Documentos de Académico
Documentos de Profesional
Documentos de Cultura
RESUMEN
La presente investigación se refiere a la evaluación de los procedimientos
empleados en la administración de los servidores de Sincronización y Base
de Datos en la empresa PRODATA, una empresa venezolana la cual tiene
como actividad económica del desarrollo y venta de software de
Administración, Contabiliadad y Nómina, con mas de 20 años en el
mercado, la misma es con el fin de evaluar los procedimientos empleados
en los servidores para así verificar la eficiencia en los controles de
seguridad, de acuerdo a la evaluación, determinar los correctivos
necesarios para mitigar los riesgos y así la empresa adopte un mecanismo
basándose en mejores prácticas de seguridad en la información. Esta
investigación se encuentra enmarcada en un diseño de investigación No
Experimental, de tipo de campo dentro de un nivel de investigación
descriptivo. Tomando en cuenta las técnicas de recolección de datos la
observación diecta, la entrevista con un guión no estructurada y
cuestionario, los cuales permitió evaluar la situación que presenta
actualmente en el cumplimiento de lineamientos de seguridad de la
información en los servidores en estudio.
Descriptores: Políticas de Seguridad, Estándares, Riesgos.
i
ii
DEDICATORIA
apoyo; a mi tía María Madriz por estar siempre a mi lado en todo momento,
Catherinne Madriz
iii
AGRADECIMIENTOS
Ante todo le doy gracias a Dios por darme la fortaleza necesaria para
Catherinne Madriz
iv
INDICE GENERAL
PORTADA
ACTA DE EVALUACIÓN DE TRABAJO DE GRADO DE
POSTGRADO............................................................................................ii
DEDICATORIA.........................................................................................iii
AGRADECIMIENTOS...............................................................................iv
INTRODUCCIÓN………………………………………………...........……….1
CAPITULOS
I. EL PROBLEMA
vi
INTRODUCCIÓN
1
En un sentido amplio de un sistema, indicando como un grupo de
componentes interrelacionados trabajando juntos por un objetivo común.
Cualquier organización puede ser concebida como un sistema. Todo
sistema organizacional cuenta con una entidad abstracta denominada
sistema de información. El cual es definido como el sistema de personas,
registros de datos y actividades que procesa los datos y la información en
cierta organización, incluyendo manuales de procesos o procesos
automatizados. Usualmente el termino es usado erróneamente como un
sinónimo de sistema de información basada en computadora, lo cual son
solo tecnologías de información un componente de un sistema de
información. El sistema de información basada en computadora son el
campo de estudio de las tecnologías de información, de cualquier manera
estas difícilmente deberían tratarse como tema aparte del enorme sistema
de información que siempre está relacionado.
2
Fase I: Relata el planteamiento del problema, tratando de dar a
conocer las debilidades y/o fortalezas que están presentes en los
servidores en estudio, se indican los objetivos de la investigación que se
pretende alcanzar con resultados reales para la justificación y el alcance
de la investigación.
Fase II: Describe el Marco teórico, donde se desarrolla las
definiciones que argumentan la investigación.
Fase III: Comprende al marco metodológico que son las etapas de
la investigación, considerando el tipo, diseño del estudio, su población y
muestra tomadas para la evaluación y análisis, para dar respuestas a las
interrogantes planteadas en este trabajo, las diferentes técnicas para la
recolección de los datos fundamentales para el desarrollo de esta
investigación, y la conceptualización de las variables con sus respectivos
indicadores para su medición.
Fase IV: Contiene el análisis de los resultados arrojados por los
instrumentos de recolección de información, realizando el respectivo
análisis de cada ítems, basándose en las directrices propuestas en los
estándares utilizados en COBIT 4.1.
Fase V: Refiere las conclusiones finales de la investigación y sus
respectivas recomendaciones para el objeto en estudio.
3
CAPITULO I
EL PROBLEMA
4
En algunas regiones del mundo, tienen como significado que la
información es un activo de la organización, debido a ello le dan la
protección y seguridad necesaria para su resguardo. Asimismo, en este
tipo de organizaciones, la práctica de la seguridad de la información se
independiza de lo técnico, haciendo análisis de vulnerabilidades, pruebas
de penetración, firewalls, antivirus, etc. para así poder tener la visión más
estratégica.
