Embed Size (px)
Citation preview
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS ADMINISTRATIVAS
CARRERA DE INGENIERIA EN SISTEMAS
ADMINISTRATIVOS COMPUTARIZADOS
TESIS PRESENTADA COMO REQUISITO PARA OPTAR POR EL TÍTULO DE
INGENIERO EN SISTEMAS ADMINISTRATIVOS COMPUTARIZADOS.
TEMA:
“EVALUACIÓN DE SOFTWARES DE CONTROL DE SEGURIDAD DE BASES DE
DATOS RELACIONALES APLICANDO LA NORMA COBIT 5”
AUTOR:
JUAN PABLO SANCHEZ LUNA
TUTOR DE TESIS:
ING. JOSE SATURNINO CORDOVA ARAGUNDI, MAE
GUAYAQUIL-ECUADOR 2018
REPOSITORIO NACIONAL EN CIENCIA Y TECNOLOGÍA
FICHA DE REGISTRO DE TESIS/TRABAJO DE GRADUACIÓN
TÍTULO Y SUBTÍTULO: “ EVALUACIÓN DE SOFTWARES DE CONTROL DE
SEGURIDAD DE BASES DE DATOS RELACIONALES
APLICANDO LA NORMA COBIT 5”
AUTOR(ES) (apellidos/nombres):
Juan Pablo Sánchez Luna
REVISOR(ES)/TUTOR(ES) (apellidos/nombres):
ING. JOSE SATURNINO CORDOVA ARAGUNDI, MAE
INSTITUCIÓN: Universidad de Guayaquil
UNIDAD/FACULTAD: Ciencias Administrativas
MAESTRÍA/ESPECIALIDAD:
GRADO OBTENIDO: Ingeniería en Sistemas Administrativos Computarizados
FECHA DE PUBLICACIÓN: No. DE
PÁGINAS:
119
ÁREAS TEMÁTICAS: Investigacion
PALABRAS CLAVES/
KEYWORDS:
Seguridad, Software, Sistema, Aplicación
RESUMEN/ABSTRACT (150-250 palabras):
RESUMEN: Esta tesis ha sido elaborada con el propósito de evaluar los problemas del software de
control de seguridad de la base de datos relacionales aplicando la norma cobit 5, Compañía Transportes
y Servicios Transvas S.A, ubicada su matriz en la ciudad de Guayaquil ya que aplicando la norma
mencionada se puede desarrollar una política clara que permite el control de las TI en la organización.
La aplicación de esta norma incide especialmente en el cumplimiento regulatorio y ayuda a incrementar
el valor asociado al área de TI de la organización. Desde su inicio, COBIT 5 ha evolucionado desde su
uso para la auditoría de TI, para luego pasar por el control, la gestión de TI, el gobierno de TI, llegando
a su versión actual que es un enfoque holístico de gobierno corporativo de TI, atraves de un manual de
funciones que sirva como guía y mejorar los procesos, que se encuentren ligados TI tanto en las partes
internas o externas.
ADJUNTO PDF: SI NO
CONTACTO CON
AUTOR/ES:
Teléfono: 0992161685 E-mail: [email protected]
CONTACTO CON LA
INSTITUCIÓN:
Nombre:
Teléfono:
E-mail:
iii
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS ADMINISTRATIVAS
CARRERA INGENIERIA EN SISTEMAS
ADMINISTRATIVOS COMPUTARIZADOS
Certificado del Porcentaje de similitud
Una vez concluida la tesis de grado titulada: “Evaluación De Softwares De Control De Seguridad
De Bases De Datos Relacionales Aplicando La Norma Cobit 5”, desarrollado por el egresado.
Juan Pablo Sánchez Luna, con c.c. # 0931084636. Me permito presentar el reporte URKUND
que avala el trabajo desarrollado, el mismo que presenta 5% de similitud con fuente de origen.
Por lo expuesto, el presente trabajo cumple con las expectativas académicas y reglamentarias
vigentes.
Atentamente
ING. JOSE SATURNINO CORDOVA ARAGUNDI, MAE
C.I.
DOCENTE TUTOR DE TESIS
iv
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS ADMINISTRATIVAS
CARRERA INGENIERIA EN SISTEMAS
ADMINISTRATIVOS COMPUTARIZADOS
Renuncia de Derechos de Autor
POR MEDIO DE LA PRESENTE CERTIFICO QUE LOS CONTENIDOS
DESARROLLADOS EN ESTA TESIS SON DE ABSOLUTA PROPIEDAD Y
RESPONSABILIDAD DE:
JUAN PABLO SÁNCHEZ LUNA.
CUYO TEMA ES:
“EVALUACIÓN DE SOFTWARES DE CONTROL DE SEGURIDAD DE BASES DE
DATOS RELACIONALES APLICANDO LA NORMA COBIT 5”.
QUIEN CEDE LOS DERECHOS A FAVOR DE LA UNIVERSIDAD DE GUAYAQUIL, PARA
QUE HAGA USO COMO A BIEN TENGA.
Juan Pablo Sánchez Luna.
C.I. 0931084636
v
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS ADMINISTRATIVAS
CARRERA INGENIERIA EN SISTEMAS
ADMINISTRATIVOS COMPUTARIZADOS
Certificación del Tutor
HABIENDO SIDO NOMBRADO, ING. JOSE SATURNINO CORDOVA ARAGUNDI,
MAE. COMO TUTOR DE TESIS DE GRADO COMO REQUISITO PARA OPTAR POR
TITULO DE INGENIERIA EN SISTEMAS ADMINISTRATIVOS
COMPUTARIZADOS POR EL EGRESADO.
Juan Pablo Sánchez Luna C.I. 0931084636.
TEMA:
“EVALUACIÓN DE SOFTWARES DE CONTROL DE SEGURIDAD DE BASES DE DATOS
RELACIONALES APLICANDO LA NORMA COBIT 5”
CERTIFICO QUE HE REVISADO Y APROBADO EN TODAS SUS PARTES,
ECONTRANDOSE APTO PARA SU SUSTENTACIÓN.
ING. JOSE SATURNINO CORDOVA ARAGUNDI, MAE.
TUTOR DE TESIS
vi
Dedicatoria
DIOS, Por brindarme, salud, vida y bienestar que sin duda alguna ha sido indispensable como
persona durante todo el proceso de formación académico. De igual forma por la fuerza y protección
brindada a lo largo del camino donde nunca me dejó solo por más dura que haya sido la situación.
Madre, Dedicado con mucho amor al maravilloso y lindo ser que DIOS y la vida me otorgaron bajo
el concepto de madre, mujer guerrera, integra, trabajadora y llena de muchos valores que supo
transmitírmelos. Extraordinaria persona que siempre estuvo conmigo en todo momento confiando en
mí y apoyándome haciendo papel de padre, madre y amiga con mucho entusiasmo y amor como sólo
ella sabe hacerlo.
Familiares, Por sus palabras de aliento, compañía, apoyo y sabiduría que lograron transmitirme de
diversas formas
Ustedes, Todas las demás personas que de alguna u otra forma me apoyaron e intervinieron en el
cumplimiento de esta meta en especial:
Angie Mite, quien con su ternura, cariño y carisma ha sabido hacerme sonreír y luchar por vencer
momentos ó situación difíciles y alcanzar lo propuesto sin importar la complejidad ó el grado de
esfuerzo que deba emplearse.
Ing. Luis Fernández, espectacular Jefe que me ha brindado absoluto apoyo a través de flexibilidad en
mis horarios de labor, paciencia en permisos cuando he tenido que ausentarme por temas de la
Universidad y hasta conocimientos que sin duda alguna han contribuido mucho durante mi etapa
universitaria.
Juan Pablo Sánchez Luna
vii
Agradecimiento
A Dios por todas las bendiciones que me ha entregado cada día en mi despertar y por
protegerme en los momentos más difíciles que hemos pasado.
A nuestras familias que con sus consejos y enseñanzas han ido fortaleciendo nuestras vidas,
permitiéndonos así ser profesional de bien.
A la Facultad de Ciencias Administrativas de la Universidad Estatal de Guayaquil quien nos
acogió y brindo sus conocimientos por medio de sus docentes, que con esfuerzo y esmero forman
profesionales competentes para la sociedad.
Juan Pablo Sánchez Luna.
viii
INDICE
Contenido Certificado del Porcentaje de similitud ................................................................................ iii
Renuncia de Derechos de Autor ........................................................................................... iv
Certificación del Tutor .......................................................................................................... v
Dedicatoria ........................................................................................................................... vi
Agradecimiento ................................................................................................................... vii
Resumen ............................................................................................................................... xi
Abstract ............................................................................................................................... xii
Introducción ....................................................................................................................... xiii
Capítulo 1 .............................................................................................................................. 1
Planteamiento del problema. ................................................................................................. 1
1.1 Antecedentes de la investigación. ................................................................................... 1
1.2 Planteamiento del problema ............................................................................................ 7
Formulación y sistematización del problema ........................................................................ 8
1.3 Sistematización. .............................................................................................................. 8
1.3.1 Hipótesis. ...................................................................................................................... 9
Variable independiente .......................................................................................................... 9
Variable dependiente ............................................................................................................. 9
Delimitación de la investigación. .......................................................................................... 9
Objetivos de la investigación. ............................................................................................. 10
1.3.2 Objetivo general. ........................................................................................................ 10
1.3.3 Objetivos específicos ................................................................................................. 10
1.3.4 Justificación. .............................................................................................................. 11
1.3.5 Viabilidad del estudio ............................................................................................... 13
CAPITULO 2 ...................................................................................................................... 14
2. Marco Teórico. ................................................................................................................ 14
2.1. Antecedentes Teóricos. ................................................................................................ 14
2.1. Bases teóricas ............................................................................................................... 20
Seguridad informática ......................................................................................................... 20
Base de datos ....................................................................................................................... 27
Bases de datos relacionales ................................................................................................. 33
ix
COBIT 5 .............................................................................................................................. 34
NORMA ISO ...................................................................................................................... 47
Auditoria informática .......................................................................................................... 53
2.2. Marco conceptual ....................................................................................................... 57
2.3. Marco legal. ................................................................................................................. 59
CÓDIGO ORGÁNICO INTEGRAL PENAL .................................................................... 59
CAPITULO 3 ...................................................................................................................... 67
3. Aspectos metodológicos .............................................................................................. 67
3.1. Modalidad de la investigación .................................................................................... 67
3.2. Métodos ....................................................................................................................... 68
3.3. Instrumentos de Recolección de datos ........................................................................ 69
3.4. La Encuesta ................................................................................................................. 69
3. 5. La Observación ........................................................................................................... 69
3. 6. Población y Muestra .................................................................................................... 69
CAPITULO 4 ...................................................................................................................... 82
Propuesta ............................................................................................................................. 82
4. Introducción de la propuesta ........................................................................................... 82
4.1. Justificación de la propuesta ........................................................................................ 82
4.2. Objetivo de la propuesta ............................................................................................... 83
4.3. Impactos de la propuesta .............................................................................................. 83
Conclusiones y recomendaciones........................................................................................ 99
Bibliografía ....................................................................................................................... 101
Apéndice ........................................................................................................................... 105
x
FIGURA
Figura 1Principio de Cobit 5 ............................................................................................. 3
Figura 2 Seguridad Informática de Bases de Datos .......................................................... 8
Figura 3 Seguridad de la Información ............................................................................. 21
Figura 4: Escenario de ataques a Bases de Datos ........................................................... 22
Figura 5 Niveles de seguridad Lógica............................................................................. 24
Figura 6 Conceptos y objetivos de las Bases de Datos ................................................... 27
Figura 7 Estándares de auditoria y actividades de aseguramiento de los si .................... 31
Figura 8 Principios de COBIT5 ...................................................................................... 37
Figura 9 Creando valor la empresa para sus interesados ................................................ 38
Figura 10 Objetivo del Gobierno .................................................................................... 39
Figura 11 Facilitadores del cobit 5 .................................................................................. 41
Figura 12 Dimensión de los facilitadores ....................................................................... 42
Figura 13 Implementación COBIT ................................................................................. 45
Figura 14 Modelo de Referencia de procesos de COBIT ............................................... 46
Figura 15 Objetivos de Auditoria Informática ................................................................ 56
TABLA
Tabla 1 Comparativo de ambas Metodologías ................................................................ 53
Tabla 2: Ventajas y desventajas del ISO Y COBIT ....................................................... 51
xi
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS ADMINISTRATIVAS
CARRERA INGENIERIA EN SISTEMAS
ADMINISTRATIVOS COMPUTACIONALES
Tema: “Evaluación De Softwares De Control De Seguridad De Bases De Datos Relacionales
Aplicando La Norma Cobit 5”
Autora: Juan Pablo Sánchez Luna. Tutor: ING. JOSE SATURNINO CORDOVA ARAGUNDI, MAE.
Resumen
El proyecto de investigación se desarrolló en la empresa Transportes y Servicios Transvas
S.A, ubicada su matriz en la ciudad de Guayaquil presta los servicios de transporte livianos y
pesados, se desea con el siguiente trabajo es la evaluación del software de control y seguridad
que en los últimos años se ha convertido en una necesidad de la organización por mejorar los
procesos y gestión de las áreas de los Sistemas de Información para un rendimiento eficaz y con
rumbo para su desarrollo óptimo y crecimiento de la empresa.
Con la evaluación se desea es encontrar los diversos problemas que pueden surgir en el
sistema informático, y eso puede retrasar los procesos y las gestiones en las diferentes áreas.
La empresa debe tomar en cuenta la aplicación de la norma COBIT 5, permite que la
tecnología de la información y las que se encuentran relacionadas se puedan administrar y
gobernar de una manera holística abarca toda la organización en todas las áreas ya sea como
responsabilidades y funciones, atraves de un manual de funciones que sirva como guía y mejorar
los procesos, que se encuentren ligados TI tanto en las partes internas o externas.
Palabras Claves: Seguridad, Software, Sistema, Aplicación, Norma.
xii
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS ADMINISTRATIVAS
CARRERA INGENIERIA EN SISTEMAS
ADMINISTRATIVOS COMPUTACIONALES
Tema: “Evaluación De Softwares De Control De Seguridad De Bases De Datos Relacionales
Aplicando La Norma Cobit 5”
Autora: Juan Pablo Sánchez Luna.
Tutor: ING. JOSE SATURNINO CORDOVA ARAGUNDI, MAE.
Abstract
The research project was developed in the Company Transport and Services Transvas S.A,
located its headquarters in the city of Guayaquil provides light and heavy transport, you want
with the next job is the assessment of the control software and security that in recent years, Has
become a necessity for the organization to improve the processes and management of the areas
of the Information Systems for effective performance and direction for their optimal
development and growth of the company.
With the assessment is to find the various problems that can arise in the computer system, and
that can delay the processes and efforts in different areas. The company must take into account
the application of the rule COBIT 5, allows information technology and those that are related
you can manage and govern in a holistic way covers the entire organization In all areas either as
responsibilities and functions, through a manual of functions that serve as a guide and improve
processes, that are linked you in both internal or external parties.
Keywords: Security, Software, System, Application, Stan
xiii
Introducción
A finales del siglo XX, los Sistemas Informáticos se han constituido en las herramientas
más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier
organización empresarial, “Los Sistemas de Información” de la empresa.
Actualmente los sistemas de información, los datos contenidos en ellas y la información
son los activos más valiosos para las organizaciones empresariales y se hace necesario
brindarles una protección adecuada frente a las posibles intrusiones derivadas de las
vulnerabilidades existentes en sus sistemas de seguridad.
Una manera efectiva de descubrir estas vulnerabilidades y amenazas existentes es
iniciando los procesos diagnósticos que permitan establecer el estado actual de la seguridad
dentro de la organización, teniendo en cuenta la normatividad vigente y los procesos de
análisis y evaluación de riesgos. El análisis y evaluación de riesgos, la verificación de la
existencia de controles de seguridad existentes, las pruebas con software y el monitoreo de
los sistemas de información permiten establecer el estado actual de la organización,
identificar las causas de vulnerabilidades y proponer soluciones de control que permitan su
mitigación.
La presente investigación de la evaluación del software de control y seguridad de la
empresa Transportes y Servicios Transvas S.A se con la finalidad de encontrar los
inconvenientes que pueda haber en el sistema y en la gestión de los procesos informáticos y
una vez detectado el problema encontrar una solución que facilite el funcionamiento de la
organización, y así mismo mediante la ayuda de las normas COBIT 5, el objetivo de este
trabajo de grado es desarrollar manual de funciones como guía que permita determinar el
nivel de madurez que tiene una organización basándose en los procesos y actividades
realizadas en el área de TI. Además de facilitar información sobre aquellos controles y
medidas que se deben seguir para tener una mejora constante en sus actividades de TI, esto
xiv
basándose en COBIT y sin la necesidad de ser un experto en este marco de referencia. Este
trabajo estructuro de una manera mucho más dinámica y ágil los lineamientos que permiten la
gestión exitosa de las tecnologías de Información.
Respecto al capítulo I. El contexto en el que se encuentra el problema plantea, la
formulación del problema, interrogantes y los objetivos que se cumplirán en la investigación
la justificación del proyecto, las hipótesis demostrando las variables.
Respecto al capítulo II. Se realizó el marco teórico y bibliografías que sirven de base para
la presente investigación, donde se destacan conceptos relevantes para el entendimiento del
proyecto y que son de interés del investigador y los antecedentes referidos del problema.
En relación al capítulo III. Se desarrollara la metodología de la investigación donde se
estableció el análisis cualitativo y cuantitativo de resultados el análisis de la información
recolectada y los aspectos metodológicos para establecer con las herramientas e instrumentos
para encontrar los resultados de nuestra investigación.
Capítulo IV. Se llevara a cabo el desarrollo de la propuesta donde se establecerá la
solución a nuestro problema de funciones, de las conclusiones y recomendaciones del caso y
la bibliografía, anexos.
1
Capítulo 1
Planteamiento del problema.
1.1 Antecedentes de la investigación.
COBIT 5 es el beneficio del avance transcendental de ISACA induciendo a la próxima
descendencia de objetivos sobre el Gobierno y la Administración de la información y los
Activos Tecnológicos de las Organizaciones. Cimentado alrededor de más de 15 años de
diligencia práctica, ISACA desplegó COBIT 5 para envolver las necesidades de los
interesados, para enderezar a las presentes tendencias de métodos de gobierno y
administración conexas con la TI.
Admite el progreso de las políticas y buenas destrezas en el registro de las tecnologías de
toda la organización. Resalta el desempeño regulatorio, ayuda a varias organizaciones a
aumentar su valor por medio de las tecnologías.
Se basa en los 5 principios y 7 habilitadores, COBIT 5 maneja los conocimientos de
gobierno y gestión para representar los ejercicios que son ejemplo de cambio de prácticas
de su aplicación. COBIT 5 ha transformado su orientación de objetivos de control a una
perspectiva por proceso. Con los métodos de invención con relación al manejo de
Tecnologías de la Información (TI) en la enseñanza universitaria, en totalidad las ocasiones,
de las existencias y salidas tecnológicas. A pesar de un equilibrado enfoque del problema
correspondería conducirnos a la unificación de los descubrimientos tecnológicos en el
contenido de la práctica de nuestros establecimientos.
Para las empresas es de vital importancia contar con un software de seguridad en la base
de datos ya que, para los administradores de TI orienta un doble enfoque para la seguridad:
Primero, permite llevar a cabo evaluaciones de la vulnerabilidad y proporciona
2
una visión exacta de toda la red y las subredes.
Segundo, permite una acción rápida para protegerse de cualquier vulnerabilidad
abierta.
Otra gran ventaja que se tiene al gestionar incidentes son las evidencias, lo cual para
casos de fraudes internos o externos nos permite entregar al área legal una prueba válida
ante un posible proceso administrativo interno o judicial.
