. Caracas. CUFM.

Fuentes Electrónicas:

 Modelo para la declaración de prácticas de certificación y políticas de

certificados de los proveedores de servicios de certificación (psc).
Documento en Línea. Disponible:
http://www.mcti.gob.ve/tices/proyectos/cenif Consulta: 07 julio, 2012.
Hora: 9:50 pm.
 Sistema de Información. Documento en Línea. Disponible:
http://www.rena.edu.ve/cuartaEtapa/Informatica/Tema10.html .
Consulta 06 Julio, 2012. Hora: 7:45pm.
 Sistema de información. Documento en Línea. Disponible:
http://www.mitecnologico.com/Main/ConceptoSistemaInformacion .
Consulta: 06 Julio, 2012. Hora: 8:30pm.
 PROYECTO DE LEY DE DELITOS INFORMATICOS DE
VENEZUELA. Documento en línea. Disponible:
http://delitosinformaticos.com/legislacion/venezuela.shtml. Consulta
24 Junio 2012 Hora: 11:25 am

 Seguridad Lógica. Documento en Línea. Disponible: http://www.segu-

info.com.ar/logica/seguridadlogica.htm . Consulta: 25 junio 2012, Hora:
2:44 pm.

 Open Source. Documento en Línea. Disponible:

www.openbiz.com.ar/Open%20Source.pdf. Consulta: 09 Julio, 2012.
77
 Hora: 6:35pm.

 Definición Servidor. Documento en Línea. Disponible:

http://www.um.es/docencia/barzana/DIVULGACION/INFORMATICA/s
gbd.html . Consulta 09 Julio, 2012. Hora: 7:30 Pm.

 Cobit – Resumen UNSa. Documento en Línea. Disponible:

http://bo.unsa.edu.ar/sct/gestion/docs/tic/cobit.html. Consulta 09 Julio,
2012. Hora: 8:30 Pm.

 Seguridad de la Información. Documento en Línea.

Disponible.http://es.wikipedia.org/wiki/Seguridad_de_la_informaci
%C3%B3n Consulta: 10 Julio, 2012. hora: 9:45pm.

 Delitos Informáticos. Documento en Línea. Disponible:

http://delitosinformaticos.com/legislacion/venezuela.shtml. Consulta:
31 de Agosto 2012. Hora: 1-.15 pm

 Definición Información. Documento en Línea. Disponible:

www.monografia.com/trabajos14/nuevmicro/nuevmicro.shtml.
Consulta: 02 julio 2012. Hora: 10:43pm.

 Sistemas de Información Documento en línea. Disponible:

http://www.rena.edu.ve/cuartaEtapa/Informatica/Tema9.html .
Consulta: 10 Julio, 2012. hora 10:35 pm.

 Norma ISO 27001. Documento en línea Disponible: www.

http://es.wikipedia.org/wiki/ISO/IEC_17799#Publicaci.C3.B3n_de_la_
norma_en_diversos_pa.C3.ADses. Consulta: 10 Julio, 2012 hora
11:40 pm.

 ISO/IEC 17799. Documento en Línea. Disponible

http://es.wikipedia.org/wiki/ISO/IEC_17799#Publicaci.C3.B3n_de_la_
norma_en_diversos_pa.C3.ADses . Consulta: 11 Julio, 2012 Hora:
78
 10:25 am.

 Seguridad de la Información en un mundo sin fronteras. Documento

en Línea. Disponible www.ey.com/mx. Consulta: 01 Abril 2012. Hora:
4:44pm

 Prácticas de Seguridad de Información de las empresas de

Venezuela. 2007-2008. documento en línea. Disponible:
https://www.pwc.com/ve/es/encuestas/assets/si-2008.pdf. Consulta:
16 Julio 10:19 pm.

 Amenazas. Disponible:
http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n.
Consulta: 15 Julio 2012. Hora: 2:35 pm.

 Delito Informático. Documento en Línea. Disponible.

http://www.suscerte.gob.ve/index.php/es/seguridad-de-la-
informacion/cenif). Consulta: 15 Julio 2012 Hora: 4:30 pm.