Esta parte del mundo, aún esta inmadura con estos aspectos de
resguardo de la información, en comparación con el resto de los países,
debido a que no le dan la importancia a las estrategias de seguridad que
esta debe tener. Estas prácticas están asociadas a la administración de
riesgos, la continuidad del servicio, la continuidad del negocio, y la
planeación estratégica de la seguridad de la información se vuelven vitales
para mantener un nivel de seguridad adecuado a lo largo del tiempo.
8
sanas” a través de un Marco Referencial de dominios y procesos y
presenta actividades en una estructura manejable y lógica. Las
prácticas sanas de COBIT representan el consenso de los expertos.
Está diseñado no solo para ser utilizado por usuarios y auditores, sino
que en forma más importante, está diseñado para ser utilizado como
un Check List detallado para los responsables de cada proceso.
9
En este marco, están las siguientes interrogantes:
10
OBJETIVOS DE LA INVESTIGACIÓN
Objetivo General.
Objetivos Específicos.
11
JUSTIFICACIÓN DE LA INVESTIGACIÓN
12
criterio más adecuado para tal evaluación, y así obtener una mejor
eficacia para controlar la situación planteada.
13
Este proceso minimiza la probabilidad y el impacto de
interrupciones mayores en los servicios de la seguridad de la información,
sobre funciones y procesos claves del negocio.
ALCANCE
14
CAPITULO II
MARCO TEÓRICO
ANTECEDENTES DE LA INVESTIGACIÓN:
15
BASES TEORICAS:
16
Art. 8: Acceso indebido o sabotaje a sistemas protegidos. Las
penas previstas en los artículos anteriores se aumentarán entre una
tercera parte y la mitad cuando los hechos allí previstos o sus efectos
recaigan sobre cualquiera de los componentes de un sistema que utilice
tecnologías de información protegido por medidas de seguridad, que esté
destinado a funciones públicas o que contenga información personal o
patrimonial de personas naturales o jurídicas
17
Art. 20: Violación de la privacidad de la data o información de
carácter personal. El que por cualquier medio se apodere, utilice,
modifique o elimine, sin el consentimiento de su dueño, la data o
información personales de otro o sobre las cuales tenga interés legítimo,
que estén incorporadas en un computador o sistema que utilice
tecnologías de información, será penado con prisión de dos a seis años y
multa de doscientas a seiscientas unidades tributarias.
18
Los primeros puntos son los más relevantes, ya que se muestra
que la información es de gran valor, en los últimos, se evidencia que
puede provocar su destrucción parcial o total de la misma. Información.
19
dispositivos de almacenamiento externo, contra el acceso a personas no
autorizadas.
20
intervenciones en seguridad informática aparece después que hubo un
problema”, explico Fernando Conesa socio de Ernst & Young.
21
Fuente: Prácticas de Seguridad de Información de las empresas de Venezuela. 2007-2008.
https://www.pwc.com/ve/es/encuestas/assets/si-2008.pdf .
24
EFECTIVIDAD: tiene que ver con que la información sea relevante y
pertinente a los procesos del negocio, y se proporcione de una
manera oportuna, correcta, consistente y utilizable
25
Planear y Organizar. Este dominio cubre las estrategias y las tácticas y
se refiere, a la identificación de la forma en que la tecnología de
información puede contribuir de la mejor manera al logro de los
objetivos del negocio. Además, la consecución de la visión
estratégica necesita ser planeada, comunicada y administrada desde
diferentes perspectivas. Finalmente, deberá establecerse una
organización y una infraestructura tecnológica apropiadas
26
Adicionalmente de estos dominios, existen procesos que
permiten el cumplimiento de las directrices que COBIT 4.1, plantea para
su marco de trabajo y así lograr las metas de seguridad de la información.
27
madurez simple que muestra como un proceso evoluciona desde una
capacidad no existente hasta una capacidad optimizada.
28
Cualquier proceso requiere de controles, COBIT define control,
como las políticas, procedimientos, prácticas y estructuras
organizacionales diseñadas para brindar una seguridad razonable que los
objetivos de negocio se alcanzarán, y los eventos no deseados serán
prevenidos o detectados y corregidos.