Se debe considerar que es fundamental para los equipos de seguridad de la información
tener claro el software de seguridad, teniendo en cuenta volumen, costos asociados y el
impacto que puedan tener en las diferentes funciones, esto hace que la implementación sea
compleja y muchas empresas opten por tercerizar el trabajo debido al beneficio versus costo
que implica implementarlos usando el propio personal y sus instalaciones.
Sin importar cuál sea el modelo de ejecución que una empresa determine usar, es
necesario que la gestión de incidentes sea la base para iniciar un proceso de gestión integral
de la seguridad de la información, un valor muy importante para los objetivos empresariales
y la mejora continua de la organización, más que todo, tomando en consideración los
principios de COBIT como eje guía sobre la toma de decisión por generar preceptivas que
se ha dado a conocer durante mucho tiempo y las empresas de todo el mundo lo han
utilizado para evaluar y mejorar sus procesos de TI (Tecnología de Información).
COBIT (Control Objectives for Information and Relative Technologies) está
encaminado al negocio, suministrando métricas y modelos de madurez para medir sus
logros, e identificando las responsabilidades asociadas de los propietarios de los procesos
de los negocios y de TI.
3
Figura 1Principio de Cobit 5
Elaboración: Propia.
Fuente: COBIT 5 Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa, 2012
Una política de red de seguridad es importante si está bien concebida y efectiva, siendo
la finalidad el proteger la inversión y los recursos de información. Las organizaciones
tienen en sus redes informaciones y secretos importantes, lo cual debe protegerse del acceso
indebido del mismo modo que otros bienes valiosos como la propiedad corporativa y los
edificios de oficinas.
En las empresas, la información y la tecnología que las soportan representan sus más
valiosos activos, por lo cual reconocen los beneficios de la tecnología de información y la
utilizan para impulsar el valor de sus interesados (stakeholders). Estas empresas también
entienden y administran los riesgos asociados, tales como el aumento en requerimientos
regulatorios, así como la dependencia crítica de muchos procesos de negocio de TI.
4
Para esto existen diferentes marcos de referencia que han venido surgiendo para el área
de tecnología, como lo son ITIL, COBIT, CMMI, COSO, algunas ISO, PMBOK,
PRINCE2, SAC e TOM.
Dentro de los frameworks nombrados anteriormente, ni CMMI ni ITIL se adaptan a este
tipo de control; ya que CMMI se enfoca en el desarrollo de software, mientras que ITIL, se
centra principalmente en service management (Soluciones de gestión de servicio). Por otro
lado tenemos a, COSO; la cual se enfoca en el control interno de la organización a nivel
general; ISO 27000, que es un framework enfocado a la seguridad de la información;
PMBOK; enfocada a la gerencia de proyectos; PRINCE2; enfatizada en la administración y
gestión de proyectos; SAC; el cual sirve para medir la efectividad de los controles internos
que se estén haciendo, es decir, es útil cuando se va a evaluar controles existentes, mas no
sirve para crear estos controles; e eTOM; que apunta principalmente al sector de
telecomunicaciones; por ultimo esta COBIT; que abarca todo el espectro de actividades de
TI, se enfoca más en el control que en la ejecución, y sus prácticas ayudan a, optimizar las
inversiones habilitadas por TI, asegurar la entrega del servicio y brindar una medida contra
la cual se puedan juzgar las cosas cuando estas no van bien; que es exactamente lo que se
hace en las áreas de TI. Además de esto toma varios puntos importantes de los demás
marcos de referencia, lo que la hace ser la más completa y viable para lograr el objetivo de
este TG. Debido a que estos frameworks son relativamente nuevas para las empresas
colombianas y que además están basadas en estándares americanos o europeos, su
adaptación se puede tornar algo compleja, por lo cual surge la necesidad de crear una guía
metodológica que permita implementar adecuadamente los marcos de referencia nombrados
anteriormente en las empresas. (camacho segura, 2014)
5
Existen diversos tipos de seguridad informática que una empresa debe vigilar para evitar
pérdida de datos y/o prestigio. Se trata de uno de los temas más importantes en las
organizaciones. Con tantas cosas ocurriendo en Internet, se vuelve extremadamente
necesario asegurar el contenido de nuestra red y nuestras comunicaciones ante posibles
problemas de pérdida o interceptación de datos. La seguridad informática es la rama de la
tecnología de la información que se ocupa de la protección de datos en una red, sus
comunicaciones o una computadora independiente. Debido a que todas las organizaciones
son dependientes de la informática, la tecnología relacionada con la seguridad requiere un
desarrollo constante. Estos son tres diferentes tipos de seguridad informática.
Seguridad de Hardware
La seguridad de hardware se puede relacionar con un dispositivo que se utiliza para
escanear un sistema o controlar el tráfico de red. Los ejemplos más comunes incluyen
cortafuegos o firewalls de hardware y servidores proxy. Otros ejemplos menos comunes
incluyen módulos de seguridad de hardware (HSM), los cuales suministran claves
criptográficas para funciones críticas tales como el cifrado, descifrado y autenticación para
varios sistemas. De entre los diferentes tipos de seguridad informática, son los sistemas de
hardware los que pueden proporcionar una seguridad más robusta, además de que también
pueden servir como capa adicional de seguridad para los sistemas importantes. La
seguridad de hardware también se refiere a cómo podemos proteger nuestros equipos físicos
de cualquier daño. Para evaluar la seguridad de un dispositivo de hardware, es necesario
tener en cuenta las vulnerabilidades existentes desde su fabricación, así como otras fuentes
potenciales, tales como código que se ejecuta en dicho hardware y los dispositivos entrada
y salida de datos que hay conectados en la red.
6
Seguridad de Software
La seguridad de software se utiliza para proteger el software contra ataques maliciosos
de hackers y otros riesgos, de forma que nuestro software siga funcionando correctamente
con este tipo de riesgos potenciales. Esta seguridad de software es necesaria para
proporcionar integridad, autenticación y disponibilidad. Entre los tipos de seguridad
informática, este campo de la seguridad de software es relativamente nuevo. Los primeros
libros y clases académicas sobre este tema aparecieron en 2001, lo que demuestra que ha
sido recientemente cuando desarrolladores, arquitectos de software y científicos
informáticos han comenzado a estudiar sistemáticamente cómo construir software
seguro. Los defectos de software tienen diversas ramificaciones de seguridad, tales como
errores de implementación, desbordamientos de buffer, defectos de diseño, mal manejo de
errores, etc. Con demasiada frecuencia, intrusos maliciosos pueden introducirse en nuestros
sistemas mediante la explotación de algunos de estos defectos de software. Las aplicaciones
que tienen salida a Internet presentan además un riesgo de seguridad más alto. Se trata del
más común hoy en día. Los agujeros de seguridad en el software son habituales y el
problema es cada vez mayor. La seguridad de software aprovecha las mejores prácticas de
la ingeniería de software e intenta hacer pensar en la seguridad desde el primer momento
del ciclo de vida del software. (www.universidadviu.com/, s.f.)
7
1.2 Planteamiento del problema.
Las empresas ecuatorianas evolucionas constantemente en el crecimiento de la economía
se van creando nuevas oportunidades de negocios que demandan controles estrictos en el
desarrollo organizacional para que vaya continuamente por el camino de la eficiencia, el
crecimiento institucional suele ser un problema centrado en las preocupaciones sin medir
las reglas claras y normas conscientes que permiten buscar certificaciones internacionales
para el progreso de la organización, de donde se detalla la importancia actual empresarial.
Las bases de datos dentro del entorno organizacional son parte integral de muchas
aplicaciones de software y servicios de seguridad informática, estas son ampliamente
utilizados y aplicados en una variedad de aplicaciones. Sin embargo, los datos almacenados
en bases de datos no siempre están seguros, a veces, pueden ser importantes problemas de
seguridad sin alguna solución de seguridad informática.
En el departamento informático de la empresa Transportes y Servicios Transvas S.A en
los últimos años casi no ha implementado muchos controles y mecanismos de seguridad
informática, como ya sabemos que día a día la tecnología se va innovando y a su vez trae
aspectos positivos y negativos en este caso la empresa requiere de una evaluación porque su
sistema de gestión de seguridad de la información (SGSI), existen falencias ya identificadas
como controles mal implementados y una mala administración de la red, presentando
pérdidas o fugas parciales de información de alta importancia para la empresa.
Al no ser corregidas las falencias mencionadas la empresa se verá afectada con el pasar
del tiempo en diferentes aspectos, sistemas operativos y sus aplicaciones, directorios
activos, monitoreo de flujo de navegación para llevar el control de la seguridad informática
de la información de la empresa con las falencias de la estructura, esquemas y
procedimientos de revisiones para evitar las distintas vulnerabilidades informáticas, esto
8
ocasionaría daños en el sistema de cada una de las áreas administrativas, financieras,
gerenciales las cuales manejan información vital para la gestión del negocio estarían
expuestas a robos informáticos, daño entero del software.
Figura 2 Seguridad Informática de Bases de Datos
Elaboración: Internet.
Fuente: SEGURIDAD INFORMATICA, Seguridad Informática. 2do SMR. https://purastareas.com/
Con la evaluación de los softwares en este proyecto de investigación, la finalidad es
encontrar una solución que conlleve a brindar protección, confidencialidad e integridad de
datos sensibles, aplicaciones y servicios.
Formulación y sistematización del problema.
Formulación.
¿Cómo afecta la falta en el control en los sistemas operativos de seguridad informático en los
procedimientos aplicados en las áreas administrativas de la empresa, pueden mejorar los
procesos utilización de la norma COBIT 5?
1.3 Sistematización.
¿Cómo ha incidido la administración tradicionalista en los procedimientos de ejecución de
tareas de control de Seguridad en utilización de la norma COBIT?
9
¿Por qué la gestión actual del software de control de seguridad de la información que tiene la
empresa no es eficiente?
¿Cuáles son los factores que inciden para que se presenten interrupciones y fallos del
servicio informático en la infraestructura del SGSI?
1.3.1 Hipótesis.
La evaluación del Software de control de seguridad y la aplicación de la norma COBIT 5
permitirá mejorar la gestión de la seguridad en los procesos del sistema informático.
Variable independiente.
La aplicación de la norma COBIT 5.
Variable dependiente.
Mejorar la gestión de la seguridad en los procesos del sistema informático.
Delimitación de la investigación.
Este proyecto se realizará en la ciudad de Guayaquil, cuya finalidad es tratar de llevar un
buen control en la aplicación y mejorar la gestión de la tecnología en el sistema informático.
Límite de contenido:
Campo: Diversos.
Área: Departamento informático
Aspecto: Evaluación de Software de Control de Seguridad de bases de datos
Relacionales Aplicando La Norma Cobit 5.
10
Objetivos de la investigación.
1.3.2 Objetivo general.
Realizar la evaluación del software de control y seguridad para mejorar los procesos y la
gestión del sistema informático, como herramientas que ayuden a cumplir metas y objetivos,
utilizando la norma COBIT 5 en la empresa Transvas S.A.
1.3.3 Objetivos específicos
I. Analizar la norma COBIT 5 aplicada a las TI y el desarrollo de la gestión de los
procesos tecnológicos basados en teorías que encontraremos en el marco teórico.
II. Determinar mediante el marco metodológico los riesgos potenciales del control de
seguridad del Software en la empresa.
III. Desarrollar un manual de funciones como guía de los controles de COBIT con
relación a otros estándares de seguridad informática de la organización y los
procesos gerenciales usados.
11
1.3.4 Justificación.
Justificación del Proyecto:
Justificación teórica: Esta investigación se enfoca principalmente en determinar
mediante la evaluación del software de control de seguridad si en la empresa existen falencias
del control interno en el sistema informático lo cual lo iremos analizando con las teorías de
las gestiones y procesos en el marco teórico y encontrar una solución porque a su vez
revisaremos las normas COBIT que nos servirá como una herramienta y encontrar una idea
clara para su aplicación en la empresa Transvas S.A.
En la actualidad, se ha hecho evidente el cambio de rol que se debe hacer en TI para
obtener el máximo rendimiento a una inversión en TI, y el uso de la tecnología como un arma
competitiva. Con esto se logra que el papel que juega TI dentro de la organización pase de ser
reactiva a proactiva, anticipándose así a las necesidades del negocio. COBIT está encaminado
al negocio, enlazando las metas de negocio con las metas de TI, suministrando métricas y
modelos de madurez para medir sus logros, e identificando las responsabilidades asociadas de
los propietarios de los procesos de negocio y de TI. Perspectiva hacia procesos, mediante un
modelo que subdivide TI en 34 métodos conforme a cuatro áreas de responsabilidad
(Planear, Construir, Ejecutar y Monitorizar) (Universidad Metropolitana, 2013).
Justificación Metodológica: Cuando iniciamos la metodología lo primero que se
encuentra el investigador es como definir del tipo de investigación que desea realizar en base
a las herramientas, se escoge el tipo de investigación que determinará los pasos a seguir del
estudio, sus técnicas y métodos que puedan emplear en el mismo para obtener la información
requerida.
12
Investigación de campo: este tipo de investigación se apoyara en informaciones que
provengan de las siguientes fuentes mediante los mecanismos, de la entrevista, cuestionario,
encuesta y observaciones que serán llevadas a cabo en la empresa Transvas S.A. Para así
poder obtener los resultados de nuestra investigación tener una idea clara de los problemas y
verificar así las falencias que existen en el software de control de seguridad que pueda afectar
a las bases de datos del sistema informático.
Como es compatible desarrollar este tipo de investigación junto a la investigación de
carácter documental, se recomienda que primero se consulten las fuentes de carácter
documental, a fin de tratar de hacer un mejor trabajo en el caso que haya la facilidad de
obtener o solo visualizar el documento de trabajo por que como todos sabemos son
confidenciales también se puede encontrar información necesaria en páginas web.
La investigación de campo se realizara en lugares no determinados específicamente para
ello, sino que corresponden al medio en donde se encuentran los sujetos o el objeto de
investigación, donde ocurren los hechos o fenómenos investigados. En cuanto se realizará un
estudio en el lugar mismo de los hechos donde se produce los acontecimientos, con el objeto
de obtener información necesaria de acuerdo a los objetivos planteados que es la evaluación
del software de control de seguridad.
Justificación Práctica: Las empresas hoy en día son dependientes de la tecnología para
manejar de manera rápida y correcta sus actividades, disponen de sistemas informáticos
donde implica muchas inseguridades que no son tratadas durante el manejo de las tecnologías
de información. COBIT 5 sus objetivos de control y metas para la gestión de TI, brindando la
confianza en los sistemas de informáticos académicos y en la información que se produzca,
ayudándonos a dirigir y gestionar el uso de estos sistemas con herramientas adecuadas para
poder supervisar y determinar donde se encuentran los procesos críticos de las empresas.
13
La situación informática de la empresa Transvas S.A. se ha vuelto un poco crítica por lo
cual se requiere realizar la evaluación del software de control de seguridad que puede estar
afectado a la base de la empresa y la deficiencia de no haber hecho una revisión periódica de
los sistemas informáticos están provocando que existan problemas en él, ya que entendemos
que permanente aparecen nuevos productos y servicios el desarrollo del mercado, que nos
lleva a la necesidad de estar en constante evolución para poder reaccionar de una manera
rápida y eficaz frente a la competencia y a la necesidad del cliente con la evaluación,
encontraremos el problema para solucionarlo de forma inmediata esto permitirá aprovechar
los recursos tecnológicos.
La propuesta es desarrollar un manual de funciones manual de funciones que sirva como
guía de auditoria informática mejorando la gestión de los procesos de calidad del servicio y
siendo una herramienta útil facilitando el trabajo de los empleados de la empresa Transvas
S.A., generará importancia sobre las necesidades que existen sobre la gestión de TI, con
mecanismos que nos ayuden a evitar la vulnerabilidad del sistema y no haya robo de
información.
1.3.5 Viabilidad del estudio
Este trabajo tiene como fin evaluar software de control de seguridad basadas en la
aplicación de normativa Cobit 5. que ayuden mejorar las medidas de control como una
herramienta de vigilancia sobre la seguridad de los sistemas de información permitiendo de
forma rutinaria o programada, ejecutar pruebas de cumplimiento sobre la gestión de la
seguridad en el uso de las tecnologías de información en el entorno local y su interacción a
nivel global.
.
14
CAPITULO 2
2. Marco Teórico.
2.1. Antecedentes Teóricos.
Gobierno TI y COBIT 5
La tecnología se ha convertido en un auténtico aliado estratégico de las empresas, más allá
de un simple soporte. Por eso es necesario que los Sistemas de Información de la compañía
proporcionen el valor y la eficiencia que exigen tanto el negocio como los usuarios. Para
confirmarlo, es recomendable realizar en primer lugar un proceso de evaluación y diagnóstico
del Gobierno TI de la organización. El análisis del Gobierno TI, en el marco de una reflexión
estratégica de Tecnologías de la Información, va a permitir identificar los aspectos claves en
el aporte de valor y optimización de la función TI dentro de las organizaciones que quieran
competir a primer nivel.
Para que una organización pueda opinar con criterio y no con sensaciones o meras
opiniones, existen procedimientos de evaluación objetiva del Gobierno de las Tecnologías de
la Información (Gobierno TI o IT Governance).
¿Qué es el Gobierno TI? En COBIT 5 se establece que “El Gobierno TI asegura que se
evalúan las necesidades, condiciones y opciones de las partes interesadas para determinar que
se alcanzan las metas corporativas equilibradas y acordadas; estableciendo la dirección a
través de la priorización y la toma de decisiones; y midiendo el rendimiento y el
cumplimiento respecto a la dirección y metas acordadas”. Gartner Group define el Gobierno
TI como “los procesos que aseguran el uso eficiente y efectivo de las TI para capacitar a una
organización para conseguir sus objetivos”.
15
Objetivos del Gobierno TI.
Los objetivos del Gobierno TI deben tener como eje conductor el alineamiento de las
Tecnologías de la Información con la estrategia del negocio. A partir de este eje fundamental
que debe marcar la eficacia del Gobierno TI se identifican los tres objetivos principales
siguientes:
Aportación de valor: como motor de transformación del negocio.
Eficiencia: fuente para la mejora de la productividad de la organización.
Garantizar la información: debe ofrecer las garantías suficientes para que la
información sea fiable.
Componentes del Gobierno TI
Para alcanzar estos objetivos se debe estructurar un Gobierno TI, que en general
establecerá una arquitectura conformada por los siguientes componentes:
Estrategia: objetivos y líneas de actuación que garanticen el alineamiento y la
consecución de los objetivos del negocio actuales y a futuro.
Procesos: estructuración de los procesos TI para planificar, ejecutar, controlar y
corregir los servicios que se prestan.
Organización: disponer los profesionales adecuados, internos y externos, que
garanticen la provisión de los servicios según los acuerdos de nivel de servicio
establecidos con el negocio.
Tecnología: arquitectura, infraestructuras y sistemas de información que garanticen
el soporte adecuado al negocio y posibiliten la evolución que se precise.
Gestión de recursos: administración óptima de los costes e inversiones para
maximizar la eficiencia en la producción y la operación.
16
Gestión de riesgos: control de los recursos para poder garantizar la continuidad de
los servicios TI, la fiabilidad de los sistemas, su seguridad y su adecuado
funcionamiento según los acuerdos de nivel de servicio.
Medición: monitorizar, medir e informar al negocio de la implementación de la
estrategia, fundamentalmente a través de los objetivos que se definan y de los
acuerdos de nivel de servicio que se establezcan con el negocio.
La importancia de COBIT
Para poder gestionar el Gobierno TI es importante contar con un marco de referencia.
Control Objectives for Information and related Technology (COBIT) proporciona un marco
integral que ayuda a las Organizaciones a lograr sus metas y entregar valor mediante un
gobierno y una administración efectivos de las TI. Es un modelo de referencia que describe
34 procesos relacionados con TI que son comunes a todas las organizaciones.
