modalidad de grado: práctica profesional viviana marcela
TRANSCRIPT
1
ANÁLISIS DE RIESGOS POTENCIALES EN EL MANEJO DE INFORMACIÓN PARA LA EMPRESA MODYMARCA SAS
Modalidad de Grado: Práctica Profesional
VIVIANA MARCELA BULLA JIMENEZ
COD. 0108072136
UNIVERSIDAD COOPERATIVA DE COLOMBIA
FACULTAD DE INGENIERIA
PROGRAMA INGENIERIA DE SISTEMAS
BOGOTA D.C, ABRIL DE 2012
2
ANÁLISIS DE RIESGOS POTENCIALES EN EL MANEJO DE INFORMACIÓN PARA LA EMPRESA MODYMARCA SAS
Modalidad de Grado: Práctica Profesional
VIVIANA MARCELA BULLA JIMENEZ
COD. 0108072136
DIRECTOR
JAIRO AUGUSTO CORTES
INGENIERO DE SISTEMAS
UNIVERSIDAD COOPERATIVA DE COLOMBIA
FACULTAD DE INGENIERIA
PROGRAMA INGENIERIA DE SISTEMAS
BOGOTA D.C, ABRIL DE 2012
3
DEDICATORIA
Primeramente a mis padres, por el ejemplo de superación, por su apoyo no
solo para el desarrollo de este proyecto sino también durante la carrera
universitaria.
También a mis amigos de la universidad con quienes compartí buenos
momentos y siempre existió una ayuda entre nosotros para así poder llegar
hasta este punto tan importante para todos.
Por último a mis hermanos, quienes me impulsaron a seguir estudiando para
ser una gran Ingeniera de sistemas y así ser el orgullo tanto de ellos como de
mis padres.
4
AGRADECIMIENTOS
Agradezco a Dios y a todas las personas que formaron parte de mi carrera
profesional, tanto a mi familia como a mis amigos de la universidad.
A todos mis maestros quienes fueron parte fundamental en mi aprendizaje en
especial al ingeniero Jaime Páez y al ingeniero Jairo Cortes ya que si no fuera
por ellos no habría podido empezar mi práctica profesional y así mismo hacer
este proyecto donde enfrente varias dificultades durante el desarrollo de este.
Gracias por sus recomendaciones, ideas y asesorías respecto a esta
investigación.
5
TABLA DE CONTENIDO
Contenido
INTRODUCCION................................................................................................................... 6
OBJETIVOS ....................................................................................................................... 7
OBJETIVO GENERAL: ................................................................................................. 7
OBJETIVO ESPECIFICO: ............................................................................................ 7
JUSTIFICACIÓN................................................................................................................ 7
ANTECEDENTES O ESTADO ACTUAL ........................................................................ 8
1. FUNDAMENTACION TEORICA .................................................................................. 9
1.1. TEORIAS SOBRE ANALISIS DE RIESGOS ....................................................... 9
1.2. ETAPAS DEL ANALISIS DE RIESGOS .............................................................. 9
1.3. MARCO CONCEPTUAL.......................................................................................10
1.4. RESEÑA HISTORICA DE LA EMPRESA MODYMARCA SAS........................11
1.5. METODOLOGIA MERISE ....................................................................................12
2. DESARROLLO DE LA PRACTICA .............................................................................14
2.1. PLANIFICACION ...................................................................................................14
2.2. FASES DE LA METODOLOGIA MERISE ..........................................................14
2.2.1. ESTUDIO PRELIMINAR ...............................................................................14
2.2.2. ESTUDIO DETALLADO................................................................................15
2.2.3. IMPLEMENTACION ......................................................................................16
2.3. PRUEBAS ..............................................................................................................16
2.3.1. REALIZACION Y PUESTA EN MARCHA ...................................................16
3. BENEFICIOS DEL PROYECTO .................................................................................22
CONCLUSIONES .................................................................................................................23
RECOMENDACIONES ........................................................................................................24
BIBLIOGRAFIA .....................................................................................................................25
ANEXOS ...............................................................................................................................27
MANUAL DE USUARIO ...................................................................................................27
ENCUESTA.......................................................................................................................29
ESTADISTICA ENCUESTA ............................................................................................30
6
INTRODUCCION
El presente proyecto está enfocado en mejorar la seguridad de la información
para la compañía Modymarca SAS. Es una compañía Textil la cual
comercializa las prendas de las marcas Chevignon, Americanino, NafNaf,
Esprit, Rifle, Mango, entre otras. Actualmente en la empresa, existe una
falencia con respecto a la seguridad de la información que tienen sus
empleados, en muchas ocasiones se han perdido datos muy importantes para
la compañía ya que las personas no son responsables de realizar los
respectivos backup semanalmente como el área de sistemas les había indicado
por lo tanto existe un riesgo en la información, además cuando se va la luz
eléctrica en el lugar, las UPS que tiene la empresa no soportan más de dos
horas, se ha perdido tiempo y ha hecho que los datos se vuelvan vulnerables.