 VenCert.Documento en Línea. Disponible:

http://www.mcti.gob.ve/tices/proyectos/cenif. VenCert, Publicado el
11/11/2011). Consulta 15 Julio, 2012. Hora: 1:35pm

 Política de Seguridad. Documento en Línea. Disponible:

http://www.mcti.gob.ve/tices/proyectos/cenif. Consulta: 5:10 pm

 Marco Metodológico. Definición. Documento en Líneas. Disponible en

http://tesisdeinvestig.blogspot.com/2011/06/marco-
metodologicodefinicion.html Consulta: 19/08/2012. Hora: 7.25pm.

 Manual UPEL.Documento en Línea. Disponible:

http://tesisdeinvestig.blogspot.com/2011/07/investigacion-de-campo-
manual-upel.html Consulta: 29 Agosto Hora: 9:37pm.

79
  Documento en línea.
Disponible:http://aulaweb.uca.edu.ni/blogs/raimundo/files/2010/06/Op
eracionalizaci%C3%B3n-de-las-variables.ppt , Consulta: 10Junio
2012. Hora: 7.30pm

 Matriz de Análisis y Evaluación, Leopold. Documento en Línea.

Disponible: http://www.youtube.com/watch?
NR=1&feature=endscreen&v=z6x1EsHNQzA Consulta 14 Septiembre
2012. Hora: 9:25pm.

Clases Magistrales.

Subero, D. (2012). Clase Magistral de Ataque y Defensas. Caracas,

Mayo 26, 2012: CUFM.

80
81
 Anexo A: Matriz FODA

DEBILIDADES OPORTUNIDADES FORTALEZAS AMENAZAS

No poseen Cursos para el Buen Mal uso de los

conocimientos uso adecuado de funcionamiento servidores,
especializado servidores y en de los servidores ocasionando
s. materia de y seguridad de pérdida de
seguridad de la los mismos, la información,
información. empresa tendrá siendo este un
EL PERSONAL la confianza de riesgo de
ENCARGADO DE que la seguridad
LOS SERVIDORES. información está general la misma
bien resguardada abarca la parte
y personal lógica de los
calificado para servidores. Y por
afrontar cualquier ende riesgos
evento en los operativos.
servidores.
Falta de Desarrollar Teniendo Pérdida de
manuales de manuales de documentados tiempo y dinero a
seguridad de políticas de las políticas de la empresa, ya
información, seguridad de la seguridad, se que el impacto es
manual de empresa, planes tendrán la alto al no poseer
buen uso de de contingencia metodología y/o esta
servidores, para la estrategias para documentación y
MANUALES
planes de continuidad del poseer una aumenta la
OPERATIVOS
contingencia negocio óptima seguridad posibilidad de
para la basándose en la de información. amenaza a la
continuidad mejor práctica, integridad de los
del negocio. por ejemplo datos.
COBIT. Mal uso de los
servidores en su
manipulación.
ACCESOS EN No controla el Controlar el Mayor seguridad La falta de estos
ÁREAS DE ingreso de acceso de de la controles de
SERVIDORES terceros a las terceros a las información, para acceso a esta
áreas de áreas de así tener control área tiene una
acceso servidores, de los servidores. gran probabilidad
restringido de colocando Y mitigar el de sabotaje, robo
los servidores infraestructura de saboteo y hurto y/o hurto de
los mismos, de equipos y/o información, y los
considerando los información. riesgos
lineamientos de asociados a la
82
 DEBILIDADES OPORTUNIDADES FORTALEZAS AMENAZAS

la seguridad integridad de la
física del manual información de
de COBIT. los sistemas de
base de datos
con su respectivo
riesgo de
confidencialidad
de la información.
Falta de Elaboración y Con este Divulgación
elaboración y entrega de contrato los inescrupulosa de
entrega de contratos de empleados de la la información
contratos de confidencialidad empresa confidencial que
CONTRATOS DE
confidencialid a los empleados Prodata, tendrá maneja la
CONFIDENCIALIDAD
ad a los de Prodata. compromiso y así empresa.
empleados de la empresa Riesgo
la empresa. resguarda la reputacional.
información
Controles de Elaboración Identificación
de de Pérdida de
riesgo los controles de debilidades en la información.
riesgos, con el seguridad de la Acceso de
mismo se podrá información, terceros
analizar el para así ocasionando
funcionamiento,Implementar sabotaje, robo de
CONTROLES DE efectividad y proceso de información y / o
RIESGOS cumplimiento de controles reducir equipos de
las medidas de riesgos a la computación.
protección de la empresa, dando
información y seguridad lógica
ajustar las y física a la
deficiencias que empresa.
presenta.