En el contexto actual, es recomendable realizar en primer lugar un proceso de evaluación y
diagnóstico del Gobierno TI de la organización. El análisis del Gobierno TI, en el marco de
una reflexión estratégica de Tecnologías de la Información, va a permitir identificar los
aspectos claves en el aporte de valor y optimización de la función TI dentro de la
organización. (www.computing.es/, s.f.)
Si las Tecnologías de la Información son cada vez más un recurso estratégico, la
evaluación del Gobierno TI debe formar parte de los sistemas de gestión de las
organizaciones que quieran competir a primer nivel.
Según Gallardo (2015) afirma que:
El desarrollo de sistemas es una de las áreas más afectadas por los aspectos de la
seguridad. Muchos de los problemas de seguridad que existen hoy, no son, ni físicos y ni de
procedimientos, sino que son debido a errores de programación. La demanda de los sistemas
17
operativos se encuentra en franco crecimiento y la oferta es relativamente escasa, los
softwares se están desarrollando para los más variados fines sin la debida preocupación con la
seguridad. El software inseguro está minando nuestra salud financiera, el área de defensa, de
energía y otras infraestructuras críticas. A media que nuestra infraestructura digital es cada
vez más compleja e interconectada, la dificultad en la construcción de aplicaciones seguras
aumenta exponencialmente. (págs. 10-12)
Son muchos los trabajos que han tratado de identificar las variables o factores que influyen
en los softwares de control de seguridad, base datos relacionales y la norma Cobit 5. No
obstante, y una vez detectadas las variables que se presentan en este tipo de estudio,
consideramos que son adecuadas y enriquecedoras para trabajar con aquellas en la
determinación de dichos impactos. Por tal motivo se detalla las definiciones, conceptos de
libros, Tesis y artículos referenciados a su respectivo dueño de la propiedad intelectual, con la
finalidad de dar a conocer al lector las cualidades de la metodología a aplicar.
Vargas (2015) afirma en su tesis denominada:
Tema: Propuesta tecnológica basada en cobit 5 aplicada a la gestión de la ti en la EIS
Objetivo general: Analizar la metodología COBIT 5 y su aplicabilidad en el uso de las TI
en la EIS para mejorar los procesos tecnológicos de gobierno y gestión
Conclusión: Al aplicar la metodología COBIT 5 a las TI de la EIS, se obtuvo resultados
que ayudaron a identificar dificultades, problemas, vulnerabilidades y debilidades en la
Administración de las Tecnologías de la EIS, lo que permitió alcanzar el análisis total de los
resultados interpretado en porcentajes de un 25% de aplicabilidad y el 75% de no
aplicabilidad de COBIT en las TI de la EIS, por lo que se desarrolló una metodología para
mejorar la administración y gestión de las TI. El desarrollo de la metodología para mejorar la
gestión de las TI en la EIS, se centra en compensar las debilidades, vulnerabilidades,
necesidades por medio de una gestión eficiente de las actividades y procesos basada en las
18
directrices de la metodología COBIT 5, soportada por estándares, normas y otras
metodologías de calidad para los servicios de gestión TI.
Consideramos que la presente Tesis tiene una relación directa con el Trabajo de
investigación de debido a que uno de los objetivos fundamentales es la aplicación de la
Norma Cobit 5 y por ende podemos analizar que al momento de aplicar dicha norma se
pueden identificar los problemas y vulnerabilidades mediante Una política de red de
seguridad concebida y efectiva.
Aplicación de la norma COBIT en el monitoreo de transferencias electrónicas de
datos contable-financieros
Según Graterol & Hernàndez (2011) nos indica que:
La auditoría de los sistemas de información Cada día es mayor el número de situaciones
irregulares que se presentan, como consecuencia del uso y aplicación de las Tics, en
diversidad de organizaciones. Una auditoría de sistemas de información enmarca su ´ámbito
desde el proceso de construcción del sistema, adecuación y uso del paquete computacional,
hasta la calidad del producto terminado (producto computarizado). Todo esto enfocándose
bajo la perspectiva de control interno del software y del entorno operativo.
Según Pérez,J. (2011)afirma que:
Tema: Las bases de datos, su seguridad y auditoría. El caso de MYSQL
Objetivo general: Este Proyecto de Fin de Carrera, intentará servir como pequeña ayuda a
la Auditoría genérica de la seguridad de los Sistemas Gestores de Bases de Datos, utilizando
como ejemplo MySQL, así como el acercamiento de su estructura y algunas características
particulares
Conclusión: A lo largo del presente proyecto se ha intentado resaltar la importancia que
tiene la información para cualquier organización; por ello, la auditoría sobre el control y
19
seguridad de los datos que almacenan los sistemas, pasa a ser fundamental para cualquier
empresa. Uno de las “soportes” de almacenamiento de información más extendido en la
actualidad, es la base de datos. Por ello será tarea del auditor, controlar y evaluar la seguridad
de todo aquello pueda afectar directa o indirectamente a la seguridad de los datos
almacenados. Como se ha explicado a lo largo de todo el proyecto, es sumamente importante
no descuidar ningún aspecto: tan importante es la seguridad lógica, como la seguridad física,
y por ello, el auditor debe también controlar estas áreas. Como consecuencia directa de este
control, probablemente se observaría una mejora de la organización, de lo que se beneficiará
todo su entorno, tanto personal como clientes de la misma.
De acuerdo a lo antes expuesto consideramos que es importante analizar los sistemas de
auditoria debido a que esta enmarca una relación de costo-beneficio de los sistemas de
información y a su vez ayuda a la toma de decisiones sobre inversiones tecnológicas
Según Urbano (2015) indica que:
La principal función de un servidor web es proporcionar acceso a los archivos y servicios.
Cuando, como usuario, se accede a una página web, el navegador se comunica con el servidor
enviando y recibiendo datos para poder ver la información que se ha solicitado. Todo este
proceso, que a los ojos del usuario puede parecer muy simple, necesita de toda una estructura
que permita la gestión y el acceso a los datos. Al conectarse a un servidor, los usuarios
pueden acceder a programas, archivos y otra información del servidor, por lo tanto, es vital
gestionar de forma adecuada cómo, cuándo y quien puede acceder a dichos contenidos
mediante técnicas de gestión de permisos. Gestionar la información almacenada en un
servidor también implica la utilización de técnicas que permitan la actualización y
organización de los contenidos, analizar y optimizar el rendimiento del servidor, y todo ellos
para que el usuario pueda navegar con fluidez, encontrar fácilmente lo que busca y que el
servicio siempre esté disponible. (pág. 5)
20
2.1. Bases teóricas
Como sustento del presente trabajo de investigación se realizó una búsqueda de teorías
con el objeto de estudio.
Seguridad informática
Según Rivas (2003).El estudio de los métodos y medios de protección de los sistemas y
comunicaciones frente a revelaciones, modificaciones o destrucciones de la información, o
ante fallos de proceso, almacenamiento o transmisión de dicha información, que tienen lugar
de forma accidental o intencionada. La Seguridad de la Información se caracteriza como la
protección frente a las amenazas de Confidencialidad, Integridad y Disponibilidad y pueden
ser amenazas de fuerza mayor, fallos de organización, humanos o técnicos o actos
malintencionados. (pág. 3)
La Salvaguardia de la información y de todos los procedimientos se encarga la Seguridad
informática del ingreso, interrupción o destrucción no autorizada, divulgación y uso. La
definición de Seguridad es generalizada a la persuasión, escases de peligros o eventualidades.
Es considerable comprender la seguridad como una etapa de algún procedimiento o clase de
información que nos muestra que el sistema o datos están fuera del alcance de cualquier
riesgo o deterioro. (Vargas J. , 2015,p.24)
Seguridad de la Información es la disciplina que nos habla de los riesgos, de las amenazas,
de los análisis de escenarios, de las buenas prácticas y esquemas normativos, que nos exigen
niveles de aseguramiento de procesos y tecnologías para elevar el nivel de confianza en la
creación, uso, almacenamiento, transmisión, recuperación y disposición final de la
información. (Seguridad par todos, 2011)
21
Figura 3 Seguridad de la Información
Fuente: (Seguridad par todos, 2011)
Tipos de seguridad
Hoy en día se tiene diferentes tipos de dispositivos de seguridad en las bases de datos:
Los mecanismos de seguridad discrecionales son usados para otorgar
privilegios a los usuarios, acceso a los archivos, registros o campos de datos.
Los dispositivos de seguridad aplican igualdad a varios niveles de clasificación
de datos y a usuarios en distintas clases de seguridad e implementando las
políticas de seguridad apropiadas en la organización. (Almeida, 2014, pág. 36)
Un problema de seguridad común a todos los sistemas de cómputo es el de evitar que
personas no autorizadas tengan acceso al sistema, ya sea para obtener información o para
efectuar cambios mal intencionados en una porción de la base de datos. El mecanismo de
seguridad de un SGBD debe incluir formas de restringir el acceso al sistema como un todo.
Esta función se denomina control de acceso y se pone en prácticas creando cuentas de
22
usuarios y contraseñas para que el SGBD controle el proceso de entrada al sistema.
(Juntamay Tenezaca & Macas Carrasco , 2011, pág. 50)
Tipos de ataque
En la actualidad las bases de datos tienen acceso al público por medio del Internet y
compartidas con proveedores, clientes y socios, ya que estas son más útiles cuando su
información está disponible a más personas. En general existen dos grupos de ataques a la
base de datos: ataques que no requieren autenticación y ataques que requieren autenticación.
Los ataques que no requieren autenticación son generalmente los que tienen propaganda, ya
que estos no requieren presentar credenciales antes de lanzar el ataque. Los ataques que
requieren autenticación son lanzados por los que poseen credenciales, los usuarios que
poseen acceso al sistema y cuenta con muchas más oportunidades al momento de lanzar un
ataque. (Juntamay Tenezaca & Macas Carrasco , 2011)
Figura 4: Escenario de ataques a Bases de Datos
Fuente: (Juntamay Tenezaca & Macas Carrasco , 2011)
23
ADMINISTRADORES DE LA BASE DE DATOS.
Este tipo de usuario permite todas las operaciones que permita la base de datos, como es
conceder privilegios y crear usuarios.
Seguridad lógica
La seguridad lógica protege la información mediante el uso de herramientas de seguridad.
Podría definirse como “el conjunto de operaciones y técnicas orientadas a la protección de la
información contra la destrucción, la modificación, la divulgación indebida, etc.”. La
seguridad lógica consiste en la aplicación de barreras y procedimientos que resguarden el
acceso a los datos, de tal manera que sólo puedan acceder a ellos las personas autorizadas
para hacerlo. (Perez J. , 2011, pág. 36)
Los objetivos que se plantean son:
Que la información que se transmita sea recibida por su destinatario y no por otro.
Que la información que se recibe lo haga inalterada, es decir, que la información enviada
sea la misma que la recibida.
Que se utilicen los datos, programas y archivos correctos por el procedimiento adecuado.
Restringir el acceso a programas y archivos
La seguridad lógica está estandarizada de acuerdo a unos niveles determinados de
seguridad. El estándar más utilizado internacionalmente es el que ofrece Trusted Computer
System Evaluation (en adelante TCSEC), desarrollado en 1982. Los niveles describen
diferentes tipos de seguridad de un sistema operativo y se enumeran desde el mínimo grado
de seguridad al máximo. (Perez J. , 2011, pág. 37)
24
Figura 5 Niveles de seguridad Lógica
Fuente: (Pérez, 2011)
Seguridad física
Generalmente, cuando se habla de seguridad informática siempre se piensa en el software,
sin embargo, la seguridad informática también implica otro aspecto muy importante: la
seguridad física. En muchas ocasiones la seguridad física es uno de los aspectos más
olvidados a la hora del diseño de un sistema informático. Por ello, deben de tomarse medidas
teniendo en cuenta también a las personas que trabajan con los equipos informáticos. En el
plan de seguridad física se debe contemplar los siguientes apartados.
Enumeración de los recursos físicos a proteger.
Estudio del área donde se encuentran los recursos.
Descripción del perímetro y de los problemas potenciales o desventajas de colocar
equipos en él.
25
Relación de amenazas de las que hay protegerse.
Informe de las defensas y cómo mejorarlas.
Presupuesto que contemple el valor de la información que se está protegiendo, los costes
que conlleva la recuperación de todo el sistema ante cada tipo de desastre y evaluación de
las probabilidades existentes de un ataque físico, accidente o catástrofe. (Perez J. , 2011)
Un plan de seguridad correcto deberá contener además de todos los puntos anteriores,
otras medidas de seguridad particulares adaptadas a cada situación que dependerán del
entorno en el que se localiza el sistema. Este plan, deberá distribuirse entre el personal
responsable de su operación, y por precaución es recomendable tener una copia fuera de la
dirección de informática. Además, es conveniente que la información esté tan actualizada
como sea posible
Amenazas a la seguridad
Se podría definir como amenaza a la seguridad aquellos hechos o acciones que tarde o
temprano pueden atacar un sistema. Con frecuencia se suele identificar a los atacantes
únicamente como usuarios o personas, sin embargo, para globalizar y generalizar estas
amenazas se hablará de “elementos” y no de personas (a pesar de que a veces resulte difícil
recordar que un sistema puede verse perjudicado por múltiples entidades aparte de personas,
como por ejemplo programas, catástrofes naturales, etc). Al fin y al cabo, poco importa cuál
haya sido la causa, puesto que el resultado será siempre el mismo, la pérdida de información
relevante que debería haber sido controlada. Un ataque es la realización de una amenaza.
(Perez J. , 2011)
A continuación, se presenta una relación de los elementos que potencialmente pueden
amenazar un sistema, y que, por tanto, atacarán los pilares sobre los que se fundamenta la
seguridad informática:
26
Ataque a la disponibilidad (Interrupción): un recurso del sistema es destruido o
se torna no disponible. Ejemplos de este ataque son la destrucción de un elemento
hardware, cortar una línea de comunicación o deshabilitar algún sistema de
gestión de información.
Ataque a la confidencialidad (Intercepción): una entidad no autorizada
consigue acceso a un recurso. La entidad no autorizada podría ser cualquiera: una
persona, un programa o un ordenador… Ejemplos de este ataque es pinchar una
línea para hacerse con datos que circulen por la red y la copia ilícita de datos ya
sea de ficheros, bases de datos o programas o bien la lectura de las cabeceras de
paquetes para desvelar la identidad de uno o más de los usuarios implicados en la
comunicación observada de forma ilegal, denominada intercepción de la
identidad.
Ataques a la integridad (Modificación): una entidad no autorizada no sólo
consigue acceder a un recurso, sino que es capaz de manipularlo. Ejemplos de este
ataque son el cambio de valores en un archivo, o de los datos que están
almacenados en una base de datos, la alteración del código fuente de un programa
para que funcione de forma diferente o modificar el contenido de los mensajes que
se transfieran por la red.
Ataques contra la autenticidad ad (Fabricación): una entidad no autorizada
inserta objetos falsificados en el sistema. Ejemplo de este ataque es la inserción de
registros en un archivo de datos, o en una base de datos. (Pérez, 2011)
27
Base de datos
La base de datos de hoy en día en los sistemas de cualquier organización, aparecieron con
el fin de resolver las limitaciones que en algunos casos se presentan para el almacenamiento
de la información.
“Una base de datos es una colección o depósito de datos integrados, con redundancia
controlada y con una estructura que refleje las interrelaciones y restricciones existentes en el
mundo real: los datos, que han de ser compartidos por diferentes usuarios y aplicaciones,
deben mantenerse independientes de éstas, y su definición y descripción, únicas para cada
tipo de datos han de estar almacenadas junto con los mismos.
Los procedimientos de actualización y recuperación, comunes y bien determinados,
habrán de ser capaces de conservar la integridad, seguridad y confidencialidad del conjunto
de datos. Es decir, que una base de datos es un sistema formado por un conjunto de datos
almacenados en un soporte no volátil lógicamente relacionados entre sí de manera que se
controla el almacenamiento de datos redundantes. (Perez J. , 2011)
Figura 6 Conceptos y objetivos de las Bases de Datos
Fuente: (Perez J. , 2011)
28
VENTAJAS DE LAS BASES DE DATOS
Con respecto a las ventajas que se puede obtener en el uso de una base de datos desde el
punto de vista de los datos es la independencia de los datos respecto a su tratamiento. Esto
supone:
La inclusión, eliminación o modificación de informaciones y datos no obliga a alterar
los programas puesto que están almacenadas en estructuras independientes de éstos.
Desaparece la redundancia, puesto que dejan de existir duplicidades de información
que son inútiles e incluso pueden llegar a tornarse perjudiciales, puesto que puede
haber incoherencia al ser tratados por el sistema como datos distintos. A todo esto, hay
que añadir a la lista de inconvenientes que la existencia de redundancia hace que el
tamaño de la base de datos aumente de manera considerable. Por tanto, la actualización
de un dato será única, eliminando el inconveniente de tener que modificar la
información en cada fichero o cada estructura múltiples veces. (Se hace necesario
añadir que sí puede existir cierta redundancia física a efectos de eficiencia, pero no
debería existir redundancia lógica entre los datos).
En relación al punto anterior se obtiene, por tanto, mayor eficacia en la recogida de
datos. Al no existir redundancia los datos sólo se recogen una vez. Menor probabilidad
de cometer errores y generar inconsistencias
Mejor disponibilidad de los datos para los usuarios. Cada aplicación ya no es
propietaria de los datos. Se comparten por el conjunto de aplicaciones.
La descripción de los datos va almacenada junto a éstos con lo que se obtiene una
mayor información acerca de la estructura.
Reducción del espacio de almacenamiento. Almacenamiento único de cada dato.
Las ventajas con respecto a los resultados se podrían resumir en los siguientes puntos:
29
Coherencia de los resultados: al recogerse los datos una sola vez en todos los
tratamientos los resultados son homogéneos y comparables.
Mayor valor informativo puesto que la base de datos no sólo recoge los datos de
determinadas entidades sino las relaciones entre ellos. Permite tener una visión de
conjunto de éstos y por tanto se tiene una mejor representación del mundo real.
Las ventajas respecto al punto de vista de los usuarios se podrían resumir en los
siguientes puntos:
Mayores facilidades para compartir datos por el conjunto de los usuarios. Al
almacenarse conjuntamente, todos los usuarios tienen todos los datos disponibles
(si tienen los permisos o contraseñas necesarios para ello concedidos por el
administrador de la base de datos).
Esta característica es especialmente importante, puesto que los usuarios pueden manejar la
base de datos actualizándola y bajo diferentes aplicaciones. Si tenemos en cuenta que los
ficheros estaban especialmente diseñados para atender a una demanda concreta en una
determinada aplicación, esta nueva posibilidad que ofrecían las bases de datos, ayudaba
especialmente al conjunto de la organización en el desarrollo de su trabajo.
Mayor flexibilidad para atender las demandas cambiantes en la organización
puesto que la independencia entre datos y programas permite cambiar o ampliar la
estructura de los datos sin modificar el programa o la aplicación que utiliza dicha
base de datos.
Se puede tener una interacción sencilla y más rápida a través de una interfaz de
alto nivel y acceso a los datos de forma conversacional (como en Access que se
utilizan cuadros de diálogo y menús sin tener que conocer perfectamente el
30
lenguaje SQL, en el que el usuario de una manera sencilla puede representar las
tablas e interrelaciones de una forma muy visual que le ayudará a su propósito).
Al tener un control centralizado de la base de datos, el administrador de la misma,
puede garantizar la observación de todas las normas aplicables para la
representación de los datos. La normalización de formatos de los datos
almacenados es deseable sobre todo como apoyo para el intercambio de
información o migración de datos a otros sistemas. Del mismo modo, las normas
para nombrar y documentar los datos son muy convenientes como ayuda para la
compartición y compresión de la información. (Perez J. , 2011)
INCONVENIENTES DE LAS BASES DE DATOS
En todos los sistemas de gestión de información existen inconvenientes, y cómo no, las
bases de datos también las tienen.