Cada día las empresas con una visión de futuro, están utilizando la
herramienta de comunicación por ejemplo el Internet, ya que esta se
establece mediante una red abierta. Si esta no cuenta con políticas,
procesos y productos de seguridad adecuados, podría poner en riesgo la
información que esta maneja poniendo el peligro la confidencialidad de la
data.
31
Es esencial que las organizaciones identifiquen sus debilidades y
fortalezas en la seguridad de la información, para atacar los puntos débiles
y convertirlos en fortaleza, es allí donde los atacantes aprovechan las
vulnerabilidades y manipulan o sabotean los recursos de la empresa.
32
(c) Recursos Críticos de TI:
34
necesidad de brindar continuidad en los servicios de TI requiere
desarrollar, mantener y probar planes de continuidad de TI, almacenar
respaldos fuera de las instalaciones y entrenar de forma periódica sobre
los planes de continuidad. Un proceso efectivo de continuidad de
servicios, minimiza la probabilidad y el impacto de interrupciones mayores
en los servicios de TI, sobre funciones y procesos claves del negocio.
36
pruebas de recuperación en aplicaciones individuales, en escenarios de
pruebas integrados, en pruebas de punta a punta y en pruebas
integradas con el proveedor.
37
recuperación de TI y para los planes de continuidad del negocio. El
contenido de los respaldos a almacenar debe determinarse en conjunto
entre los responsables de los procesos de negocio y el personal de TI. La
administración del sitio de almacenamiento externo a las instalaciones,
debe apegarse a la política de clasificación de datos y a las prácticas de
almacenamiento de datos de la empresa. La gerencia de TI debe
asegurar que los acuerdos con sitios externos sean evaluados
periódicamente, al menos una vez por año, respecto al contenido, a la
protección ambiental y a la seguridad. Asegurarse de la compatibilidad
del hardware y del software para poder recuperar los datos archivados y
periódicamente probar y renovar los datos archivados.
DS4.10 Revisión Post Reanudación
Una vez lograda una exitosa reanudación de las funciones de TI después
de un desastre, determinar si la gerencia de TI ha establecido
procedimientos para valorar lo adecuado del plan y actualizar el plan en
consecuencia.
38
DS5.2 Plan de Seguridad de TI
Trasladar los requerimientos de negocio, riesgos y cumplimiento dentro de
un plan de seguridad de TI completo, teniendo en consideración la
infraestructura de TI y la cultura de seguridad. Asegurar que el plan esta
implementado en las políticas y procedimientos de seguridad junto con las
inversiones apropiadas en los servicios, personal, software y hardware.
Comunicar las políticas y procedimientos de seguridad a los interesados y
a los usuarios.
DS5.3 Administración de Identidad
Asegurar que todos los usuarios (internos, externos y temporales) y su
actividad en sistemas de TI (aplicación de negocio, entorno de TI,
operación de sistemas, desarrollo y mantenimiento) deben ser
identificables de manera única. Permitir que el usuario se identifique a
través de mecanismos de autenticación. Confirmar que los permisos de
acceso del usuario al sistema y los datos están en línea con las
necesidades del negocio definidas y documentadas y que los
requerimientos de trabajo están adjuntos a las identidades del usuario.
Asegurar que los derechos de acceso del usuario se solicitan por la
gerencia del usuario, aprobados por el responsable del sistema e
implementado por la persona responsable de la seguridad. Las
identidades del usuario y los derechos de acceso se mantienen en un
repositorio central. Se despliegan técnicas efectivas en coste y
procedimientos rentables, y se mantienen actualizados para establecer la
identificación del usuario, realizar la autenticación y habilitar los derechos
de acceso.