83
ANEXO B: Modelo de Madurez COBIT

Actividades 0 1 2 3 4 5 Explicación
1.-Perfiles para la X Para la autenticación al servidor de
administración de sincronización, de acuerdo a la escala
la información al indicada por COBIT no existe en la
servidor. empresa. Ya que estos perfiles son de
suma importancia para segregar las
funciones de cada usuario que manipule
este servidor.
2.- Los Perfiles de X Al no considerar esta actividad la empresa
Acceso a la sin embargo sabe que tiene este
Información son problema, se ubica en esta escala, ya que
de acuerdo al por ser empresa de software debe existir
cargo y un manual que describa las funciones que
responsabilidad tiene cada trabajador de la misma, ya que
del empleado los usuarios no deben tener los mismos
privilegios los mismo se encuentra
desorganizados no maneja un estándar
para ello.
3- Las X No se otorgan claves lo que es una
contraseñas son debilidad, ya que el administrador de
suministradas por servidor de sincronización debe poseer un
el administrador o control de acceso y actividades realizada
es libre de por los usuarios para luego tener una
colocación de auditoria y especificar las evidencias de
usuarios los hechos realizados.
4.- Los password X Los usuarios al no tener sus claves en
o claves de lugares visibles, se considera que están
acceso a los resguardando la información; más no es
servidores se producto de un manual de procedimiento
encuentran que le indica el personal encargado de la
anotados en elaboración y difusión de estas normas de
lugares visibles seguridad. Si no se realiza de manera
por otros usuarios empírica.
5.- Se realizan X Estas evaluaciones se realizan por
evaluaciones de experiencias que tiene el administrador de
los riego servidor de sincronización, sin tener en si
una herramienta para esta actividad
preventiva, con estos resultados bien
estructurados son importantes para alguna
decisión apropiada y así indicar una

84
 Actividades 0 1 2 3 4 5 Explicación
medida óptima.
6.- Poseen X No lo poseen sin embargo tienen
Controles para conocimiento de esta deficiencia en este
mitigar riesgos ámbito, ya que buscan soluciones ya
cuando ocurre el evento.
7- Qué tipo X Al poseer este manejador de base de
Protección de datos relacional y tiene como propósito ser
registros un gestor de base datos rápido. Esta base
datos y es considerada como obsoleta que
ya en el mercado existe por ejemplo SQL,
ORACLE que son más estables y seguras
en nivel generales.
8.- Poseen X Solo existe un manual de sincronización a
Documentación de nivel de usuario, el cómo hacer la misma
las políticas de desde un cliente al servidor de la empresa,
seguridad de la con estas condiciones de sincronización
Información de archivos. Este aún no se completado y
actualizado, ya teniendo procesos ya
modificados y no están documentados
9.- Existen Planes X No cumplen con este punto en el estándar
de contingencias de COBIT en su totalidad, ya que no
para los posibles poseen plan de contingencia como tal para
ataques la continuidad del negocio, corriendo el
riesgo operacional.

10- Reciben X De acuerdo a la respuesta del personal se

asesoramiento ubica que si lo reciben más no están
especializado en certificados o algún documento que
materia de acredite este asesoramiento. Pudiese ser
seguridad de mediante los cursos realizados por el
información mismo trabajador para ampliar sus
conocimientos en el área.
11.- Hacen X Se realizan monitoreo mensualmente para
Monitoreo de los el control y verificación de los cambios
cambios realizados. Estas son aprobadas por el
significativos para personal de encargado de los servidores.
el resguardo de la
información frente
amenazas
12.- Se definieron X Para los administradores de servidores si
85
 Actividades 0 1 2 3 4 5 Explicación
las se han delegados las respectivas
responsabilidades responsabilidades, pero no están por
para la protección escrito en un manual de procedimientos
de los recursos y/o cargos.
13.- En el X Los usuarios en sus escritorios de sus
escritorio del PC respectivos computadores no se observan
se observa a simple vista información, solo que esta
información norma aun y cuando se aplica en la
clasificada organización no está documentada.
14.- Se controla X Esta norma no se cumple y a su vez
el ingreso de incumplen el objetivo de control de
terceros a las vigilancia, al no tener medidas de
áreas de acceso seguridad con este punto, cualquier
restringido de los usuario ajeno a los encargados de los
servidores servidores podrían ingresar al mismo y
manipular la información y/o sabotaje o
incluso el robo de información. Solo
poseen medida en cuanto a acceso a nivel
lógico.
15.- Existen X Esta norma de COBIT en cuanto a la
políticas de seguridad de red, este posee router con
Seguridad para el clave robustas para el ingreso de la red,
cableado de la firewall. Y existe un diagrama de la
Red de la estructura de la red física de la
Organización organización.