Sin embargo, en la utilización de una base de datos como almacenamiento y gestión de
datos y relaciones, los inconvenientes que éstos acarrean casi siempre estarán muy por
debajo de las ventajas y beneficios que podemos obtener al utilizarlas con respecto a
cualquier sistema anterior.
A continuación, se muestran algunos de estos inconvenientes:
Implantación costosa en hardware y software, que puede venir derivada de la
implantación de nuevos programas o aplicaciones, instalación de nuevos equipos de
procesos de información, etc.
La implantación de las bases de datos o de los sistemas de gestión de bases de datos
puede llegar a tornarse larga y laboriosa, puesto que los usuarios y personal que van a
utilizar esa base de datos necesitan unos conocimientos para administrar dicha base de
31
datos. Por ello se necesitará personal cualificado. Esta necesidad puede hacer que el
tiempo de implantación del sistema aumente. Además, las pruebas y detección de
errores pueden extenderse también en el tiempo.
Necesidad de personal especializado (instalaciones complejas), por las razones
anteriormente comentadas.
Con respecto a las bases de datos y SGBD existe cierta falta de estándares con los que
poder controlar la normalización para poder unificar los criterios de manejo.
La rentabilidad es únicamente a medio-largo plazo, puesto que, a corto plazo, es
posible que los costes de implantación, desarrollo del sistema y formación del personal
sean más altos que la rentabilidad que se obtiene en ese momento. (Pérez, 2011)
ADMINISTRADOR DE LA BASE DE DATOS (DBA)
El DBA es la persona encargada de definir y controlar las bases de datos, además
proporciona asesoría a los usuarios y ejecutivos que la requieran. Las principales funciones
del administrador son:
El DBA deberá considerar qué información será necesario almacenar en la
estructura de la base de datos después de haber analizado los requerimientos
precisos y en consonancia con las funcionalidades requeridas por los usuarios.
Los estándares por los que se va a regir la organización en cuanto a documentación
de la base de datos y metodologías de diseño de la misma.
La estrategia de transición del sistema en caso de tener que portarse a un nuevo
sistema. El DBA deberá decidir sobre la posible puesta en marcha en paralelo del
nuevo sistema con el antiguo, las fases de implantación del mismo, los controles
32
necesarios, etc. Todas estas decisiones habrán de tomarse en función de los
objetivos marcados y de forma que se cause el mínimo trastorno a los usuarios.
Los permisos de explotación y uso, es decir, establecer la normativa necesaria para
la utilización de la base de datos: solicitudes de acceso, actualizaciones, etc.
Los aspectos relativos a la seguridad, incluidos los procedimientos de control y las
auditorías.
Mantenimiento rutinario. (Perez J. , 2011)
Sistemas gestores de bases de datos
En un sistema de base de datos tiene que existir una capa intermedia entre los datos que se
almacenan en la base de datos, las aplicaciones y los usuarios que las utilizan. A este sistema
se le denomina Sistema de Gestión de la Base de Datos (SGBD), actuando como
intermediario entre los usuarios, los datos y las aplicaciones proporcionando medios para
describir, almacenar y manipular los datos. De igual manera proporciona herramientas al
administrador para gestionar el sistema, entre las que destacan las herramientas de desarrollo
de aplicaciones, generador de informes, lenguajes específicos de acceso a los datos, como
SQL (Structured Query Language) o QBE (Query By Example) (en bases de datos
relacionales).
Un SGBD se puede definir como una agrupación coordinada de programas,
procedimientos, lenguajes, etc. que suministra los medios necesarios para describir, recuperar
y manipular los datos almacenados en la base de datos, manteniendo su integridad,
confidencialidad y seguridad.
El principal objetivo de un SGBD es el de proporcionar el entorno adecuado para extraer,
almacenar y manipular información de la base de datos. El SGBD gestiona de forma
centralizada todas las peticiones de acceso a la base de datos, por lo que este sistema funciona
33
como interfaz entre los usuarios y la base de datos. Además, el SGBD gestiona la estructura
física de los datos y su almacenamiento, y es por ello que dicho sistema evita al usuario a la
necesidad de conocer exactamente la organización física de los datos y de crear algoritmos
para almacenar, actualizar o consultar dicha información que está contenida en la base de
datos. (Perez J. , 2011)
Bases de datos relacionales
Una base de datos relacional es básicamente un conjunto de tablas, similares a las tablas
de una hoja de cálculo, formadas por filas (registros) y columnas (campos). Los registros
representan cada uno de los objetos descritos en la tabla y los campos los atributos (variables
de cualquier tipo) de los objetos. En el modelo relacional de base de datos, las tablas
comparten algún campo entre ellas. Estos campos compartidos van a servir para establecer
relaciones entre las tablas que permitan consultas complejas.
La idea básica de las bases de datos relacionales es la existencia de entidades (filas en una
tabla) caracterizadas por atributos (columnas en la tabla). Cada tabla almacena entidades del
mismo tipo y entre entidades de distinto tipo se establecen relaciones. Las tablas comparten
algún campo entre ellas, estos campos compartidos van a servir para establecer relaciones
entre las tablas. Los atributos pueden ser de unos pocos tipos simples:
Números enteros
Números reales
Cadena de caracteres de longitud variable. (Anonimo, 2003)
Según Pérez J. (2011) afirma que: “El esquema de una base de datos relacional consiste
en la definición de una o más relaciones. Una base de datos relacional está constituida por
una extensión para cada una de las relaciones de su esquema”.
Para cada relación del esquema, se pueden especificar las siguientes propiedades:
34
Clave primaria, que permite expresar la restricción de identificación.
Claves ajenas, que permiten representar relaciones de “uno a muchos”.
Valores no nulos, para los atributos.
COBIT 5
Según Isaca (2013) “COBIT fue creado para ayudar a las organizaciones a obtener el valor
óptimo de TI manteniendo un balance entre la realización de beneficios, la utilización de
recursos y los niveles de riesgo asumidos”.
COBIT 5 posibilita que TI sea gobernada y gestionada en forma holística para toda la
organización, tomando en consideración el negocio y áreas funcionales de punta a punta, así
como los interesados internos y externos. COBIT 5 se puede aplicar a organizaciones de
todos los tamaños, tanto en el sector privado, público o entidades sin fines de lucro.
Norma Cobit 5
Según Isaca (2013) indica:
COBIT 5 acopla los 5 principios que admiten a la Empresa desarrollar de forma segura el
marco de Gobierno y Administración enfocado en una sucesión de 7 habilitadores que tienen
relación, que perfeccionan el financiamiento en información como también en tecnología
mediante lo cual la utilización va en beneficio de los interesados.
COBIT 5 es adaptable a todas las dimensiones de organizaciones incluidas a las pequeñas
empresas, al conglomerado de grupos de diversos vendedores, entornos de tecnología,
manufacturas, tradiciones y campos colectivos. Se lo puede utilizar en:
Seguridad de la información
Gestión de riesgo
Gobierno y administración de TI en la empresa
35
Actividades de aseguramiento
Cumplimiento legislativo y regulador
Procesamiento financiero o informe de Responsabilidad Social Corporativa (RSC)
Toma de decisiones sobre el manejo de tendencias actuales como cómputo en la
nube.
Las organizaciones podrían ser inducidas por COBIT 5 en llevar acabo las decisiones
fundamentadas en los requerimientos generales de los conjuntos de utilidad, la propuesta de
valores utilizables, como también los precios y peligros implicados por la incorporación de
tecnología de este tipo en la organización.
Un específico modelo es COBIT 5 el que ayuda inducir a todas las organizaciones a las
decisiones necesarias por encima del gobierno global de la informática en el espacio
atmosférico.
Gestión de riesgo
Para Isaca (2013) la gestión de riesgo es:El objetivo actual del profesional de gestión de
riesgos de TI es el fundamento de construir un plan permanente, visionario, recursivo y
valorable, con lo cual la medición de gastos, estimación de activos y medición de calidad
convivan de forma constituida con todas las necesidades colectivas. (pag.38)
Comúnmente cuando un profesional de protección de datos especula en peligros (riesgos)
lo realiza en función del alcance que se tendría en la dependencia (negocio) un desgaste de
confiabilidad, rectitud o accesibilidad a los datos de la información. No obstante, cada vez
más por el criterio de las instituciones y de las necesidades obligatorias, el concepto de
categorización de riesgos se ha convertido en un área más extensa en el interior de la
organización de la manera de ver a los riesgos globales en el encuadro de gobierno de la
institución.
36
GOBIERNO Y ADMINISTRACIÓN DE TI EN LA EMPRESA
Según Isaca (2013) el gobierno colectivo de Tecnologías de la Información,
procedimientos por medio de lo que se instruye y vigila la utilización presente y posterior de
las TI:
Gestión: Procedimientos de vigilancia y métodos necesarios para obtener los objetivos
principales especificados por el consejo de la organización. Debe sujetarse a la orientación y
seguimiento determinado por medio del gobierno empresarial.
Uso de Tecnologías de la Información: Proyección, esquema, adelanto, dispersión,
ejercicio, misión y diligencia de Tecnologías de la Información para alcanzar con los
requerimientos del trabajo. Incorporando la solicitud como la concurrencia de servicios de
Tecnológicos de la Información por elementos de ejercicio internas, módulos de Tecnología
de la Información, distribuidores externos y utilidad de servicio. (pág. 43)
Actividades de aseguramiento
Para Isaca (2013) expresa: Estándar de auditoría y aseguramiento de Sistemas de Información.
Los estándares de auditoría y aseguramiento de SI definen los requerimientos obligatorios:
Profesionales de auditoría y aseguramiento de Sistemas de Información a un nivel
pequeño de desempeño admisible requerido para cumplir con los compromisos profesionales
acertadas en el Código de Ética Profesional de ISAC
Para todas las empresas la Información es una táctica exacta, se lo utiliza, se construye, se
informa, se detiene y elimina. Las ciencias aplicadas forman un documento exacto en todas
esas acciones, penetra todo el ámbito de la existencia particular y los negocios. El marco de
COBIT 5 Favorece a crear valor óptimo de Tecnologías de la Información por mantener un
equilibrio entre la optimización de los niveles de riesgo, la obtención de beneficios y el uso
de recursos.
37
Lo que permite que la información y la tecnología concerniente sean gobernadas y
gestionadas de manera completa para toda la empresa, incluyendo de principio a fin el
negocio y áreas funcionales, teniendo en cuenta los intereses de las partes interesadas internas
y externas. Los facilitadores, sus 5 principios de COBIT son de carácter genérico y útil para
las empresas de todos los tamaños, ya sea productiva, sin fines de lucro o del sector
gubernamental.
COBIT 5 está basado en cinco principios:
Figura 7 Principios de COBIT5
Fuente: (FrancaVilla , 2013)
Principio 1: Abarcar las necesidades de los interesados
Según Magazcitum (2014) indica: Proceso de metas e indicadores clave, Key Goal Indicators
(KGI) y Key Process Indicators (KPI), que en si su significado se especifica en los
requerimientos de los interesados, dentro y fuera que se convierten en una habilidad
corporativo denominada “cascada de metas”, que empieza con las fines de la organización,
sigue con las fines coherentes de Tecnología.
Cascada de metas en el esquema fundamentado en búsqueda de contenidos y cuadros
dotados por COBIT 5, suministran una modelo de guía enfocada para constituir una ligadura
38
relacionada y sólida que admita convertir los requerimientos generales de los beneficiarios
del negocio en metas claras de la corporación, que originan las metas de Tecnologías de la
Información y a metas facilitadores.
Figura 8 Creando valor la empresa para sus interesados
Fuente: (FrancaVilla , 2013)
Principio 2: Cubrir a la empresa de un extremo a otro extremo
A todas las funciones y procesos se los considera dentro de la organización. COBIT 5 no
está solamente centrado en el gobierno de las Tecnologías de la Información, la
comunicación de los datos y las tecnologías afines son ahora consideradas como bienes que
tiene que ser considerados por igual ante los demás activos.
COBIT 5: Se refiere al Gobierno y Gestión de la TI empresarial y las tecnologías
relacionales. Desde una perspectiva de empresa completa, de extremo a extremo.
(FrancaVilla , 2013)
INTEGRA: Gobierno de TI en el Gobierno Empresario. COBIT®5 se integra fácilmente
con cualquier sistema de Gobierno porque está alineado con las últimas visiones de Gobierno.
(FrancaVilla , 2013)
CUBRE: Dentro de la empresa todos los procesos y funciones. COBIT®5 no solo se está
enfoca en la “función de las Tecnologías de la Información” considera a la información y las
39
tecnologías relacionadas como activos que necesitan que se los trate como cualquier otro en
la empresa. (FrancaVilla , 2013)
Figura 9 Objetivo del Gobierno
Fuente: (FrancaVilla , 2013)
Principio 3: Aplicar un solo marco integrado
COBIT para desempeñar este principio agrega los estándares y marcos más distinguidos
de la industria:
COSO, ha sido registrado como el marco adecuado y absoluto dedicado a la
inspección interna, unificación de sistemas de gestión, mejora la comunicación,
optimización de recursos, promueve la gestión de riesgos.
40
ISO/IEC 9000, norma creada para la vigilancia de eficacia en técnicas
organizacionales.
ISO/IEC 31000, norma de gestión de peligros (riesgos), compendios y reglas,
como meta primordial se enfoca en apoyar a las empresas de todos las clases y
dimensiones a gestionar los peligros (riesgos) organizacionales con solidez.
ISO-38500, norma de dirección organizacional de Tecnologías de la Información.
ITIL, buenas experiencias para productos de Tecnología de la Información con
una orientación de técnicas de Tecnología de la Información.
TOGAF, suministra una orientación para el formato, proyección, ejecución y
gobierno de una edificación corporativo de información.
ISO-27000, orientada en el argumento de seguridad informática con la
especificación de un procedimiento de administración de seguridad de la
información (SGSI) y las inspecciones agrupadas.
Todo anterior es con la tentativa de motivar que las organizaciones manejen COBIT
como un modelo completado de gobierno y gestión Tecnológica de la Información.
Principio 4: Habilitar un enfoque holístico
FrancaVilla (2013) indica:
En el módulo de COTIB 5 se incorporan los habilitadores, que son elementos pequeños de
desempeñar para que así el gobierno y la gestión organizacional de Tecnologías de la
Información de funcionen de forma adecuada al apoyar a perfeccionar los datos, el
financiamiento en tecnología y la utilización para los logros generales de los interesados. Se
comenta de una orientación holística de manera que los habilitadores introducidos están en
siete categorías distintas.
41
Figura 10 Facilitadores del cobit 5
Fuente: (FrancaVilla , 2013)
Individualmente o colectivamente estos elementos influyen para que algo funcione.
Inducidos por la cascada de objetivos: Como muestra, los objetivos de alto nivel de
Tecnología de la Información que precisan cuales son los diferentes facilitadores que
corresponden efectuar.
Según el Modelo de Negocio para la Seguridad de la Información de ISACA (2013).
Dimensiones de facilitadores poseen un conjunto común de extensiones que provee una
manera común, simple y constituida para el tratamiento de los facilitadores. Accede bienestar
para gestionar sus complejas interacciones que provee el éxito en los resultados de los
facilitadores.
42
Figura 11 Dimensión de los facilitadores
Fuente: (FrancaVilla , 2013)
Principio 5: Separar gobierno de administración
Según Magazcitum (2014) expresa: Lo que hace COBIT 5 es reconocer que estas dos
métodos contienen clases de diligencias y bases organizacionales distintas, que se utilizan
para intenciones diferentes, la dirección es obligación del consejo directiva, por otro lado que
la gestión es compromiso del nivel alto de gestión, dirigido por la tutoría del CEO (Chief
Executive Officer, Director Ejecutivo=Gerente General).
43
HABILITADORES COBIT
Según Magazcitum (2014) los habilitadores del COBIT 5 son:
Principios, políticas y marcos: Estas son pautas a perseguir a traducir el
comportamiento anhelado por medio de un modelo habilitado para la administración
de todos los días.
Procesos: Detallan de manera distribuida y establecida un acumulado de diligencias
para conseguir innegables metas y generar un acopiado de salidas de búsqueda de las
metas de Tecnologías de la Información.
Disposiciones institucionales: Es las organizaciones exactas en las disposiciones que
se llevan a cabo en una corporación.
Cultura, ética y comportamiento: De todas las personas y la institución (asunto a
diario importancia como elemento de triunfo en las diligencias de dirección y
administración, especialmente en lo conveniente a compromiso en grupo, transmisión
de discernimiento, valores, etc.).
Información: Concerniente en la totalidad a los datos originados y utilizados por la
institución. Es importante para conservar trabajando a la empresa, en el ámbito
funcional, los datos es el bien preciso de la misma organización, para lo que se tendrá
que formar inspecciones para su bienestar.
Servicios, infraestructura y aplicaciones: También contiene base estructural,
utilización y tecnología que suministran a la organización servicios y construcción de
los datos (información).
Personas, habilidades y competencias: Son muy importantes para culminar con
triunfo en general las diligencias. Por esto COBIT contiene una matriz RACI para los
44
métodos, fundamentos de forma global una estructura de perfiles de sitios
suficientemente total. (pag.2)
Implementación de cobit.
Según Isaca (2013) indica: ISACA se ha fortalecido el módulo de COBIT 5 para enfocarse
a las compañías a realizar unos habilitadores de gobierno útiles. Por hecho la ejecución de un
buen GEIT (Gobierno Corporativo de la Tecnología de la Información) es un poco
inadmisible sin la efectuación de un modelo exacto de dirección. A más de esto se encuentra
a disposición las buenas experiencias y las normas que cubre a COBIT 5
Todas las normas de buenas prácticas y reglas son propicias solamente si son acogidos y
aplicados de forma clara. Se debe prevalecer a varios desafíos y solucionar varias cuestiones
para poder realizar GEIT de forma triunfante.
La implementación de GEIT cubre los siguientes asuntos:
Aceptación de los originarios inicios para optimizar GEIT
Elementos de triunfo y desafíos para la ejecución
Autorización del intercambio de procedimiento y empresarial coherente con el
GEIT
Ejecución de un adelanto incesante que contiene la legalización del intercambio y
la administración del proceso.
Utilización de los componentes de COBIT
45
Figura 12 Implementación COBIT
Fuente: (FrancaVilla , 2013)
Modelo de referencia de procesos de cobit 5
Según Magazcitum (2014) el nuevo modelo de referencia de procesos Cobit 5 se concentra
en: Se centra en cinco dominios el nuevo modelo de referencia, con uno orientado, como se
ha mencionado antes, únicamente a la gobernabilidad. Son los mismos de Cobit 4 los otros
cuatro que se orientan a la gestión; no obstante, el número es diferente y el comprendido de
sus técnicas por lo que entonces asimismo el número de los objetivos de control de alto nivel
es diferente, quienes de ser 34 hoy se transforman en 37.
Estos procesos se divididos de la siguiente manera:
Contiene un espacio de Dirección ( 5 procesos)
Contiene un espacio de Gestión (32 procesos)
Algunos métodos nuevos y otros reformados
Une los principios de diferentes módulos de guía que no es de ISACA
Consigue ser manejado como una referencia para concordar el estándar de técnicas.
46
Figura 13 Modelo de Referencia de procesos de COBIT
Fuente: Isaca (2014)
47
NORMA ISO
ISO 27001 es una norma internacional emitida por la Organización Internacional de
Normalización (ISO) y describe cómo gestionar la seguridad de la información en una
empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre
completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada
en base a la norma británica BS 7799-2.ISO 27001 puede ser implementada en cualquier tipo
de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Está redactada
por los mejores especialistas del mundo en el tema y proporciona una metodología para
implementar la gestión de la seguridad de la información en una organización. También
permite que una empresa sea certificada; esto significa que una entidad de certificación
independiente confirma que la seguridad de la información ha sido implementada en esa
organización en cumplimiento con la norma ISO 27001.