39
modificación y cierre de cuentas de usuario y de los privilegios
relacionados, sean tomados en cuenta por un conjunto de procedimientos
de la gerencia de cuentas de usuario. Debe incluirse un procedimiento de
aprobación que describa al responsable de los datos o del sistema
otorgando los privilegios de acceso. Estos procedimientos deben aplicarse
a todos los usuarios, incluyendo administradores (usuarios privilegiados),
usuarios externos e internos, para casos normales y de emergencia. Los
derechos y obligaciones relativos al acceso a los sistemas e información
de la empresa deben acordarse contractualmente para todos los tipos de
usuarios. Realizar revisiones regulares de la gestión de todas las cuentas
y los privilegios asociados.
DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad
Garantizar que la implementación de la seguridad en TI sea probada y
monitoreada de forma pro-activa. La seguridad en TI debe ser
reacreditada periódicamente para garantizar que se mantiene el nivel
seguridad aprobado. Una función de ingreso al sistema (logging) y de
monitoreo permite la detección oportuna de actividades inusuales o
anormales que pueden requerir atención.
DS5.6 Definición de Incidente de Seguridad
Definir claramente y comunicar las características de incidentes de
seguridad potenciales para que puedan ser clasificados propiamente y
tratados por el proceso de gestión de incidentes y problemas.
DS5.7 Protección de la Tecnología de Seguridad
Garantizar que la tecnología relacionada con la seguridad sea resistente
al sabotaje y no revele documentación de seguridad innecesaria.
DS5.8 Administración de Llaves Criptográficas
Determinar que las políticas y procedimientos para organizar la
generación, cambio, revocación, destrucción, distribución, certificación,
40
almacenamiento, captura, uso y archivo de llaves criptográficas estén
implantadas, para garantizar la protección de las llaves contra
modificaciones y divulgación no autorizadas.
DS5.9 Prevención, Detección y Corrección de Software Malicioso
Poner medidas preventivas, detectivas y correctivas (en especial contar
con parches de seguridad y control de virus actualizados) en toda la
organización para proteger los sistemas de la información y a la
tecnología contra malware (virus, gusanos, spyware, correo basura).
DS5.10 Seguridad de la Red
Uso de técnicas de seguridad y procedimientos de administración
asociados (por ejemplo, firewalls, dispositivos de seguridad,
segmentación de redes, y detección de intrusos) para autorizar acceso y
controlar los flujos de información desde y hacia las redes.
DS5.11 Intercambio de Datos Sensitivos
Transacciones de datos sensibles se intercambian solo a través de una
ruta o medio con controles para proporcionar autenticidad de contenido,
prueba de envío, prueba de recepción y no repudio del origen.
41
a los usuarios.
42
(g) Protección de la Tecnología de Seguridad: Garantizar que la
tecnología relacionada con la seguridad sea resistente al sabotaje y no
revele documentación de seguridad innecesaria.
43
Otro aspecto que se debe tomar en cuenta, sobre todo en las
empresas de software o de tecnología, son los acuerdos de
confidencialidad o no divulgación, se utilizan para reseñar que la
informaciones confidencial o secreta. Los empleados deben firmar con
términos y condiciones iniciales de empleo, a los accesos a las
instalaciones de procesamiento de información. Los acuerdos de
confidencialidad deben ser revisados cuando se producen cambios en los
términos y condiciones de empleo o del contrato. Los términos y
condiciones de empleo deben establecer la responsabilidad del empleado
por la seguridad de la información.
44
determinada durante un período definido, ocasione un incidente con
consecuencias factibles de ser estimadas.
45
por personal externo en calidad de auditoría. Se podría considerar estas
recomendaciones:
MARCO METODOLÓGICO
47
recolección de datos, que se emplean para el tratamiento de los mismos,
es decir el “cómo” se realizó el estudio para responder el problema
planteado.
DISEÑO DE INVESTIGACIÓN
TIPO DE INVESTIGACIÓN
NIVEL DE INVESTIGACIÓN
49
Dada las condiciones que anteceden, esta investigación posee
características descriptivas, ya que conocerá los aspectos necesarios para
el desarrollo del mismo, y así obtener el análisis sobre el objeto en estudio
POBLACIÓN Y MUESTRA
50
Debido a este planteamiento, podemos considerar que la población
es igual que la muestra, en vista de que Hernández citado en Castro
(2003) considera que “si la población es menor a cincuenta (50
individuos), la población es igual a la muestra. (p.69.).