16.- Cuáles son X No cumple esta norma, y esta es

los criterios importante para la empresa ya que nadie
poseen para las se responsabiliza ni existe esta figura de
actualizaciones y aprobación de versiones de
nuevas versiones actualizaciones.
antes de la
aprobación
17.- Cada cuanto X Se realizan con frecuencia de trimestral,
tiempo se realizan dando como consecuencia que las bases
las de datos se coloquen obsoletas por lo
actualizaciones de antiguo, ya que diariamente aparece un
antivirus virus nuevo y este a no tener un antivirus
que mitigue estos eventos ocasionando
posibles daños a la información.

86
 Actividades 0 1 2 3 4 5 Explicación
18.- Cada cuanto X Se realizan anualmente estos
tiempo realizan mantenimientos estando en escala
mantenimiento de aceptable para la estructura de red. Sin
los sistemas de embargo por no tener nada documentado
seguridad de la misma y queda evidencia de este
mantenimiento.
19.- Realizan X Estos respaldos existen en la empresa con
respaldo de la una frecuencia semanal, solo que no está
información documentado como una norma que se
deba cumplir y un seguimiento de estos
respaldos.
20.- Poseen X Estas claves existen este proceso de
claves públicas sincronización como manera de seguridad,
para los procesos sin documentación al respecto.
de sincronización
21.- Poseen X Esas tas autenticaciones existen en la
autenticación de empresa, estas conexiones externas se
usuarios para realiza con usuario asignado en un
conexiones momento del tiempo laborando en la
externas a los empresa. No obstante, no es suficiente
servidores esto sino también que existan medidas de
seguridad en los puertos que puedan
interceptar la comunicación y agente
externo pueda penetrar y cometer delitos
informáticos.
22.- Se entrega X Estas políticas de seguridad deben ser
las políticas de entregadas a los distintos usuarios, para el
seguridad a los buen funcionamiento de los servidores y
usuarios sus recursos.
23.- Existen X Este manual no lo posee la empresa, ni
manuales que tienen pensado en la elaboración del
describan el uso mismo, los encargados de los servidores
adecuado de los deben tener este manual de la adecuada
servidores manipulación de servidores como punto de
partida para las actividades a realizar para
su mantenimiento, manipulación y
resguardo de la información e integridad.
24.- Medios de X Poseen respaldo para recuperar la
respaldo continuidad del negocio, pero no poseen
documentación del procedimiento de la

87
 Actividades 0 1 2 3 4 5 Explicación
misma y su respectivo traslado. Ya que el
mismo es enviado fuera de la institución
mediante un servidor espejo, como lo
establece en el objetivo de control de
COBIT.

25.- Realizan X Esta norma no es aplicable en la empresa,

Mantenimiento siendo esta importante, ya que se
preventivo previene daños a la información.
26.- Se realizan X Esta figura no es considerada por la
auditorias empresa, siendo esta una herramienta de
periódicas de la evaluación de como se encuentra la
seguridad de seguridad de la información.
información
27.- La Empresa X Esta norma no la maneja la empresa,
establece siendo este un requisito imprescindible
contratos de para la integridad de la información, y
confidencialidad mucho mas siendo una casa de desarrollo
con sus y manipulación de software.
empleados
Fuente: Modelo de Madurez de COBIT.

88
 ANEXO C: Matriz de Riesgos, Leopold

Fuente: Matriz de Análisis de Riesgo, ubicada en http://www.youtube.com/watch?

NR=1&feature=endscreen&v=z6x1EsHNQzA

89
 Anexo D: Modelo de Encuesta al Personal Encargado del Servidor Sincronización /
Base de Datos
.

REPUBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO Del PODER POPULAR PARA LA EDUCACION UNIVERSITARIA

COLEGIO FRANCISCO DE MIRANDA

EXTENSION POSTGRADO

Estimado(a) Señor(a):

El presente instrumento está destinado para recabar información necesaria para

la investigación que se está realizando, razón por la cual los resultados se manejaran

en estricta confidencialidad.

Agradeciendo su gestión.