ISO 27001 se ha convertido en la principal norma a nivel mundial para la seguridad de la
información y muchas empresas han certificado su cumplimiento. El eje central de ISO
27001 es proteger la confidencialidad, integridad y disponibilidad de la información en una
empresa. Esto lo hace investigando cuáles son los potenciales problemas que podrían afectar
la información (es decir, la evaluación de riesgos) y luego definiendo lo que es necesario
hacer para evitar que estos problemas se produzcan (es decir, mitigación o tratamiento del
riesgo).
Por lo tanto, la filosofía principal de la norma ISO 27001 se basa en la gestión de riesgos:
investigar dónde están los riesgos y luego tratarlos sistemáticamente.
Las medidas de seguridad (o controles) que se van a implementar se presentan, por lo
general, bajo la forma de políticas, procedimientos e implementación técnica (por ejemplo,
software y equipos). Sin embargo, en la mayoría de los casos, las empresas ya tienen todo el
hardware y software, pero utilizan de una forma no segura; por lo tanto, la mayor parte de la
48
implementación de ISO 27001 estará relacionada con determinar las reglas organizacionales
(por ejemplo, redacción de documentos) necesarias para prevenir violaciones de la seguridad.
Como este tipo de implementación demandará la gestión de múltiples políticas,
procedimientos, personas, bienes, etc., ISO 27001 ha detallado cómo amalgamar todos estos
elementos dentro del sistema de gestión de seguridad de la información (SGSI).
Por eso, la gestión de la seguridad de la información no se acota solamente a la seguridad
de TI (por ejemplo, cortafuegos, anti-virus, etc.), sino que también tiene que ver con la
gestión de procesos, de los recursos humanos, con la protección jurídica, la protección física,
etc. (Cuervo, 2017)
VENTAJAS DEL ISO
Hay 4 ventajas comerciales esenciales que una empresa puede obtener con la
implementación de esta norma para la seguridad de la información:
Cumplir con los requerimientos legales – cada vez hay más y más leyes,
normativas y requerimientos contractuales relacionados con la seguridad de la
información. La buena noticia es que la mayoría de ellos se pueden resolver
implementando ISO 27001 ya que esta norma le proporciona una metodología
perfecta para cumplir con todos ellos.
Obtener una ventaja comercial – si su empresa obtiene la certificación y sus
competidores no, es posible que usted obtenga una ventaja sobre ellos ante los
ojos de los clientes a los que les interesa mantener en forma segura su
información.
Menores costos – la filosofía principal de ISO 27001 es evitar que se produzcan
incidentes de seguridad, y cada incidente, ya sea grande o pequeño, cuesta dinero;
por lo tanto, evitándolos su empresa va a ahorrar mucho dinero. Y lo mejor de
49
todo es que la inversión en ISO 27001 es mucho menor que el ahorro que
obtendrá.
Una mejor organización – en general, las empresas de rápido crecimiento no
tienen tiempo para hacer una pausa y definir sus procesos y procedimientos; como
consecuencia, muchas veces los empleados no saben qué hay que hacer, cuándo y
quién debe hacerlo. La implementación de ISO 27001 ayuda a resolver este tipo
de situaciones ya que alienta a las empresas a escribir sus principales procesos
(incluso los que no están relacionados con la seguridad), lo que les permite reducir
el tiempo perdido de sus empleados. (Cuervo, 2017)
IMPLEMENTACION DE LA NORMA ISO 27001
Para implementar la norma ISO 27001 en una empresa, usted tiene que seguir estos 16
pasos:
1) Obtener el apoyo de la dirección
2) Utilizar una metodología para gestión de proyectos
3) Definir el alcance del SGSI
4) Redactar una política de alto nivel sobre seguridad de la información
5) Definir la metodología de evaluación de riesgos
6) Realizar la evaluación y el tratamiento de riesgos
7) Redactar la Declaración de aplicabilidad
8) Redactar el Plan de tratamiento de riesgos
9) Definir la forma de medir la efectividad de sus controles y de su SGSI
10) Implementar todos los controles y procedimientos necesarios
11) Implementar programas de capacitación y concienciación
12) Realizar todas las operaciones diarias establecidas en la documentación de su
SGSI
50
13) Monitorear y medir su SGSI
14) Realizar la auditoría interna
15) Realizar la revisión por parte de la dirección
16) Implementar medidas correctivas. (Cuervo, 2017)
Para una organización lo fundamental es asegurar la información porque es un activo vital
para tener éxito. De lo anterior se tiene que es necesario implantar un sistema que aborde esta
tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y
una evaluación de los riesgos a los que está sometida la información de la organización.
La norma ISO27001:2013 comienza definiendo el sistema de gestión que servirá de base
para administrar los riesgos, antes de comenzar a tocar siquiera cuestiones relacionadas a la
seguridad: sistematizar el descubrimiento, tratamiento y mitigación de los riesgos, y sostener
esas actividades en el tiempo, es condición necesaria para considerarse "mínimamente
seguro", con todas las dificultades que expresarlo de esa manera podría acarrear. Luego de
haber implementado un sistema de gestión del riesgo, con todas las consideraciones
mencionadas, incluyendo revisiones periódicas de un Comité de Seguridad que asigne
recursos, verifique la implementación de los controles, propicie la mejora continua de los
procesos, y ajuste políticas organizacionales que complementen las medidas de seguridad
incorporándolas a un plan de capacitación y concientización para todos los 4 actores que
interactúan con la información de la compañía.
En un sistema de gestión ISO, es deseable que aparezcan aspectos a mejorar, ya que de
otra forma para qué desearía uno contar con un sistema basado en la mejora continua, cuando
solamente se realizan auditorías internas, estamos perdiendo una oportunidad inmejorable
para validar la efectividad de la gestión de riesgos y de listar todas las ventajas que con
seguridad contaremos luego de obtener la certificación, siendo conscientes que detrás de un
certificado, hay muchos más beneficios para la organización.
51
El Plan de Implementación de la ISO/IEC 27001:2013 es un aspecto clave en cualquier
organización que desea alinear sus objetivos y principios de seguridad a la normativa
Internacional de Referencia El principal objetivo es sentar las bases del proceso de mejora
continua en materia de seguridad de la Información, permitiendo a las organizaciones
conocer el estado de la misma y plantear las acciones necesarias para minimizar el impacto
de los riesgos potenciales. (Cuervo, 2017)
Tabla 1: Ventajas y desventajas del ISO Y COBIT
COBIT ISO 27001
VENTAJAS
Posee una fuente vinculado con los
objetivos empresariales, junto con
los marcos de TI de la
organización, que incluyen, datos,
infraestructura, aplicaciones y los
miembros que la forman. COBIT
goza de un gran enfoque a los
objetivos propuestos por la
organización y los que debe
lograrse para llegar a la meta, lo
que incluye operaciones de
negocios diarios, funciones y seguridad de la información.
Las organizaciones optan por implementar
estrategias de seguridad necesaria para las
empresas y tener un camino claro para
efectuar una estructura adicional
cumpliendo con las necesidades del negocio
cambian o se desarrollan. Estas fortalezas
ofrecen un modelo flexible que se puede
utilizar a la carta y crecer o adaptarse a
medida que las necesidades de la
organización cambian con el transcurso del
tiempo.
DESVENTAJAS
Las debilidades del marco COBIT
son la falta de enfoque en cómo
lograr los objetivos necesarios
planteados por la organización,
marco para el equipo de gestión del
cuerpo. Además, este marco suele
ser difícil de implementar debido a
la necesidad de que todos los
interesados participen en la
creación y gestión de COBIT. Este
marco se debe implementar
mientras la organización es
bastante pequeña o se necesita
reservar un tiempo significativo
para identificar y crear todos los
pasos necesarios para realizar
plenamente en el marco COBIT
Esta norma tiene una visión amplia de las
normas de seguridad para una los recursos
específicos de acción necesarios para
cumplir con los marcos sugeridos. La
empresa u organización que implemente
estas estructuras de seguridad necesitasen
una comprensión profunda de los pasos que
deben tomar para proteger su información
vulnerable y una amplia capacidad técnica
para seguir las directrices establecidas en el
marco ISO 27002.
Fuente: (Ladines, 2017)
52
Para orientarnos al enfoque de que software de seguridad de bases de datos necesitamos,
debemos tener en consideración que, las principales medidas de seguridad que se acarrea son:
Físicas: Controlar el acceso al equipo. Tarjetas de acceso, etc.
Personal: Acceso sólo del personal autorizado. Evitar sobornos, etc.
SO: Seguridad a nivel de SO
SGBD (sistema de gestión de base de datos): Uso herramientas de seguridad que
proporcione el SGBD. Perfiles de usuario, vistas, restricciones de uso de vistas,
etc.
Uso de técnicas de cifrado: para proteger datos en Base de Datos distribuidas o
con acceso por red o internet.
Diferentes tipos de cuentas.
Manejo de la tabla de usuarios con código y contraseña, control de las operaciones
efectuadas en cada sesión de trabajo por cada usuario y anotadas en la bitácora, lo
cual facilita la auditoría de la Base de Datos.
Métodos Ventajas Desventajas
Cuantitativa:
Enfoca pensamientos mediante
el uso de números.
Facilita la comparación de
vulnera- vialidades muy
distintas.
Estimación de probabilidad
depende de estadísticas fiables
inexistentes.
Estimación de las pérdidas
potenciales sólo si son valores
cuantificables.
Metodologías estándares.
53
Proporciona una cifra
“justificante” para cada
contramedida.
Difíciles de mantener o modificar.
Dependencia de un profesional.
Cualitativas:
Enfoque lo amplio que se desee.
Plan de trabajo flexible y
reactivo.
Se concentra en la identificación
de eventos.
Incluye factores intangibles.
Depende fuertemente de la
habilidad y calidad del personal
involucrado.
Puede excluir riesgos
significantes desconocidos.
Identificador de eventos reales
más claros al no tener que
aplicarles probabilidades
complejas de calcular.
Tabla 2 Comparativo de ambas Metodologías
Elaboración: Propia.
Fuente: GOVERNANCE, CONTROL and AUDIT For INFORMATION and RELATED
TECHNOLOGY, 1999.
Auditoria informática
Minguillon(2010) afirma: “Las tecnologías de la información y las comunicaciones
introducen una serie de nuevas áreas de actividad para los auditores públicos, cada una de
ellas con retos, planteamientos y objetivos diferentes”
Según Piattini & Del peso(2001) indican: “La auditoría informática es una función que ha
sido desarrollada para asegurar la salvaguarda de los activos de los sistemas de
computadoras, mantener la integridad de los datos y lograr los objetivos de la organización en
forma eficaz y eficiente”.
54
Se considera que la auditoria informática es un examen que permite recoger, agrupar y
evaluar evidencias para determinar si un sistema informático salvaguardara los activos,
mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y
utiliza eficientemente sus recursos. La auditoría informática se desarrolla en función de
normas, procedimientos y técnicas definidas por institutos establecidos a nivel nacional e
internacional. Cuando se producen cambios estructurales en la Informática, se reorganiza de
alguna forma su función y se pasa a estar en el campo de la Auditoría de Organización
Informática. Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan
en una auditoría parcial.
Tipos de auditoria informática
La seguridad en la informática abarca los conceptos de seguridad física y seguridad lógica,
entre otros. La seguridad física se refiere a la protección del hardware y de los soportes de
datos, así como a la de los edificios e instalaciones que los albergan. Contempla las
situaciones de incendios, sabotajes, robos, catástrofes naturales, etc.
La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los
datos, procesos y programas, así como la del ordenador y autorizado acceso de los usuarios a
la información. Un método eficaz para proteger sistemas de computación es el software de
control de acceso.
Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no
autorizado, pues piden al usuario una contraseña antes de permitirle el acceso a información
confidencial. Dichos paquetes han sido populares desde hace muchos años en el mundo de
los grandes ordenadores, y los principales proveedores ponen a disposición de clientes
algunos de estos paquetes.
55
La seguridad informática se puede dividir como Área General y como Área Específica
(seguridad de Explotación, seguridad de las Aplicaciones, etc.). Así, se podrán efectuar
auditorías de la Seguridad Global de una Instalación Informática (Seguridad General) y
auditorías de la Seguridad de un área informática determinada (Seguridad Específica).
Con el incremento de agresiones a instalaciones informáticas en los últimos años, se han
ido originando acciones para mejorar la Seguridad Informática a nivel físico. Los accesos y
conexiones indebidos a través de las Redes de Comunicaciones, han acelerado el desarrollo
de productos de Seguridad lógica y la utilización de sofisticados medios criptográficos.
(Perez J. , 2011)
El sistema integral de seguridad debe comprender:
Elementos administrativos.
Definición de una política de seguridad.
Organización y división de responsabilidades.
Seguridad física y contra catástrofes (incendios, terremotos, etc.).
Prácticas de seguridad del personal.
Elementos técnicos y procedimientos.
Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los
elementos, tanto redes como terminales)
Aplicación de los sistemas de seguridad, incluyendo datos y archivos.
El papel de los auditores, tanto internos como externos.
Planeación de programas de desastre y su prueba. (Perez J. , 2011)
56
OBJETIVOS DE LA AUDITORIA INFORMÁTICA
Figura 14 Objetivos de Auditoria Informática
Fuente: (Tallana, 2012)
Auditoria de base de datos
La protección de los datos puede tener varios enfoques respecto a las características de
confidencialidad, disponibilidad e integridad. Puede haber datos críticos en cuanto a su
confidencialidad, como datos médicos, religión, sexo, raza etc.
Tallana (2012) afirma: “Los datos son la parte fundamental de los sistemas de información
por tanto estos deben ser celosamente cuidados y manejados”.
La protección de la integridad, disponibilidad y confidencialidad de los mismos debe ser
el objetivo principal de todo sistema de seguridad informático”.
Confidencialidad: La confidencialidad de los sistemas informáticos se refiere
básicamente a la accesibilidad de la información, se deben establecer niveles de
accesibilidad que guarden relaciones coherentes entre el usuario, su rol en la
57
organización y el grado de profundidad al que puede llegar al momento de
desplegar la información.
Integridad: El concepto de integridad ha referencia a la protección de los datos de
modificaciones y/o alteraciones de los mismos. Solo aquellas personas autorizadas
podrán hacer modificaciones a los datos almacenados.
Disponibilidad: Esta se puede definir como la disposición de información que las
personas autorizadas tienen al momento de necesitarlas. Si la información que el
personal requiere para realizar o por lo menos se retrasara su conclusión
Validez: Un dato es válido cuando este refleja con exactitud, precisión y de forma
completa la información que transmite. Este concepto se encuentra estrechamente
ligado con el de integridad. (Tallana, 2012)
2.2. Marco conceptual
Se utilizaron las siguientes palabras claves relacionadas con el presente proyecto, para ello
se recurrió a diferentes fuentes con la finalidad de conceptualizar dichas palabras.
Sistema de información: Según Peña (2006)“es un conjunto de elementos
interrelacionados con el propósito de prestar atención a las demandas de
información de una organización, para elevar el nivel de conocimientos que
permitan un mejor apoyo a la toma de decisiones y desarrollo de acciones”.
Datos: Según Mannino (2007) “un dato es un documento, una información o
un testimonio que permite llegar al conocimiento de algo o deducir las
consecuencias legítimas de un hecho”.
58
Base de datos: Para Pérez (2007) “es un almacén que nos permite guardar grandes
cantidades de información de forma organizada para que luego podamos encontrar
y utilizar fácilmente”.
Tecnología: Para Fandos (2003) la tecnología se define como: Conjunto de teorías
y de técnicas que permiten el aprovechamiento práctico del conocimiento
científico. La tecnología, para efectos de este documento, se refiere al hardware,
los sistemas operativos, los sistemas de administración de bases de datos, las redes,
los multimedios y el software de aplicación, entre otros.
Tecnología de información: se define como “conjunto de tecnologías dedicadas al
manejo de la información organizacional”. (Fandos, 2003)
Seguridad informática: “es un estado de cualquier tipo de información
(informático o no) que indica que ese sistema está libre de peligro, daño o riesgo.
Se entiende como peligro o daño todo aquello que pueda afectar su funcionamiento
directo o los resultados que se obtienen del mismo”. (EcuRed, 2016)
Amenazas informática: “se puede definir como amenaza a todo elemento o
acción capaz de atentar contra la seguridad de la información”. (Departamento de
Seguridad Informatica, 2015)
Software: “es el conjunto de los programas informáticos, procedimientos, reglas,
documentación y datos asociados que forman parte de las operaciones de un
sistema de computación”. (EcuRed, 2016)
Software de seguridad: “software diseñado para proteger los ordenadores de los
programas maliciosos, como virus y malware. Es importante contar con un
software de seguridad instalado en su equipo para protegerlo”. (WildTangent.,
2015)
Software de base: Según Mannino (2007) indica:
59
El software de base o software base es el programa principal del dispositivo informático el
cual se encarga de controlar completamente el dispositivo que puede ser una computadora, un
teléfono celular una tableta, etc. Se considera "base" porque es la base, plataforma o el
"asiento" donde el resto del software se apoya para ejecutarse.
Cobit: “es el marco aceptado internacionalmente como una buena práctica para el
control de la información, TI y los riesgos que conllevan”. (CiberTec, 2016)
Norma iso: “son un conjunto de normas orientadas a ordenar la gestión de una
empresa en sus distintos ámbitos”. (IsoTools, 2015)
Dbms: “es un conjunto de programas que se encargan de manejar la creación y
todos los accesos a las bases de datos”. (Plataforma Sistemas , 2014)
2.3. Marco legal.
El presente trabajo de investigación está enmarcado dentro del ámbito legal, ya que
existen varias leyes y reformas legales que tienen relación con el tema a tratar y que deben
ser tomadas en cuenta para poder sustentar con bases legales el objeto de estudio de esta
investigación.
CÓDIGO ORGÁNICO INTEGRAL PENAL
Según Código Orgánico Integral Penal (2014, Art.229) con respecto a la revelación ilegal
de base de datos:
La persona que, en provecho propio o de un tercero, revele información registrada,
contenida en ficheros, archivos, bases de datos o medios semejantes, a través o dirigidas a un
sistema electrónico, informático, telemático o de telecomunicaciones; materializando
voluntaria e intencionalmente la violación del secreto, la intimidad y la privacidad de las
60
personas, será sancionada con pena privativa de libertad de uno a tres años. Si esta conducta
se comete por una o un servidor público, empleadas o empleados bancarios internos o de
instituciones de la economía popular y solidaria que realicen intermediación financiera o
contratistas, será sancionada con pena privativa de libertad de tres a cinco años.
Desde que entró en vigencia el Código Orgánico Integral Penal (COIP), el 10 de agosto
del 2014, contempla y sanciona los delitos informáticos como por ejemplo: la revelación
ilegal de base de datos, la interceptación ilegal de datos, la transferencia electrónica de dinero
obtenido de forma ilegal, el ataque a la integridad de sistemas informáticos y los accesos no
consentidos a un sistema telemático o de telecomunicaciones, la pornografía infantil, el acoso
sexual.
Según Código Orgánico Integral Penal (2014, Art.230) con respecto interceptación ilegal
de datos indica que serán sancionado con pena privativa de libertad de tres a cinco años:
1. La persona que sin orden judicial previa, en provecho propio o de un tercero,
intercepte, escuche, desvíe, grabe u observe, en cualquier forma un dato
informático en su origen, destino o en el interior de un sistema informático,
una señal o una transmisión de datos o señales con la finalidad de obtener
información registrada o disponible.