51
DEFINICIÓN
OBJETIVOS VARIABLES DIMENSIÓN INDICADORES ITEMS
CONCEPTUAL
* Los Son los * Manual 6-7-8-11-12-
1. 1.-
niveles de procedimiento de 16-18
Describir seguridad s que se Procedimien *Directrices de
en los tienen en tos para los sistemas de
los niveles
servidores cuenta para el Realizar seguridad de
de de resguardo de una sincronización
sincronizaci la información Correcta y base de
seguridad
ón y Base Instalación datos.
en los de Datos. del Servidor *Reglas
de mínima de para
servidores
Sincronizaci la
de ón en los sincronización
Clientes, y base de
sincroniza
Adaptapro. datos.
ción y *Políticas de
Seguridad.
Base de
*Normativas de
Datos, Seguridad de
Información.
para el
*Seguridad de
resguardo la red.
de la data.
55
TÉCNICAS DE RECOLECCIÓN DE DATOS
Sampieri (2006) nos dice que recolectar los datos implica tres
actividades estrechamente vinculadas entre sí:
56
Después de lo anterior expuesto, por ser de modalidad directa la
primera fase de la recolección de los datos de este estudio, se observa la
situación por la cual se presenta los servidores, con ello la seguridad lógica y
la manipulación de los mismos, por lo que permite tener una situación real de
lo existente.
57
un cuestionario conformado por un listado de preguntas escritas, que son
respondidas de manera anónimamente para mayor confianza a los sujetos
en estudio. Por consiguiente, posee preguntas abiertas para que el usuario
exponga libremente su respuesta, teniendo preguntas básicas y de
seguimiento, también se tiene las preguntas cerradas con alternativas de
respuestas dicotómicas y múltiples. A su vez se presentan las preguntas de
escalas de medición de actitudes y respuestas.
58
PRESENTACIÓN DE LOS RESULTADOS
59
El análisis de los resultados partió de los datos obtenidos de
aplicación de los instrumentos administrados en el presente estudio, que son
para dar respuestas a los objetivos planteados en este trabajo de
investigación, los cuales arrojó los siguientes resultados:
60
Tabla 1.
ITEMS SI % NO %
6.- ¿Los pasword o claves de 4 100
accesos a los servidores se
encuentran anotados en lugares
visibles por otros usuarios?
7- ¿Reciben asesoramiento 1 25% 3 75%
especializado en materia de
seguridad de información?
8.- ¿Hacen monitoreo de los 4 100%
cambios significativos para el
resguardo de la información
frente a posibles amenazas?
11.- ¿En el escritorio del Pc se 4 100%
observa información clasificada?
12.- ¿Poseen claves públicas 4 100%
para los procesos de
sincronización?
16.- ¿Existe manual de políticas 4 100%
de seguridad de información?
18.- ¿Existen manuales que 4 100%
describan el uso adecuado de
los servidores?
Los resultados se pueden graficar de la siguiente manera:
100
50
% SI
0 NO
6 7 8 11 12 16 18
ITEMS
Gráfico 1:
Correspondiente a los valores Tabla 1
61
Interpretación: El gráfico 1, muestra los niveles de seguridad en los
servidores de sincronización y Base de Datos para el resguardo de la data,
refleja un 100% de los encuestados indicando que los usuarios no colocan
de manera visible sus claves de accesos, los mismo la resguardan de
manera empírica, ya que la empresa no entrega ninguna políticas de
seguridad de información, esto lo confirma el 100% de estas individuos
encuestados. De acuerdo a las respuestas suministradas por la muestra, nos
indicó un 100% de los encuestados, que el personal encargado de la
administración de servidores reciben asesoramiento, sin embargo estos no
son certificados por ninguna institución. Según se vio en los resultados, que
la totalidad de la muestra en estudio indicó el 100% que no poseen manuales
ni de políticas de seguridad ni el manual para el uso adecuado de los
servidores.
62
Objetivo 2: Especificar los estándares y controles aplicados en la empresa
para el resguardo de la información.
Tabla 2.
ITEMS SI % NO %
19.- ¿Se controla el ingreso de 4 100%
terceros a las áreas de acceso
restringido de los servidores?