INSTRUCCIONES:

Lea cuidadosamente cada uno de los ítems, que se presenta a continuación.

Marque con una X según sea el caso. De lo contrario explique la pregunta

formulada.

Gracias

2. ¿Qué tipos de accesos poseen?

Físicos_____ Lógicos ____ Ambos______

3. ¿Las contraseñas son suministradas por el administrador o es libre de colocación

de usuarios?

Si________ No_____

4. ¿Existen perfiles para la administración de los accesos de la información al

servidor?

89
 Si_____ No______

5. ¿Los Perfiles de Acceso a la Información son de acuerdo al cargo y

responsabilidad del empleado?

Si_____ No______

6. ¿Las contraseñas son suministradas por el administrador o es libre de colocación

de usuarios?

________________________________________________________________
__________________________________________________

7. ¿Los password o claves de acceso a los servidores se encuentran anotados en

lugares visibles por otros usuarios?

Si_____ No______

8. ¿Reciben asesoramiento especializado en materia de seguridad de información?

Si_____ No______

9. ¿Hacen Monitoreo de los cambios significativos para el resguardo de la

información frente a posibles amenazas?

Si_____ No______

10. ¿En caso de ser afirmativa la pregunta anterior, Cada cuanto tiempo?

Semanal_____ Mensual______ Trimestral_____ Anual

11. ¿Existen restricciones para el acceso de la información?

Si_____ No______

12. ¿En el escritorio del PC se observa información clasificada?

Si_____ No______

13. ¿Poseen claves públicas para los procesos de sincronización?

Si_____ No______

14. ¿Quiénes aprueban las principales iniciativas para la seguridad de la

información?

90
____________________________________________________________________

15. ¿Quién es responsable de los cambios que se realizan en el Servidor?

_________________________________________________________

16. ¿Se definieron las responsabilidades para la protección de los recursos?

Si_____ No______

17. ¿Existe manual de políticas de seguridad de información?

Si_____ No______

18. De ser afirmativa la pregunta anterior, indique se le entrega este manual a los
usuarios

Si ________ No________

19. ¿Existen manuales que describan el uso adecuado de los servidores?

Si_____ No______

20. ¿Se controla el ingreso de terceros a las áreas de acceso donde se encuentran
los servidores?

Si_____ No______

21. ¿Realizan respaldo de la información?

Si_____ No______

22. ¿Cada cuanto tiempo realizan los respaldo de la información?

Semanal_____ Mensual______ Trimestral_____ Anual_____ Nunca______

23. Medios de respaldo

Cd___ Pendrive_____ Diskette____ Servidores Espejos______ Otros____

24. ¿Donde se resguardan los respaldos?

Fuera de la Empresa________ Dentro de la Empresa_________

91
 25. ¿Poseen autenticación de usuarios para conexiones externas a los servidores?

Si_____ No______

26. ¿Se realizan auditorias periódicas de la seguridad de información?

Si_____ No______

27. ¿La empresa establece contratos de confidencialidad con sus empleados?

Si_____ No______

28. ¿Existen Planes de contingencias para los posibles ataques?

Si_____ No______

29. ¿Existen políticas de Seguridad para el cableado de la Red de la Organización?

Si_____ No______

30. ¿Quien se encarga de las restricciones de acceso a la red?

______________________________________________________________________
______________________________________________

31. ¿Realizan Mantenimiento preventivo?

Si_____ No______

32. ¿Cada cuanto tiempo realizan mantenimiento de los sistemas de seguridad?

Semanal_____ Mensual______ Trimestral_____ Anual_____ Nunca______

33. Cada cuanto tiempo

Semanal_____ Mensual______ Trimestral_____ Anual_____ Nunca______

34. ¿Qué controles de prevención existen contra los software maliciosos?

______________________________________________________________________
______________________________________________________________________
_____________________________________

35. ¿Se realizan evaluaciones de los riegos?

92
Si_____ No______

36. ¿Poseen Controles para mitigar riesgos?

Si_____ No______

37. ¿De ser afirmativa la pregunta anterior, indique que controles son utilizados para
mitigar riesgos?

____________________________________________________________

38. ¿Poseen Antivirus?

Si_________ No_______

39. De ser positiva la pregunta anterior ¿Cada cuanto tiempo se realizan las
actualizaciones periódicas de antivirus?

Semanal_____ Mensual______ Trimestral_____ Anual_____ Nunca______

93