2. La persona que diseñe, desarrolle, venda, ejecute, programe o envíe mensajes,
certificados de seguridad o páginas electrónicas, enlaces o ventanas
emergentes o modifique el sistema de resolución de nombres de dominio de un
servicio financiero o pago electrónico u otro sitio personal o de confianza, de
tal manera que induzca a una persona a ingresar a una dirección o sitio de
internet diferente a la que quiere acceder.
3. La persona que a través de cualquier medio copie, clone o comercialice
información contenida en las bandas magnéticas, chips u otro dispositivo
61
electrónico que esté soportada en las tarjetas de crédito, débito, pago o
similares.
4. La persona que produzca, fabrique, distribuya, posea o facilite materiales,
dispositivos electrónicos o sistemas informáticos destinados a la comisión del
delito descrito en el inciso anterior.
Según Código Orgánico Integral Penal (2014, Art.232) con respecto al ataque a la
integridad de sistemas informáticos:
La persona que destruya, dañe, borre, deteriore, altere, suspenda, trabe, cause mal
funcionamiento, comportamiento no deseado o suprima datos informáticos, mensajes de
correo electrónico, de sistemas de tratamiento de información, telemático o de
telecomunicaciones a todo o partes de sus componentes lógicos que lo rigen, será sancionada
con pena privativa de libertad de tres a cinco años.
1. Diseñe, desarrolle, programe, adquiera, envíe, introduzca, ejecute, venda o
distribuya de cualquier manera, dispositivos o programas informáticos
maliciosos o programas destinados a causar los efectos señalados en el primer
inciso de este artículo.
2. Destruya o altere sin la autorización de su titular, la infraestructura
tecnológica necesaria para la transmisión, recepción o procesamiento de
información en general. Si la infracción se comete sobre bienes informáticos
destinados a la prestación de un servicio público o vinculado con la seguridad
ciudadana, la pena será de cinco a siete años de privación de libertad.
62
Según Código Orgánico Integral Penal (2014, Art.234) con respecto al acceso no
consentido a un sistema informático, telemático o de telecomunicaciones
La persona que sin autorización acceda en todo o en parte a un sistema informático o
sistema telemático o de telecomunicaciones o se mantenga dentro del mismo en contra de la
voluntad de quien tenga el legítimo derecho, para explotar ilegítimamente el acceso logrado,
modificar un portal web, desviar o redireccionar de tráfico de datos o voz u ofrecer servicios
que estos sistemas proveen a terceros, sin pagarlos a los proveedores de servicios legítimos,
será sancionada con la pena privativa de la libertad de tres a cinco años.
LEY DE COMERCIO ELECTRONICO, FIRMAS Y MENSAJES DE DATOS
Según Ley de comercio Electrónico, firmas y mensajes de datos (2002, Art.9) con respecto
a la protección de datos:
Para la elaboración, transferencia o utilización de bases de datos, obtenidas directa o
indirectamente del uso o transmisión de mensajes de datos, se requerirá el consentimiento
expreso del titular de éstos, quien podrá seleccionar la información a compartirse con
terceros. La recopilación y uso de datos personales responderá a los derechos de privacidad,
intimidad y confidencialidad garantizados por la Constitución Política de la República y esta
ley, los cuales podrán ser utilizados o transferidos únicamente con autorización del titular u
orden de autoridad competente.
El objetivo de esta sección es proporcionar una guía para las buenas prácticas con respecto
a la manipulación de la información dentro de una organización y por lo tanto no se vulneren
dichas leyes vigentes en la República del Ecuador.
63
EMPRESA DE TRANSPORTES Y SERVICIOS VÁSCONES S.A. “TRANSVAS S.A.”
CARGO LOGISTICS fue constituido en noviembre del 2007 como Agente Internacional de
Carga con el fin de brindar servicios de logística integral al mercado ecuatoriano y mundial.
Comenzando sus operaciones con tan solo tres personas quienes pusieron sus conocimientos
y esfuerzos para que la empresa creciera día a día, llevando ya en el mercado 8 años de arduo
trabajo.
Con una firme orientación hacia la satisfacción del cliente y a la calidad de los servicios
que presta, les ha permitido desarrollarse sólidamente en el mercado como una empresa seria,
responsable y honesta en cuanto a la prestación de soluciones logísticas integrales.
Creen firmemente en el constante mejoramiento de procesos siempre destinados a
mantenerse pro-activos y contribuyendo constantemente a la eficiencia y percepción de su
trabajo en equipo. Miembros activos de WORLD CARGO ALLIANCE FAMILY OF
LOGISTIC NETWORKS cuentan con el respaldo de la red de agentes independientes más
grande del mundo con representaciones logísticas de primer nivel en 179 países.
Actividad que brinda.
Es un grupo de profesionales especializados dedicados a atender las necesidades logísticas
que empresas importadoras y exportadoras requieren a nivel nacional e internacional, para lo
cual ofrecen los siguientes servicios:
Fletes Internacionales FCL
Servicio de transporte FCL (Full Container Load), cuentan con una amplia experiencia en
manejo de contenedores llenos en todos los tráficos, además se encargan de facilitar todos los
procesos mediante un seguimiento paso a paso del desarrollo de cada embarque.
64
Fuente: http://www.transvasecuador.com
Consolidación de Carga LCL
Diseñado exclusivamente para el manejo de lotes de carga de bajo peso y/o volumen,
manejan los tráficos más convenientes en cuanto a tiempos de tránsito, y costo competitivo,
adecuando así el servicio a las necesidades puntuales de sus clientes.
Fuente: http://www.transvasecuador.com
Cargas de Proyecto.
Experimentados en brindar las mejores opciones de manejo, manipuleo y transporte
internacional de cargas extra dimensionadas y extra pesadas, ponen a las órdenes de sus
clientes la disponibilidad de un equipo de profesionales en el manejo de este tipo de cargas en
el punto de origen.
65
Fuente: http://www.transvasecuador.com
Maquinaria Agrícola.
Tal como en el servicio para cargas de proyecto, están en la capacidad de brindar las
mejores opciones de manejo, manipuleo y transporte internacional de cargas extra
dimensionadas y extra pesadas, poniendo a la orden de sus clientes la disponibilidad de un
equipo de profesionales en el manejo de este tipo de cargas en el punto de origen.
Transporte Multimodal.
Dependiendo de los requerimientos de la carga están en la capacidad de coordinar y supervisar
paso a paso la combinación de medios de transporte por vía marítima / aérea y terrestre de las
cargas en la responsabilidad de ellos, ofreciendo accesoria constante a sus clientes.
Servicio Puerta a Puerta
Con el apoyo de sus agentes a nivel mundial, pueden ofrecer servicios aduanales tanto en
origen como en destino a fin de simplificar el trabajo de sus clientes encargándose de toda su
logística, desde la puerta de la fábrica en origen hasta la puerta de la bodega del cliente en
destino, la carga siempre estará controlada por profesionales.
66
Despacho Aduanal
La división de aduanas cuenta con amplia experiencia en el manejo y asignación de partidas
arancelarias así como en la agilidad de los procesos de transmisión de taros al sistema
ECUAPASS (Sistema Actual de Intercambio de Datos) de la Corporación Aduanera
Ecuatoriana, garantizando de esta manera la nacionalización de las cargas de la manera más
eficiente y conveniente a los intereses del cliente enmarcados en las leyes vigentes.
Fuente: http://www.transvasecuador.com
Seguro de Transportes
Ofrecen asesoramiento y las mejores opciones de seguro y pólizas diseñadas a la medida
de las necesidades del cliente a fin de optimizar coberturas y costos, poseen relaciones activas
con las más prestigiosas Compañías de Seguro del País.
67
CAPITULO 3
3. Aspectos metodológicos
En el presente estudio de investigación cualitativa basada en el seguimiento cuasi
experimental con la ayuda de los métodos de estudio para la comprobación, se centra en
buscar un software de control de seguridad de la empresa .TRANSVAS S. A. utilizando la
norma COBIT 5 el cual permite de forma eficaz, aprobar o negar el paso de personas o grupo
de personas a zonas restringidas en función de ciertos parámetros de seguridad establecidos
por una empresa, comercio, institución o cualquier otro ente.
Los instrumentos de recolección de datos que permiten obtener una mejor información
para la investigación y análisis de resultados. Breve descripción de la población y muestra del
campo de estudio aplicada a la investigación, con el fin de obtener una metodología o
procesos que mejoren la Administración y Gestión del software de control de seguridad de la
empresa .TRANSVAS S. A..
3.1. Modalidad de la investigación
La presente investigación se desarrollará con la combinación de dos modalidades de
investigación: Bibliográfica o documental y una investigación de campo:
Es una investigación Bibliográfica o documental; ya que para la consecución de los
objetivos se apoyará en contribuciones científicas del pasado para establecer diferencias con
el estado actual del conocimiento con respecto al problema de estudio; esta investigación se
realizará en forma independiente ya que se recurrirá a diversas fuentes como; libros, revistas,
internet, entre otras fuentes documentales que permitan sustentar de manera acertada la
investigación para dar una solución al sistema de control y seguridad de la empresa
.TRANSVAS S. A.
68
Se trata de una investigación de campo ya que se estudiará sistemáticamente los hechos en
el lugar en que se producen, a través del contacto directo del investigador con la realidad. El
fin será registrar los datos primarios recolectados referentes al problema y estudiarlos en su
contexto dinámico para extraer conclusiones que permitan el mejoramiento y la gestión del
software de control y seguridad de la empresa .TRANSVAS S. A. dentro de esta
investigación destaca la encuesta que nos ayuda a obtener la información deseada.
En este estudio se definió el diseño de la investigación como no experimental, que a su vez
se define como la investigación que se realiza sin manipular deliberadamente las variables.
Por la aplicación de la Norma COBIT 5 en los procesos de gestión TI, para obtener los
resultados después del análisis de los datos. En lo cual se midieron las áreas de Control,
Políticas y Análisis de Riesgos.
3.2. Métodos
El Método cualitativo utilizado para el trabajo de investigación que se detalla en este
documento. Con el uso de este método se realiza la recopilación de la información para
determinar si se está usando o no COBIT 5 en la gestión de los procesos TI en la empresa
.TRANSVAS S. A. Este método comprende las siguientes fases.
En el presente estudio se utilizó el Método Inductivo ya que es aquel método científico
que parte de lo particular a lo general. De la investigación realizada en este estudio sobre la
evaluación, el investigativo se obtuvo información sobre el software de control de seguridad
y el cual se caracteriza por ser un sistema complejo que implica operaciones en red,
destinados a empresas y grandes plantas industriales.
Según (Merino y Perez): “Se trata del método científico más usual, en el que pueden
distinguirse cuatro pasos esenciales: la observación, la clasificación, la derivación inductiva y
la contrastación”.
69
“Es un método basado en la inducción, es decir, una operación mental que consiste en el
establecimiento de una verdad universal o una referencia general basada en el conocimiento
de un número de datos únicos” (Carvajal, 2017).
3.3. Instrumentos de Recolección de datos.
La encuesta es una técnica de adquisición de información de interés sociológico, mediante
un cuestionario previamente elaborado, a través del cual se puede conocer la opinión o
valoración del sujeto seleccionado en una muestra sobre un asunto dado. La encuesta, una vez
confeccionado el cuestionario, no requiere de personal calificado a la hora de hacerla llegar al
encuestado que haremos para encontrar una solución de la evaluación del software de control
de seguridad.
3.4. La Encuesta.
La encuesta se realiza por medio de un cuestionario al personal administrativo de empresa
con lo que se obtiene los datos de los indicadores que se va a evaluar, aplicado a las
actividades de las Tecnologías de la empresa .TRANSVAS S. A.
3. 5. La Observación.
La observación se aplica a las actividades que realiza el Jefe de sistema y el asistente en la
gestión de las Tecnologías de la información, técnica que ayuda mucho a la sustentación de la
información obtenida en la Entrevista y la Encuesta que se realizada.
3. 6. Población y Muestra.
Según (Velasco, 2003). Población es un conjunto de un todo con características comunes.
Para el presente estudio la población considerada la población para este estudio
investigativo es un total de 2 personas, el técnico y el Director de Sistemas:
70
La población a tomar en su totalidad se conforma por personal Administrativo de la
compañía como el Presidente, Gerente y personal administrativo el tamaño de la muestra será
finito ya que tenemos una pequeña población determinada en la empresa.
Muestra
La muestra es de tipo no probabilística, esta fue determinada a través de la elección de un
grupo objetivo, procurando que la muestra obtenida sea lo más representativa posible. Este
tipo de muestra se adopta para esta investigación, ya que los muestreos no probabilísticos
porque se selecciona solo a un grupo de personas específicas.La muestra es el total de 12
personas por que la población es muy pequeña. Por lo cual se realizara la encuesta directa a
los miembros.
CANT CARGO DEPARTAMENTO
1 PRESIDENTE PRESIDENCIA
1 GERENTE GENERAL GERENCIA
1 JEFE DE SISTEMAS SISTEMAS
1 ASISTENTE DE SISTEMAS SISTEMAS
1 CONTADORO CONTABILIDAD
1 ASISTENTE CONTABLE CONTABILIDAD
1 JEFE COMERCIAL VENTAS
2 ASISTENTE COMERCIAL VENTAS
1 JEFE DE LOGISTICA OPERATIVA
2 ASISTENTE LOGISTICA OPERATIVA
12 TOTAL
71
Años de servicio en la empresa
25%
42%
33%
1 año
5 años
Más de 5 años
ANÁLISIS DE LAS PREGUNTAS DE ENCUESTA.
1. ¿Cuántos años tiene trabajando la empresa .TRANSVAS S. A?
Años de servicio en la empresa
OPCION FRECUENCIA PORCENTAJE
1 año 3 25%
5 años 4 33%
Más de 5 años 5 42%
Total 12 100%
Fuente: Juan Pablo Sànchez Luna
Análisis: se procedió a tomar los datos de la encuesta hecha los cual nos arrojó la siguiente
información, de dos encuestados el 25% que corresponde a 3 persona nos respondió que
llevan en la empresa 1 años, mientras el 33% indico que ya lleva en la empresa 5 años y el
42% manifestó que lleva más de 5 años.
72
Informacion sobre las politicas
17%
16%
67%
SI
NO
DECONOZCO
2. ¿Se le ha informado por parte de la administración sobre la política de seguridad de la
empresa?
Información sobre las políticas
OPCION FRECUENCIA PORCENTAJE
SI 8 67%
NO 2 17%
Desconozco 2 17%
Total 12 100%
Fuente: Juan Pablo Sànchez Luna
Análisis: se procedió a tomar los datos de la encuesta hecha los cual nos arrojó la siguiente
información, de dos encuestados el 67% que corresponde a 8 personas nos respondió que SI
conoce, mientras el 16 % indican que NO, y el 17% manifestó que Desconocen las políticas
de la empresa.
73
Informacion sobre capacitacion
17%
8%
75%
SI
NO
Nunca
3. ¿Ha recibido alguna capacitación en el control de seguridad del software de la empresa?
Información sobre capacitación
OPCION FRECUENCIA PORCENTAJE
SI 9 75%
NO 1 8%
Nunca 2 17%
Total 12 100%
Fuente: Juan Pablo Sànchez Luna
Análisis: se procedió a tomar los datos de la encuesta hecha los cual nos arrojó la siguiente
información, de dos encuestados el 75% que corresponde a 9 persona nos respondió que SI
recibieron capacitación, mientras 1 persona que corresponden 8% indico que NO ha recibido
capacitación, y 2 personas que corresponden al 17% manifestaron que Nunca.
74
Informacion sobre las responsabilidades y riesgos
25%
42%
33%
SI
NO
Nunca
4. ¿Se le ha informado cuáles son sus responsabilidades y los riesgos asociados a las
tecnologías de la información?
Información sobre las responsabilidades y riesgos
OPCION FRECUENCIA PORCENTAJE
SI 5 42%
NO 4 33%
Nunca 3 25%
Total 12 100%
Fuente: Juan Pablo Sànchez Luna
Análisis: se procedió a tomar los datos de la encuesta hecha los cual nos arrojó la siguiente
información, de dos encuestados el 42% que corresponde a 5 personas nos respondieron que
SI recibieron información sobre sus responsabilidades, mientras el otro 33% que corresponde
a 4 indico que NO ha recibido, y el 25% que corresponde a 3 personas respondieron que
Nunca recibieron información sobre sus responsabilidades y riesgos.
75
Informacion sobre el TI
25%
58% 17%
SI
NO
Desconozco
5. ¿Conoce la implicación en TI, en el sistema informático de la empresa?
Información sobre el TI
OPCION FRECUENCIA PORCENTAJE
SI 7 58%
NO 2 17%
Desconozco 3 25%
Total 12 100%
Fuente: Juan Pablo Sànchez Luna
Análisis: se procedió a tomar los datos de la encuesta hecha los cual nos arrojó la siguiente
información, de dos encuestados el 58% que corresponde a 7 personas nos respondieron que
SI conocen la aplicación del TI, mientras el 17% que corresponden a 2 personas indican que
NO, y el 25% que corresponde a 3 personas respondieron que Desconocen sobre la aplicación
del TI.
76
6. ¿Proporcionó la empresa actividades formativas para desarrollar o mejorar los
conocimientos sobre las TI a su personal?
Mejorar los conocimientos sobre las TI
OPCION FRECUENCIA PORCENTAJE
SI 3 58%
NO 8 17%
Desconozco 1 25%
Total 12 100%
Fuente: Juan Pablo Sànchez Luna.
Análisis: se procedió a tomar los datos de la encuesta hecha los cual nos arrojó la siguiente
información, de dos encuestados el 25% que corresponde a 3 personas nos respondieron que
SI recibieron información sobre el TI, el 67% que corresponden a 8 personas indican que
NO, y el 8% que corresponde a 1 persona respondió que Desconoce sobre TI.
67%
25% 8%
Informacion sobre el TI
SI
NO
Desconozco
77
7. ¿La empresa ha tenido problemas en el sistema informático del software de control de
seguridad que ha retrasado los procesos?
Problemas en el sistema informático
OPCION FRECUENCIA PORCENTAJE
SI 9 75%
NO 3 25%
Desconozco 0 0%
Total 12 100%
Fuente: Juan Pablo Sànchez Luna.
Análisis: se procedió a tomar los datos de la encuesta hecha los cual nos arrojó la siguiente
información, de dos encuestados el 75% que corresponde a 9 personas nos respondieron que
SI ha tenido problemas en el sistema, el 25% que corresponden a 3 personas indican que NO
han tenido problemas en el sistema del software de control y seguridad.
Problemas en el sistema informatico
0% 25%
75%
SI
NO
Desconozco
78
8. ¿La lleva un control de seguridad en los equipos y se integra algún programa de
mantenimiento?
control de seguridad en los equipos
OPCION FRECUENCIA PORCENTAJE
SI 7 58%
NO 2 17%
Desconozco 3 25%
Total 12 100%
Fuente: Juan Pablo Sànchez Luna.
Análisis: se procedió a tomar los datos de la encuesta hecha los cual nos arrojó la siguiente
información, de dos encuestados el 58% que corresponde a 7 personas nos respondieron que
SI hay un control de seguridad en los equipos, el 17% que corresponden a 2 personas indican
que NO, y el 25% que corresponde a 3 personas respondieron que Desconocen.
Control de seguridad en los equipos
25%
58% 17%
SI
NO
Desconozco
79
9. ¿Tiene la empresa definida formalmente una política de seguridad TI?
Política de seguridad
OPCION FRECUENCIA PORCENTAJE
SI 4 33%
NO 2 17%
Desconozco 6 50%
Total 12 100%
Fuente: Juan Pablo Sànchez Luna.
Análisis: se procedió a tomar los datos de la encuesta hecha los cual nos arrojó la siguiente
información, de dos encuestados el 33% que corresponde a 4 personas nos respondieron que
SI hay política de seguridad, el 17% que corresponden a 2 personas indican que NO, y el
50% que corresponde a 6 personas respondieron que Desconocen.