20.- ¿Realizan respaldo de la 4 100%
información?
25.- ¿Se realizan auditorías 4 100%
periódicas de la seguridad de
información?
26.- ¿La empresa establece 4 100%
contratos de confidencialidad
con sus empleados?
100
50
% SI
0 NO
19 20 25 26
ITEMS
63
Interpretación: De acuerdo a los resultados arrojados para este
objetivo en análisis, el 100% de los encuestados, consideran que la empresa
no cumple con la restricción física de terceras personas a las áreas donde
están ubicados los servidores en estudio. De la misma manera no realizan
auditorias periódicas de la seguridad de información y no entregan a sus
empleados contratos de confidencialidad. Por otra parte, el 100% de los
encuestados expresaron que la empresa Prodata no posee documentado las
políticas de seguridad de información, motivado a la no existencia de este
manual, el personal realiza mantenimiento a los servidores de manera
empírica, sin tener ningún tipo de lineamiento. Mientras que el 100% de los
encuestados señalan que si realizan respaldos de la información con
frecuencia semanal, los cuales son almacenados fuera de la organización
en servidores espejo.
64
Tabla 3.
ITEMS SI % NO %
24.- ¿Poseen autenticación 4 100%
de usuarios para
conexiones externas a los
servidores?
25.- ¿Se realizan auditorias 4 100%
periódicas de la seguridad
de información?
27.- ¿Existen Planes de 4 100%
contingencias para los
posibles ataques?
28.- ¿Existen políticas de 4 100%
Seguridad para el cableado
de la Red de la
Organización?
Con base a estos resultados se puede expresar gráficamente lo
siguiente:
100
50
% SI
0 NO
24 25 27 28
ITEMS
Tabla 4.
ITEMS SI % NO %
19.- ¿Se controla el ingreso de 4 100%
terceros a las áreas de acceso
restringido de los servidores?
24.- ¿Poseen autenticación de 4 100%
usuarios para conexiones
externas a los servidores?
30- ¿Realizan Mantenimiento 4 100%
preventivo?
34.- ¿Se realizan evaluaciones 3 75% 1 25%
de los riegos?
35.- ¿Poseen Controles para 4 100%
mitigar riesgos?
37.- ¿Poseen Antivirus? 4 100%
66
De acuerdo a los resultados que se expresan en la tabla podemos graficarlos
de la siguiente manera:
100
50 SI
%
NO
0
19 24 30 34 35 37
ITEMS
Gráfico 4:
Correspondiente a los valores Tabla 4
67
empresa Prodata, es decir los encuestados consideran que se cumple este
control ya que poseen claves de sincronización y estas son configuradas de
manera robustas para mayor seguridad.
68
Tabla 5.
ITEMS SI % NO %
16.- ¿Existe manual de políticas 4 100%
de seguridad de información?
18.- ¿Existen manuales que 4 100%
describan el uso adecuado de los
servidores?
27.- ¿Existen Planes de 4 100%
contingencias para los posibles
ataques?
28.- ¿Existen políticas de 4 100%
Seguridad para el cableado de la
Red de la Organización?
100
50
% SI
0 NO
16 18 27 28
ITEMS
Gráfico 5:
Correspondiente a los valores Tabla 5
CONCLUSIONES Y RECOMENDACIONES
70
CONCLUSIONES
71
para el resguardo de la información y la elaboración de estrategias para la
creación de políticas de seguridad. Según los resultados de la aplicación del
instrumento de recolección de datos, se observó que la empresa Prodata no
entrega contratos de confidencialidad para los usuarios que tienen acceso a
los servidores y así mantener reservada la información.
RECOMENDACIONES
73
Solicitar la estructuración de un plan de trabajo que permita entre otros
aspectos, que el área de Tecnología de Información, ejecute las
actividades relacionadas con:
74
lineamientos la elaboración de controles de riesgos, con el mismo se
podrá analizar el funcionamiento, efectividad y cumplimiento de las
medidas de protección de la información y ajustar las deficiencias que
presenta.
75
REFERENCIAS BIBLIOGRÁFICAS.
Libros:
Fuentes Electrónicas:
Amenazas. Disponible:
http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n.
Consulta: 15 Julio 2012. Hora: 2:35 pm.
79
Documento en línea.
Disponible:http://aulaweb.uca.edu.ni/blogs/raimundo/files/2010/06/Op
eracionalizaci%C3%B3n-de-las-variables.ppt , Consulta: 10Junio
2012. Hora: 7.30pm
Clases Magistrales.
80
81
Anexo A: Matriz FODA
la seguridad integridad de la
física del manual información de
de COBIT. los sistemas de
base de datos
con su respectivo
riesgo de
confidencialidad
de la información.
Falta de Elaboración y Con este Divulgación
elaboración y entrega de contrato los inescrupulosa de
entrega de contratos de empleados de la la información
contratos de confidencialidad empresa confidencial que
CONTRATOS DE
confidencialid a los empleados Prodata, tendrá maneja la
CONFIDENCIALIDAD
ad a los de Prodata. compromiso y así empresa.
empleados de la empresa Riesgo
la empresa. resguarda la reputacional.
información
Controles de Elaboración Identificación
de de Pérdida de
riesgo los controles de debilidades en la información.
riesgos, con el seguridad de la Acceso de
mismo se podrá información, terceros
analizar el para así ocasionando
funcionamiento,Implementar sabotaje, robo de
CONTROLES DE efectividad y proceso de información y / o
RIESGOS cumplimiento de controles reducir equipos de
las medidas de riesgos a la computación.
protección de la empresa, dando
información y seguridad lógica
ajustar las y física a la
deficiencias que empresa.
presenta.
83
ANEXO B: Modelo de Madurez COBIT
Actividades 0 1 2 3 4 5 Explicación
1.-Perfiles para la X Para la autenticación al servidor de
administración de sincronización, de acuerdo a la escala
la información al indicada por COBIT no existe en la
servidor. empresa. Ya que estos perfiles son de
suma importancia para segregar las
funciones de cada usuario que manipule
este servidor.
2.- Los Perfiles de X Al no considerar esta actividad la empresa
Acceso a la sin embargo sabe que tiene este
Información son problema, se ubica en esta escala, ya que
de acuerdo al por ser empresa de software debe existir
cargo y un manual que describa las funciones que
responsabilidad tiene cada trabajador de la misma, ya que
del empleado los usuarios no deben tener los mismos
privilegios los mismo se encuentra
desorganizados no maneja un estándar
para ello.
3- Las X No se otorgan claves lo que es una
contraseñas son debilidad, ya que el administrador de
suministradas por servidor de sincronización debe poseer un
el administrador o control de acceso y actividades realizada
es libre de por los usuarios para luego tener una
colocación de auditoria y especificar las evidencias de
usuarios los hechos realizados.
4.- Los password X Los usuarios al no tener sus claves en
o claves de lugares visibles, se considera que están
acceso a los resguardando la información; más no es
servidores se producto de un manual de procedimiento
encuentran que le indica el personal encargado de la
anotados en elaboración y difusión de estas normas de
lugares visibles seguridad. Si no se realiza de manera
por otros usuarios empírica.
5.- Se realizan X Estas evaluaciones se realizan por
evaluaciones de experiencias que tiene el administrador de
los riego servidor de sincronización, sin tener en si
una herramienta para esta actividad
preventiva, con estos resultados bien
estructurados son importantes para alguna
decisión apropiada y así indicar una
84
Actividades 0 1 2 3 4 5 Explicación
medida óptima.
6.- Poseen X No lo poseen sin embargo tienen
Controles para conocimiento de esta deficiencia en este
mitigar riesgos ámbito, ya que buscan soluciones ya
cuando ocurre el evento.
7- Qué tipo X Al poseer este manejador de base de
Protección de datos relacional y tiene como propósito ser
registros un gestor de base datos rápido. Esta base
datos y es considerada como obsoleta que
ya en el mercado existe por ejemplo SQL,
ORACLE que son más estables y seguras
en nivel generales.