Politica de seguridad
33%
50%
17%
SI
NO
Desconozco
80
10. ¿Cree usted que con el desarrollo de un manual de funciones mejoraran las gestiones
del control de seguridad informático.
Desarrollo de un manual de funciones
OPCION FRECUENCIA PORCENTAJE
SI 10 84%
NO 1 8%
Desconozco 1 8%
Total 12 100%
Fuente: Juan Pablo Sànchez Luna.
Análisis: se procedió a tomar los datos de la encuesta hecha los cual nos arrojó la siguiente
información, de dos encuestados el 84% que corresponde a 10 personas nos respondieron que
SI con un manual de funciones mejoría el control de seguridad del sistema, el 8% que
corresponde a 1 persona indico que NO, y el 8% que corresponde a 1 persona respondió que
Desconocen.
Desarrollo de un manual de funciones
8% 9%
83%
SI
NO
Desconozco
81
Resumen de la entrevista.
El Jefe de sistema y el asistente de sistemas de la empresa Transvas S.A, indicaron que
cumplen con los principios corporativos, porque a veces utilizan la estrategia para evitar que
algún equipo de cómputo colapsen y que pueda ser remplazado por otra unidad, y que han
pensado adquirir proyectos de gestión TI para mejor la infraestructura, cableado, backbones,
racks, tomacorrientes dañados, etc.
El Jefe de sistemas de la empresa Transvas S.A, indico que periódicamente evalúa y dirige
que los proyectos de investigación estén en desarrollo, pero no evalúa que el servició de
conectividad de internet cableado e inalámbrico estén con el mejor rendimiento, y que a
veces por descuido no se realiza el monitoreo por medio de un sistema de seguridad, y que no
existe una bitácora en un documento formal escrito de todas estas etapas de evaluar, dirigir,
monitorear que no se a llevado un control de la forma que se desarrollan.
El asistente manifestó que el mantenimiento de equipos, compra de pequeños
implementos, cables de red, ups, memorias, discos duros, etc. y la readecuaciones de los
equipos en espacio físico que se base en normas internacionales, rara vez existe la
comunicación adecuada de esta información con el jefe de sistema.
También expusieron en su criterio la capacidad de los actuales software de seguridad de
base de datos empresariales, los cuales salvaguardan toda la información dentro de una
compañía, ya que a pesar de que muchas empresas cuentan con programas de poca
vulnerabilidad en cuanto a su operación de seguridad, se tratará de revelar cuales pueden ser
las posibles debilidades, que puedan poner en riesgo la información en general de la empresa,
es por eso que da paso a la necesidad de evaluar la efectividad de las operaciones de estos
softwares de seguridad, de manera que brinden confort a los usuarios. La base de datos
contiene toda la información privilegiada de las empresas, es por esto que se asume un
cuidado estricto y continuo.
82
CAPITULO 4
Propuesta
Título de la propuesta
Desarrollar un manual de funciones como guía de auditoria de los controles de seguridad
informática de COBIT 5.
4. Introducción de la propuesta.
La propuesta desarrollo de un manual de funciones como guía de auditoria informática de
COBIT 5 para mejorar de los procesos tecnológicos que ayudarán al enriquecimiento del
conocimiento y la buena gestión que se realice, para establecer un puente de enlace
definiendo un lenguaje común, entender el valor estratégico de las TI y a los responsables de
los sistemas de la información, la importancia de conducir sus acciones hacia el aporte del
valor al negocio.
Por la demanda colectiva sobre las empresas, se han reconocido problemas con el control
de datos, lo cual evidencia desperfectos en mecanismos y principios de revisión ya que no
existe una adecuada documentación que fundamente desligue de actividades diarias,
estableciendo conflictos al momento de resolver problemas, estos son resueltos de manera
reactiva, sin medir reglas claras y normas conscientes que ayude a buscar certificaciones para
el eficiente crecimiento corporativo.
4.1. Justificación de la propuesta.
El proyecto se enfocará en el desarrollo de un manual de funciones que sirva como guía
para orientar en las labores y dar solución a los problemas encontrados mejorando la gestión
y los procesos. La administración de la empresa busca obtener con este proyecto una
herramienta para evaluar el cumplimiento del control de la seguridad de los sistemas de
83
información y tecnologías de comunicaciones, que les permita identificar desviaciones a la
norma o tener una pauta para determinar riesgos de control.
4.2. Objetivo de la propuesta
Desarrollar una manual como herramienta para determinar el grado de cumplimiento de
normativas y procedimientos de mejores prácticas que resulten aplicables a la empresa en
materia de seguridad de las tecnologías de información, el cual sea funcional brindando
solución en el sistema informático actual y aplicable en futuras ocasiones.
4.3. Impactos de la propuesta.
La empresa busca asesoramientos, auditorias, para mitigar el riesgo de perdidas
monetariamente muy elevadas, y salvaguardar la información, en este caso la base de datos la
cual es la zona más sensible y vulnerable de una compañía.
Dentro del aspecto económico, las compañías siempre buscan ahorrar y prevenir posibles
anomalías en un futuro, por esta razón compra licencias de programas de seguridad para
controlar su información privilegiada. Muchos de estos programas tienen precios muy
elevados, pero realmente son muy útiles en el caso de empresas de mayor cantidad de
transacciones y negocios.
Cada Software en las organizaciones cada vez es más completo, avanzado y brinda más
seguridad, pero como todo dentro de una organización debe someterse a revisiones constante
de manera que no afecte a la producción y eficiencia dentro de la entidad.
A continuación se realizara el Manual correspondiente que nos ayudara como guía para
solucionar los problemas actuales informáticos basado en procedimientos que facilitaran el
manejo de los sistemas.
84
Políticas del sistema informático de la empresa.
Crear un plan de trabajo donde se encuentren las actividades y revisiones a realizar,
así mismo con el tiempo requerido para cada actividad y detallado a que asignación es
responsable cada uno de los integrantes del grupo de trabajo.
Realizar el levantamiento de información, conocimiento del negocio.
Pedir el manual de políticas y procedimiento, donde se encuentra detallado las
responsabilidades de los trabajadores en el área de sistemas.
Identificar las debilidades y fortalezas del programa de seguridad.
Calcular el posible riesgo, mediante el análisis de variables como: la capacidad de
almacenamiento de la base de datos, la calidad de software que se está usando, y las
capacidades técnicas y de ética de los empleados que trabajan con a base de datos.
Poner a prueba el programa de seguridad revisando que personas del departamento
pueden acceder, modificar, compartir o incluso eliminar información de la base de
datos.
Verificar si existe un respaldo, ya sea en discos externos o en la nube para poder
evaluar estos respaldos e indagar si se los hace periódicamente.
Realizar un informe de los posibles riesgos y sus consecuencias a nivel macro.
Realizar un informe sobre las respuestas a estos posibles riesgos y brindar como
asesoramiento un plan de acción, para que la empresa pueda ejecutar y asegurar que
su base datos este resguardada.
Brindar recomendaciones para mejoras en un futuro.
85
MANUAL DE FUNCIONES COMO GUIA DE AUDITORIA INFORMATICO.
Procedimientos.
Realice un estudio preliminar de la dependencia o unidad por auditar, mediante el análisis
de la cantidad suficiente de antecedentes e información que pueda recabarse, considerando
como mínimo lo siguiente:
Resultados de auditorías anteriores u otros estudios relacionados con los objetivos de la
auditoría por realizar, identificando las acciones correctivas que se tomaron para atender
los hallazgos significativos y las recomendaciones.
Estructura orgánica.
Manuales de puestos.
Manuales de procedimientos.
Funciones y responsabilidades asignadas.
Misión, visión, objetivos corporativos.
Marco jurídico aplicable.
Plan Operativo Anual.
Presupuesto autorizado.
Estándares o indicadores de gestión que utiliza.
Movimientos de personal y rotación.
Cambios en los sistemas de información
86
MANUAL DE FUNCIONES COMO GUIA DE AUDITORIA INFORMATICO.
Evaluación de control interno organizacional.
Objetivo: Evaluar el control interno organizacional para generar confianza en las
operaciones, en el logro de los objetivos de la compañía y un entendimiento adecuado del
riesgo residual.
Procedimiento.
Confeccione un papel de trabajo con el fundamento en MEA02 Supervisar, Evaluar
y Valorar el Sistema de Control Interno, con las directrices, manuales y
procedimientos emitidos mediante el estudio de los mismos.
Analice los resultados de auditorías anteriores u otros estudios que se hayan realizado
del control de las TIC.
Estudie el instructivo o manual de implementación del marco de control basado en
COBIT. MEA02.01 Supervisar el control interno para determinar cumplimiento del
proceso ejecutado.
Determine si para la ejecución del proceso de control se cuenta con todos los recursos
financieros, humanos, técnicos, materiales y demás necesarios para su
establecimiento, operación, perfeccionamiento y evaluación necesarios.
Solicite y revise el cuestionario de la última autoevaluación de control interno y la
matriz de identificación y análisis de riesgo. MEA02.02
Solicite y analice las acciones realizadas por la administración de acuerdo con los
resultados de la autoevaluación de control interno y verifique su cumplimiento.
Solicite y analice los informes de seguimiento de la autoevaluación por MEA02.03
Realizar autoevaluación de control.
Aplique el Modelo de Madurez del Sistema de Control Interno empresarial según
APO01.07.
87
MANUAL DE FUNCIONES COMO GUIA DE AUDITORIA INFORMATICO.
Cuestionario de evaluación de la gestión de la seguridad de la información.
Objetivo: Evaluar desde la perspectiva de los funcionarios el nivel de cumplimiento de la
gestión de la seguridad por parte de la administración mediante DSS05 Gestionar Servicios
de Seguridad.
Procedimiento. Tabular los resultados obtenidos y preparar un análisis estadístico.
Preguntas.
¿Cuántos años tiene de laborar para la empresa?
¿Se siente satisfecho (a) de laborar para la empresa?
¿Conoce la misión, visión y objetivos corporativos?
¿Se le ha informado por parte de la administración sobre la política de seguridad de
la empresa?
Ha recibido alguna capacitación en seguridad de la información?
¿Se le ha informado cuáles son sus responsabilidades y los riesgos asociados a las
tecnologías de la información?
¿Tiene claras las responsabilidades respecto a su función?
¿Conoce las implicaciones penales por robo y fraude de la información?
¿Ha firmado algún acuerdo de confidencialidad?
¿Conoce empleados que hayan firmado algún acuerdo de confidencialidad?
¿La empresa ha establecido y difundido una política de puertas abiertas?
¿Existen mecanismos para que los niveles inferiores puedan presentar propuestas o
sugerencias?
¿Perciben que las propuestas o sugerencias son analizadas en los niveles
correspondientes?
¿Las instalaciones donde labora tienen una protección adecuada contra siniestros?
¿Considera que la ubicación física de los equipos de cómputo es la más adecuada?
¿Considera que existen procedimientos para asegurar la confidencialidad de la
información crítica o calificada de la empresa?
88
MANUAL DE FUNCIONES COMO GUIA DE AUDITORIA INFORMATICO.
Plan General de Auditoría.
Objetivo: Evaluar el cumplimiento de las políticas corporativas en cuanto a la Gestión de
la seguridad de la información, por medio de la revisión y análisis de los lineamientos del
COBIT@5 para la Seguridad de la Información y la normativa interna, con el fin de
promover una mejora continua de la seguridad de las TIC..
Procedimiento.
Obtenga o actualice la compresión de las actividades de la unidad auditada y la
organización.
Realice una evaluación de control interno y comprenda el Sistema de Control
Interno de la empresa.
Aplique un cuestionario a los funcionarios para evaluar el cumplimiento de la
gestión de la seguridad de la información.
Elabore una serie de procedimientos por cada una de las siguientes normas de la
gestión de la seguridad de la información, en función del objetivo general y de la
información obtenida en las actividades anteriores.
AP013 Implementación de un marco de seguridad de la información.
DSS05.01 Proteger contra software malicioso
DSS05.02 Gestionar la seguridad de la red y las conexiones
DSS05.03 Gestionar la seguridad de los puestos de usuario finales
DSS05.04 Gestionar la identidad del usuario y el acceso lógico
DSS05.05 Gestionar el acceso físico a los activos de TI.
DSS05.06 Gestionar documentos sensibles y dispositivos de salida.
DSS05.07 Supervisar la infraestructura para detectar eventos relacionados con la
seguridad
DSS4 Gestionar la Continuidad de los servicios de TI.
Elabore un papel de trabajo con los hallazgos y realice una presentación al equipo
auditor.
Elabore el informe de auditoría, sométalo a revisión y discusión de los auditados.
89
MANUAL DE FUNCIONES COMO GUIA DE AUDITORIA INFORMATICO.
Implementación de un marco de seguridad de la información.
Objetivo: Evaluar la implementación de un marco de seguridad de la información en la
empresa, para mantener el impacto y la ocurrencia de incidentes de seguridad de la
información dentro de los niveles de apetito al riesgo de la empresa.
Procedimiento.
APO13.01 Establecer y mantener un SGSI.
Establecer y mantener un SGSI que proporcione un enfoque estándar, formal y
continuo a la gestión de seguridad para la información, tecnología y procesos de
negocio que esté alineado con los requerimientos de negocio y la gestión de
seguridad en la empresa.
APO13.02 Definir y gestionar un plan de tratamiento del riesgo de la seguridad de
la información.
Mantener un plan de seguridad de información que describa cómo se gestionan y
alinean los riesgos de seguridad de información con la estrategia y la arquitectura
de empresa.
Asegurar que las recomendaciones para implementar las mejoras en seguridad se
basan en casos de negocio aprobados.
se implementan como parte integral del desarrollo de soluciones y servicios y se
operan, después, como parte integral de las operaciones del negocio.
APO13.03 Supervisar y revisar el SGSI.
Mantener y comunicar regularmente la necesidad y los beneficios de la mejora
continua de la seguridad de información. Recolectar y analizar datos sobre el SGSI
y la mejora de su efectividad. Corregir las no conformidades para prevenir
recurrencias. Promover una cultura de seguridad y de mejora continua.
Determine si la administración elaboró el marco de seguridad de la información
corporativo y si se encuentra aprobado y divulgado.
Solicite y revise la política de seguridad local de la información y determine si ésta
fue debidamente:
Aprobada por la Dirección Publicada por el Gobierno Corporativo Comunicada a
todos los colaboradores y las partes externas relevantes.
90
Determine si la política de seguridad considera:
Una definición de la seguridad de la información. Objetivos de seguridad.
El alcance de la política. Principios de la seguridad de la información.
Estructura para la evaluación de riesgos.
Políticas, principios y requerimientos. Referencias a otros documentos.
Determine si la política de seguridad de la información está alineada con las
normas y procedimientos corporativos globales.
Determine cuál es la estructura organizacional de la unidad responsable de la
seguridad de la información. Integrantes, nombre de los colaboradores y puestos,
Funciones y responsabilidades.
Determine si las funciones y responsabilidades de los colaboradores están en
concordancia con la política de seguridad, verificando actividades de los mismos.
Indague cómo se aprueban los controles de seguridad de la información, si éstos se
consideran idóneos y cómo se coordina su implementación.
Determine cuál es la metodología usada para la valoración del riesgo en seguridad
de TI.
Verifique si las actividades de seguridad ejecutadas concuerdan con la política de
seguridad de la información.
Indague cómo la empresa ha promovido la educación, capacitación y conocimiento
de la política de seguridad de la información a sus colaboradores.
Verifique la existencia de un programa formal de concienciación sobre seguridad
para todos los empleados.
Verifique que el programa de concienciación sobre seguridad proporcione diversos
métodos para informar y educar a los empleados, por ejemplo: carteles, cartas,
notas, capacitación basada en la web, reuniones y promociones.
Verifique cuáles empleados han participado de la capacitación sobre
concienciación de la seguridad de la información.
Verifique que el programa de concienciación sobre seguridad exija a los empleados
que reconozcan, por escrito o de forma electrónica, al menos una vez al año, haber
leído y entendido la política de seguridad de la información de la empresa.
Cambio en el ambiente laboral, disponibilidad de los recursos, condiciones
contractuales, regulaciones internas y legales o cambio en el ambiente técnico.
91
MANUAL DE FUNCIONES COMO GUIA DE AUDITORIA INFORMATICO.
Evaluación la gestión de protección contra software malicioso.
Objetivo: Comprobar que la seguridad de las redes y las comunicaciones cubre con las
necesidades del negocio.
Procedimiento.
DSS05.01 Proteger contra software malicioso. Implementar y mantener efectivas
medidas, preventivas, de detección y correctivas (especialmente parches de
seguridad actualizados y control de virus) a lo largo de la empresa para proteger los
sistemas de información y tecnología del software malicioso (por ejemplo, virus,
gusanos, –spyware- o spam.
Solicite al jefe de unidad el programa de divulgación para la concienciación sobre
el software malicioso y forzar procedimientos y responsabilidades de prevención.
Verifique con la dirección de planificación corporativa el detalle de las
capacitaciones brindadas al personal sobre seguridad de la información en
protección de malware en los últimos 3 años.
Indague la existencia de herramientas de protección frente a software malicioso en
todas las instalaciones de proceso, con ficheros de definición de software malicioso
que se actualicen según se requiera.
Obtenga y revise el listado del software de protección de forma centralizada
(versión y parcheado) usando una configuración centralizada y la gestión de
cambios.
Indague sobre el proceso de revisión y evaluación que debe realizarse regularmente
sobre la información de posibles nuevas amenazas (p.ej: revisando productos de
vendedores y servicios de alertas de seguridad).
Verifique la existencia de firewalls de perímetro instalados entre las redes
inalámbricas y los sistemas que almacenan datos y que estos firewalls niegan y
controlan todo el tráfico.
Verifique los filtros del tráfico entrante, como correos electrónicos y descargas,
para protegerse frente a información no solicitada (por ejemplo, software espía y
correos de phishing).
92
MANUAL DE FUNCIONES COMO GUIA DE AUDITORIA INFORMATICO.
Evaluación de la gestión de la seguridad de la red y las conexiones.
Objetivo: Verificar la gestión de seguridad de la red y las conexiones.
Procedimiento.
DSS05.02 Gestionar la seguridad de la red y las conexiones. Utilizar medidas de
seguridad y procedimientos de gestión relacionados para proteger la información en
todos los modos de conexión.
Obtenga la política de seguridad para las conexiones, la cual debe estar establecida
y mantenida basada en el análisis de riesgos y en los requerimientos del negocio.
Valide la permisibilidad de que sólo los dispositivos autorizados puedan tener
acceso a la data y a la red.
Verifique la configuración de estos dispositivos para forzar la solicitud de
contraseña.
Valide la implementación de mecanismos de filtrado de red, como cortafuegos y
software de detección de intrusiones, con políticas apropiadas para controlar el
tráfico entrante y saliente.
Compruebe el cifrado la información en tránsito de acuerdo con su clasificación.
Verifique la aplicación de los protocolos de seguridad aprobados a las conexiones
de red.
Indague sobre la configuración de los equipamientos de red de forma segura.
Verifique que todos los mecanismos antivirus sean actuales y que estén en
funcionamiento.
Obtenga el programa de formación periódica sobre software malicioso en el uso del
correo electrónico e Internet. Formar a los usuarios para no instalarse software
compartido o no autorizado.
Compruebe mediante muestreo la posibilidad de instalación de programas o
aplicaciones riesgosas.
93
Obtenga cuales mecanismos de confianza se han establecido para dar soporte a la
transmisión y recepción segura de información.
Verifique la realización de pruebas de intrusión periódicas para determinar la
adecuación de la protección de la red.
Verifique la realización de pruebas periódicas de la seguridad del sistema para
determinar la adecuación de la protección del sistema.
Verifique que las normas de configuración del firewall del router incluyan la
descripción de grupos, roles y responsabilidades para una administración lógica de
los componentes de la red.
Determine si existe un inventario de las aplicaciones accesibles desde el exterior y
servicios.
Determine si existe un terminal específico diseñado para monitorear la actividad
dentro del sistema online.
Determine cuáles son los controles implementados para la instalación y
actualización del software.
Verifique que los archivos actuales de las pistas de auditoría estén protegidos
contra modificaciones no autorizadas a través de los mecanismos de control de
acceso, segregación física o segregación de redes.
94
MANUAL DE FUNCIONES COMO GUIA DE AUDITORIA INFORMATICO.
Evaluación de la Gestión del acceso físico a los activos de TI.
Objetivo: Evaluar la Gestión del acceso físico a los activos de TI.
Procedimiento.
DSS05.05 Gestionar el acceso físico a los activos de TI. Definir e implementar
procedimientos para conceder, limitar y revocar el acceso a los locales, edificios y
áreas de acuerdo con las necesidades del negocio, incluyendo emergencias. El
acceso a locales, edificios y áreas debe estar justificado, autorizado, registrado y
supervisado.
Esto aplicará a todas las personas que entren en los locales, incluyendo empleados,
personal temporal, clientes, proveedores, visitantes o cualquier otra tercera parte.
Obtenga y revise las políticas, reglas y procedimientos relacionados con el acceso a
las terminales y otros recursos de comunicación.
Valide las gestiones de las peticiones y concesiones de acceso a las instalaciones de
procesamiento.
Compruebe que las peticiones formales de acceso estén completadas y autorizadas
por la dirección del emplazamiento de TI, y conservarse las solicitudes registradas.
Verifique que los formularios contengan la identificación específica de las áreas a
las que el individuo tiene acceso concedido.
Asegúrese que los perfiles de acceso están actualizados. El acceso a las ubicaciones
de TI (salas de servidores, edificios, áreas o zonas) debe basarse en función del
trabajo y responsabilidades.
Verifique el registro y supervisión de todos los puntos de entrada a los
emplazamientos de TI. A su vez, valide la bitácora de registro de todos los
visitantes a las dependencias, incluyendo contratistas y proveedores.
Corrobore la instrucción a todo el personal para mantener visible la identificación
en todo momento.
Compruebe la prevención de expedición de tarjetas o placas de identidad sin la
autorización adecuada.
Valide la regulación de escoltar a los visitantes en todo momento mientras estén en
las dependencias. Valide que si se encuentra a un individuo que no va acompañado,
95
que no resulta familiar y que no lleva visible la identificación de empleado, es
alertado al personal de seguridad.
Determine cuáles son los controles para definir la propiedad, custodia y
responsabilidad sobre los recursos.
Verifique la restricción del acceso a ubicaciones de TI sensibles validando las
prohibiciones en el perímetro, tales como vallas, muros y dispositivos de seguridad
en puertas interiores y exteriores.
Compruebe que los dispositivos restringen el acceso y disparen una alarma en caso
de acceso no autorizado. Ejemplos de estos dispositivos incluyen placas o tarjetas
de acceso, teclados (keypads), circuitos cerrados de televisión y escáneres
biométricos.
Verifique que el acceso físico a los puntos de acceso inalámbricos, puertas de
enlace (gateways), dispositivos manuales, hardware de redes/comunicaciones y
líneas de telecomunicaciones haya sido correctamente limitado.
Verifique que los archivos actuales de las pistas de auditoría estén protegidos
contra modificaciones no autorizadas a través de los mecanismos de control de
acceso, segregación física o segregación de redes.
Verifique que los registros de auditoría se encuentren disponibles durante al menos
un año y que se implementen los procesos para restaurar al menos los registros de
los últimos tres meses para el análisis inmediato.
Verifique que solo las personas que lo necesiten por motivos relacionados con el
trabajo, puedan ingresar al cuarto de servidores. Y que se mantenga una bitácora.
Compruebe la práctica regular de formación de concienciación de seguridad física,
verificando la existencia de un programa o plan al respecto.
96
MANUAL DE FUNCIONES COMO GUIA DE AUDITORIA INFORMATICO.
Evaluación de Seguridad de los puestos de usuario finales.
Objetivo: Valorar la seguridad de los puestos de usuario finales.
Procedimiento.
DSS05.03 Gestionar la seguridad de los puestos de usuario finales.
Asegurar que los puestos de usuario finales (es decir, portátil, equipo sobremesa,
servidor y otros dispositivos y software móviles y de red) están asegurados a un nivel
que es igual o mayor al definido en los requerimientos de seguridad de la información
procesada, almacenada o transmitida.
Valide que la configuración de los sistemas operativos sea de forma segura.
Compruebe la implementación de mecanismos de bloqueo de los dispositivos.
Verifique el cifrado de la información almacenada de acuerdo a su clasificación.
Solicite el plan de gestión para el acceso y control remoto.
Verifique la aplicación de los protocolos de seguridad aprobados a las conexiones de
red.
Compruebe mediante pruebas de validación la gestión de la configuración de la red
de forma segura.
Valide la implementación del filtrado del tráfico de la red en dispositivos de usuario
finales.
Confirme la protección de la integridad del sistema.
Valide la protección física a los dispositivos de usuario finales.
Cerciore que se cuenta con metodología para deshacerse de los dispositivos de
usuario finales de forma segura.
Determine si existe un inventario de las aplicaciones accesibles desde el exterior y
servicios.
Determine si hay un proceso para revisión de los derechos de los usuarios, dado un
cambio en el puesto y las funciones o salida de un empleado, así como los derechos
de privilegios para asegurarse que no se hayan obtenido accesos o privilegios no
autorizados.
Seleccione una muestra de empleados cesantes en los últimos seis meses y revise las
listas de acceso de usuarios actuales para verificar que sus ID se hayan desactivado o
eliminado.
97
MANUAL DE FUNCIONES COMO GUIA DE AUDITORIA INFORMATICO.
Supervisión de la infraestructura para detectar eventos relacionados con la seguridad.
Objetivo: Supervisar la infraestructura para detectar eventos relacionados con la seguridad de TI.
Procedimiento.
DSS05.07 Supervisar la infraestructura para detectar eventos relacionados con la seguridad.
Usando herramientas de detección de intrusiones, supervisar la infraestructura para detectar
accesos no autorizados y asegurar que cualquier evento esté integrado con la supervisión
general de eventos y la gestión de incidentes.
Verifique el registro de los eventos relacionados con la seguridad, que sean reportados por las
herramientas de monitorización de la seguridad de la infraestructura, identificando el nivel de
información que debe guardarse en base a la consideración de riesgo.
Compruebe que estos registros sean retenidos durante un período apropiado para ayudar en
futuras investigaciones.
Corrobore la existencia de un procedimiento que logre definir y comunicar la naturaleza y
características de los incidentes potenciales relacionados con la seguridad de forma que sean
fácilmente reconocibles y sus impactos comprendidos para permitir una respuesta acorde.
Verifique las revisiones regulares de los registros de eventos para detectar incidentes
potenciales.
Determine cuáles son los controles de los medios de desarrollo, prueba y operación.
Obtenga el procedimiento apropiado para la recopilación de evidencias en línea con las
normas de evidencias forenses locales y cerciorar que todos los empleados están
concienciados de los requerimientos.
Asegúrese que los tiques de incidentes de seguridad se crean en el momento oportuno cuando
el monitoreo identifique incidentes de seguridad potenciales.
Compruebe la prevención de expedición de tarjetas o placas de identidad sin la autorización
adecuada.
Indague cual es el procedimiento para registrar las fallas y las acciones que ha
tomado la Administración.
Revise la aplicación, adquisición, implementación y planes de pruebas para confirmar
que se han abordado la seguridad de las aplicaciones y la disponibilidad en el entorno
integrado.
98
ESTRATEGIAS PARA APLICAR EN LA EMPRESA.
Gestión de las TI como una Organización o Empresa
Disponer documentos formales escritos que respalden las diferentes actividades de
gestión, como son: dispositivos dados de baja, control de los servicios por medio
de un registro, etc., para una mejor estrategia de administración de la tecnología.
Disponer siempre de equipos de cómputo de contingencia en el caso de que se
dañe una computadora en una hora clase y puede ser remplazada de inmediato y no
impida el aprendizaje del conocimiento de los estudiantes y evitar interrupciones.
Nivel de Planeamiento para la Gestión de los procesos TI.
Planificar siempre a largo plazo en compra de nuevos equipos de cómputo y
dispositivos de red o nuevas infraestructuras de inmuebles en consecuencia a los
avances de la tecnología y el tiempo de depreciación. Tener planes en usar nuevas
metodologías como: metodología propuesta en este documento, cobit5, itil, etc., que
ayuden a mejor la gestión de los servicios y tecnología que dispone.
Utilizar siempre las normas ISO, IEEE internacionales para el cableado estructurado,
la adecuación de los muebles y equipos. Tener un documento formal escrito en que
permita hacer evaluaciones de la aplicación correcta de estas normas antes
mencionadas.
99
Conclusiones y recomendaciones
Conclusiones.
Luego de haber hecho la evaluación el software de control de seguridad de la empresa
Transvas S.A, el sistema informático tiene algunos problemas y nos muestra
vulnerabilidades de aspecto riesgosos en el sistema operativo y perdida de
información.
El personal fue evaluado y se indicó que estaban capacitados en ciertos aspectos
técnicos del sistema, pero requieren más conocimientos acerca de seguridad sistema
informático.
Después de haber hecho la evolución llevaremos a cabo el desarrollo de un manual de
Divulgación de información confidencial que puede causar problemas a las empresas,
así como daños de reputación o poner en peligro relaciones ya que no se lleva un
control y monitoreo del sistema.
Manual de funciones que sirva como guía auditoria del control de seguridad atraves
de la norma COBIT 5.
100
Recomendaciones.
Se debe realizar evaluaciones periódicas a los programas de seguridad de base datos,
así como a los trabajadores que la operan tengan él cuenta el monitoreo.
La empresa debe crear mecanismos de capacitación constantemente a los empleados,
sobre la importancia las TI en la seguridad que debe emplearse día a día en el
transcurso del trabajo.
La actualización de los programas de seguridad debe hacerse paulatinamente con los
controles respectivos de los sistemas basándose en la COBIT 5.
Debe actualizarse el manual de funciones, acorde a la política y procedimiento de la
empresa y a las necesidades que se vayan que se presenten con el transcurso del
tiempo, para aumentar controles preventivos y defectivos en el área de sistemas, que
salvaguarden la información de base de datos.
Realizar respaldos mensuales de la base de datos para prevenir cualquier pérdida de
información.
101
Bibliografía.
Bibliografía González Aguilar , A., & Cabrale Serrana, D. (2015). www.eumed.net/libros. Obtenido de
http://www.eumed.net/libros-gratis/2010d/796/Fundamentacion%20Teorica.htm
Alcaraz., M. (2011). ambiente de trabajo. personal.
Almeida, R. (2014). Procedimientos de Auditoria para la seguridad en la Base de datos. Quito.
Anonimo. (2003). Sistemas de Gestión de Bases de datos y SIG. Obtenido de
http://www.um.es/geograf/sigmur/sigpdf/temario_9.pdf
Atlés, C. (2013). Introducción al Marketing de empresa y destinos turísticos. Madrid: Pirámide
S.A.
audiinternaborja.blogspot.com. (s.f.). Obtenido de http://audiinternaborja.blogspot.com/.
Beltrami, M. (2010). Ocio y viajes en la historia: antigüedad y medioevo. San Francisco:
Ediciones Electrónicas S.A.
Betancourt , E. (2014). http://docplayer.es/83413342-Universidad-de-oriente. Obtenido de
http://docplayer.es/83413342-Universidad-de-oriente-escuela-de-ciencias-sociales-y-
administrativas-departamento-de-contaduria-publica-nucleo-monagas.html
Block, W., & Garschina, K. (2011). Business Cycles and Fractional Reserve Banking:
Continuing the De-Homogenization Process. Review of Austrian Economics.
Carvajal, L. (2017). Obtenido de http://www.lizardo-carvajal.com/la-induccion-como-metodo-
de-investigacion-cientifica/
CiberTec. (2016). Obtenido de https://www.cibertec.edu.pe/extension-
profesional/certificaciones-internacionales/cursos-cobit/que-es-cobit/
Cuervo, S. (2017). Implementacion ISO 27001. Obtenido de
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/64827/8/scuervoTFM0617me
moria.pdf
Del Toro Rios, D. C. (2014). www.sld.cu/galerias/pdf. Obtenido de
http://www.sld.cu/galerias/pdf/sitios/infodir/material consulta_ci.pdf
Departamento de Seguridad Informatica. (2015). Obtenido de
http://www.seguridadinformatica.unlu.edu.ar/?q=node/12
EcuRed. (2016). Obtenido de https://www.ecured.cu/Software
ESPINOZA QUISPE, D. (2014). www.repositorioacademico.usmp.edu.pe. Obtenido de
http://www.repositorioacademico.usmp.edu.pe/bitstream/usmp/1166/1/espinoza_qd.p
df
102
Fandos, M. (2003). Formación basada en las Tecnologías de la Infornación. Tarragona.
Ferraz, J. (2011). Competitividad industrial. CEPAL, publicaciones periódicas.
FrancaVilla . (2013). Obtenido de https://cafrancavilla.com/
Francesch, A. (2011). El turismo corporativo. México: McGraw Hill.
Gallardo, G. (2015). SEGURIDAD EN BASE DE DATOS Y APLICACIONES WEB. 10-12.
México: campus academy .
García Salazar , J. V., & Pazmiño Orellana , J. N. (2017). repositorio.ug.edu.ec. Obtenido de
http://repositorio.ug.edu.ec/bitstream/redug/22665/1/Tesis%20-
%20PROPUESTA%20DE%20UN%20MANUAL%20DE%20FUNCIONES%20Y%
20PROCEDIMIENTOS%20PARA%20EL%20%C3%81REA%20DE%20INVENTA
RIO%20EN%20LA%20EMP.pdf
González Aguilar, Araceli ; Cabrale Serrana, Damaris. (2015). www.eumed.net/libros-gratis/.
Obtenido de http://www.eumed.net/libros-
gratis/2010d/796/Fundamentacion%20Teorica.htm
González, M. (2012). Publicidad hacia el futuro. Madrid: Celeste.
http://redi.uta.edu.ec/bitstream. (s.f.). Obtenido de
http://redi.uta.edu.ec/bitstream/123456789/20419/1/T2444i.pdf
http://www.derecho-ambiental.org. (s.f.). Obtenido de http://www.derecho-
ambiental.org/Derecho/Legislacion/Ley-Transporte-Terrestre-Transito-Seguridad-
Vial.htm
Isaca. (2013). Introducción a COBIT. Panama. Obtenido de
http://www.isaca.org/cobit/Documents/COBIT-5-Introduction.pdf
IsoTools. (2015). Obtenido de https://www.isotools.org/2015/03/19/que-son-las-normas-iso-y-
cual-es-su-finalidad/
Iza Guamán , J. A., & Maza López , I. R. (s.f.).
Juntamay Tenezaca, A., & Macas Carrasco , N. P. (2011). Estudio y aplicacion de
procedimientos de analisis forenses en servidores de Bases de datos SQL SERVER Y
MYSQL CASO PRACTICO DISITEL ESPOCH. Riobamba .
Kotler, P., Bloom, P., & Hayes, T. (2011). El marketing de Servicios Profesionales. Santiago
de Chile: Editorial Paidós SAICF.
Ladines, J. (2017). PROPUESTA DEL ESTANDAR DE SEGURIDAD COBIT EN LAS
UNIVERSIDADES DE LA CIUDAD DE GUAYAQUIL. Guayaquil.
103
Llerena Lozada, K., & Velastegui Cedeño, K. (agosto de 2012). Repositorio de la Universiad
de Milagro. Obtenido de
http://repositorio.unemi.edu.ec/bitstream/123456789/788/3/ELABORACI%C3%93N
%20DE%20UN%20MANUAL%20DE%20POL%C3%8DTICAS%20Y%20PROCE
DIMIENTOS%20DE%20CONTROL%20INTERNO%20EN%20EL%20%C3%81RE
A%20DE%20INVENTARIOS%20DE%20PRIME-
TIME%20COMUNICACIONES%20CIA%20LTDA.pdf
Magazcitum. (2014). Obtenido de
http://www.magazcitum.com.mx/?tag=cobit#.W2dv77BKjIU
Mannino, M. (2007). Administración de Base de datos. Mexico: McGraw-Hill.
Muñiz, R. (2011). Marketing como estrategia de negocio. Bogotá: Mcgraw Hill.
Peña, A. (2006). Ingeniería de Software: Una guía para crear Sistemas de Información .
Mexico: Instituto Politecnico Nacional.
Perez, D. (2007). Maestros del Web. Obtenido de http://www.maestrosdelweb.com/que-son-
las-bases-de-datos/
Perez, J. (2011). Las Bases de datos, Su seguridad y Auditoria. El caso de MYSQL. Leganes.
Pérez, J. (2011). LAS BASES DE DATOS, SU SEGURIDAD Y AUDITORÍA. EL CASO DE
MYSQL. Leganes.
Plataforma Sistemas . (2014). Obtenido de https://plataformasistemas.wordpress.com/bases-
de-datos/ques-es-un-dbms/
repositorio.unemi.edu.ec. (s.f.). Obtenido de
http://repositorio.unemi.edu.ec/bitstream/123456789/163/3/Elaboraci%C3%B3n%20d
e%20un%20manual%20de%20control%20interno%20en%20los%20procedimientos
%20del%20%C3%A1rea%20financiera%20de%20la%20cooperativa%20de%20taxi
%20ruta%20puerto%20Anconcito%20del%20cant%
repositorio.utp.edu.co/dspace/. (s.f.). Obtenido de
http://repositorio.utp.edu.co/dspace/bitstream/handle/11059/906/658306O74.pdf?sequ
ence=1
Rivas, J. L. (2003). Proteccion de la Informacion. España: Virtual Libro. Obtenido de
http://jlrivas.webs.uvigo.es/downloads/publicaciones/protinf.pdf
Romo, D. (2012). Sobre el concepto de competitividad. México: McGraw Hill.
Seguridad par todos. (2011). Recuperado el 05 de Agosto de 2018, de
https://www.seguridadparatodos.es/2011/10/seguridad-informatica-o-seguridad-de-
la.html
Tallana, L. (2012). Auditoria de Seguridad Informatica De la empresa corporacion Elite. Uda.
104
Tasinchana Tipantuña, J. P. (2013). dspace.uniandes.edu.ec/. Obtenido de
http://dspace.uniandes.edu.ec/bitstream/123456789/4454/1/TUACYA005-2013.pdf
Tesis final Luisa Méndez pdf. . (2014). Obtenido de www.ug .Tesis final Luisa Méndez pdf.
Universidad Católica de Santiago de Guayaquil/silva tesis.pdf. (s.f.). Obtenido de Universidad
Católica de Santiago de Guayaquil/silva tesis.pdf
VARGAS GARCÍA, J. J. (2017). dspace.espoch.edu.ec. Obtenido de
http://dspace.espoch.edu.ec/bitstream/123456789/4397/1/18T00602.docx.pdf
WildTangent. (2015). Obtenido de https://support.wildtangent.com/hc/es-
419/articles/200251558-Software-de-Seguridad-FAQ
www.sri.gob.ec/. (s.f.). Obtenido de http://www.sri.gob.ec/
www.unidadvictimas.gov.co. (s.f.). Obtenido de
https://www.unidadvictimas.gov.co/sites/default/files/documentosbiblioteca/13-
manual-de-procedimiento-para-el-control-de-inventario-v1.pdf
www2.paho.org/hq/index.php?option=com. (s.f.). Obtenido de
http://www2.paho.org/hq/index.php?option=com_content&view=article&id=3412%3
A2010-calidad-atencion-seguridad-paciente&catid=1530%3Apatient-safety&lang=es
105
Apéndice