8.- Poseen X Solo existe un manual de sincronización a
Documentación de nivel de usuario, el cómo hacer la misma
las políticas de desde un cliente al servidor de la empresa,
seguridad de la con estas condiciones de sincronización
Información de archivos. Este aún no se completado y
actualizado, ya teniendo procesos ya
modificados y no están documentados
9.- Existen Planes X No cumplen con este punto en el estándar
de contingencias de COBIT en su totalidad, ya que no
para los posibles poseen plan de contingencia como tal para
ataques la continuidad del negocio, corriendo el
riesgo operacional.
86
Actividades 0 1 2 3 4 5 Explicación
18.- Cada cuanto X Se realizan anualmente estos
tiempo realizan mantenimientos estando en escala
mantenimiento de aceptable para la estructura de red. Sin
los sistemas de embargo por no tener nada documentado
seguridad de la misma y queda evidencia de este
mantenimiento.
19.- Realizan X Estos respaldos existen en la empresa con
respaldo de la una frecuencia semanal, solo que no está
información documentado como una norma que se
deba cumplir y un seguimiento de estos
respaldos.
20.- Poseen X Estas claves existen este proceso de
claves públicas sincronización como manera de seguridad,
para los procesos sin documentación al respecto.
de sincronización
21.- Poseen X Esas tas autenticaciones existen en la
autenticación de empresa, estas conexiones externas se
usuarios para realiza con usuario asignado en un
conexiones momento del tiempo laborando en la
externas a los empresa. No obstante, no es suficiente
servidores esto sino también que existan medidas de
seguridad en los puertos que puedan
interceptar la comunicación y agente
externo pueda penetrar y cometer delitos
informáticos.
22.- Se entrega X Estas políticas de seguridad deben ser
las políticas de entregadas a los distintos usuarios, para el
seguridad a los buen funcionamiento de los servidores y
usuarios sus recursos.
23.- Existen X Este manual no lo posee la empresa, ni
manuales que tienen pensado en la elaboración del
describan el uso mismo, los encargados de los servidores
adecuado de los deben tener este manual de la adecuada
servidores manipulación de servidores como punto de
partida para las actividades a realizar para
su mantenimiento, manipulación y
resguardo de la información e integridad.
24.- Medios de X Poseen respaldo para recuperar la
respaldo continuidad del negocio, pero no poseen
documentación del procedimiento de la
87
Actividades 0 1 2 3 4 5 Explicación
misma y su respectivo traslado. Ya que el
mismo es enviado fuera de la institución
mediante un servidor espejo, como lo
establece en el objetivo de control de
COBIT.
88
ANEXO C: Matriz de Riesgos, Leopold
89
Anexo D: Modelo de Encuesta al Personal Encargado del Servidor Sincronización /
Base de Datos
.
EXTENSION POSTGRADO
Estimado(a) Señor(a):
la investigación que se está realizando, razón por la cual los resultados se manejaran
en estricta confidencialidad.
Agradeciendo su gestión.
INSTRUCCIONES:
formulada.
Gracias
Si________ No_____
89
Si_____ No______
Si_____ No______
________________________________________________________________
__________________________________________________
Si_____ No______
Si_____ No______
Si_____ No______
10. ¿En caso de ser afirmativa la pregunta anterior, Cada cuanto tiempo?
Si_____ No______
Si_____ No______
Si_____ No______
90
____________________________________________________________________
_________________________________________________________
Si_____ No______
Si_____ No______
18. De ser afirmativa la pregunta anterior, indique se le entrega este manual a los
usuarios
Si ________ No________
Si_____ No______
20. ¿Se controla el ingreso de terceros a las áreas de acceso donde se encuentran
los servidores?
Si_____ No______
Si_____ No______
91
25. ¿Poseen autenticación de usuarios para conexiones externas a los servidores?
Si_____ No______
Si_____ No______
Si_____ No______
Si_____ No______
Si_____ No______
______________________________________________________________________
______________________________________________
Si_____ No______
______________________________________________________________________
______________________________________________________________________
_____________________________________
92
Si_____ No______
Si_____ No______
37. ¿De ser afirmativa la pregunta anterior, indique que controles son utilizados para
mitigar riesgos?
____________________________________________________________
Si_________ No_______
39. De ser positiva la pregunta anterior ¿Cada cuanto tiempo se realizan las
actualizaciones periódicas de antivirus?
93