Adicionalmente, la compañía no cuenta con cámaras en todos los rincones de
esta ni protección para el celador, si ocurre un robo no se tendría la seguridad
de que se evite o se descubra, existe un sistema sencillo de protección con
cámaras que no cubre la totalidad de la empresa.
La pregunta seria,¿Qué riesgos potenciales existen en el manejo de la
información en la empresa Modymarca SAS?
Se va a generar un estudio con respecto a la seguridad de la información
basándonos en la norma ISO 27001 de 2005, teniendo en cuenta que el
desarrollo de este análisis estará en ejecución en 6 fases que son:
Desarrollo de estudio de riesgos.
Determinación de riesgos potenciales
Generación de alternativas de solución.
Entrega de datos a Gerencia
Proceso de pruebas de el estudio
Implementación de plan de acuerdo a la norma ISO 27001 de 2005.
7
OBJETIVOS
Los objetivos del proyecto son:
OBJETIVO GENERAL:
El objetivo general del proyecto es:
Realizar un análisis de riesgos potenciales de información para la empresa
MODYMARCA SAS.
OBJETIVO ESPECIFICO:
Los objetivos específicos del proyecto son:
Desarrollar un estudio de riesgos basándose en el aseguramiento de la
información de acuerdo a la norma 27001 de 2005.
Determinar los riesgos potenciales apoyándose en una matriz de
riesgos.
Generar alternativas de solución donde la compañía pueda evaluar cada
uno de los riesgos.
Implementar un plan acuerdo a la norma 27001 de 2005.
JUSTIFICACIÓN
La justificación de este proyecto estará basada de acuerdo a:
JUSTIFICACIÓN SOCIAL: Este trabajo es realizado con la finalidad de buscar
una solución para que la información 0071ue es suministrada en la compañía
Modymarca SAS no siga siendo vulnerable, no solo por perdida sino también
por robo de datos.
8
JUSTIFICACIÓN TECNOLÓGICA: Se basara principalmente sobre la norma
ISO 27001 de 2005 que indica en uno de sus ítems lo siguiente: “Formular un
plan de tratamiento de riesgo que identifique la acción general apropiada, los
recursos, las responsabilidades y prioridades para manejar los riesgos de la
seguridad de la información.”. La empresa básicamente quiere mostrar una
solución radical para que los empleados de esta, no tengan la necesidad de
realizar los backup sino que se puedan hacer de manera automática ya que
esta es la principal razón por la cual hay pérdida y robo de información. La
idea primordial es que al generar la solución que se quiere y así mismo el área
de sistemas de la Compañía validara el desarrollo y la implementación de dicho
proyecto.
JUSTIFICACIÓN PROFESIONAL: El presente trabajo se desarrolla con el fin
de aprender sobre los temas que se manejan en el interior de la empresa,
colaborar en el desarrollo de las actividades de esta, a la ves ayudar en el
estudio que se va a implementar para dar solución a las falencias que se están
presentando y dar a conocer mis habilidades como Ingeniero de Sistemas.
ANTECEDENTES O ESTADO ACTUAL
Actualmente, se han generado proyectos similares con respecto a la seguridad
en la información no solamente en Colombia sino a nivel de Latinoamérica, los
antecedentes del proyecto se describen a continuación:
PROYECTO SOBRE SEGURIDAD INFORMATICA.
Escuela Graduada de la UNPL Anexa, Argentina
Desarrollado por las maestras Lía Molinari y Paula Venosa.
PROYECTO DE SISTEMAS DE DETECCION DE INTRUSOS
SENA, Regional de Antioquia, Colombia
Desarrollado por los aprendices del SENA.
PLAN DE SEGURIDAD INFORMÁTICA PARA UNA ENTIDAD DE SERVICIOS
FINANCIEROS
Ciudad Autónoma de Buenos Aires, Argentina
Desarrollado por Área de Ingeniería DPYAS.A
9
1. FUNDAMENTACION TEORICA
1.1. TEORIAS SOBRE ANALISIS DE RIESGOS
Para Edmundo Pelegrin (2004), “aunque los integrantes del equipo y los
patrocinadores de un proyecto importante a menudo consideran
negativo el riesgo, es importante que no juzguen un proyecto
simplemente por la cantidad y la naturaleza de los riesgos. Deben tomar
en cuenta que el riesgo es la posibilidad, no la certeza, de una pérdida.
Por otra parte, los integrantes de un equipo que evalúan un proyecto con
una lista de los cinco o diez riesgos principales deben considerarlo con
reservas, aunque la exposición total al riesgo no sea tan significativa”.
Según Oscar Agudelo Cortes (1994), la define como “la disciplina que se
ocupa del estudio de cómo realizar el análisis y predicción con la mayor
exactitud posible de la ocurrencia de hechos causantes de perjuicios
económicos a personas naturales o jurídicas, con el fin de medirlos y
analizarlos para lograr su eliminación, o en caso contrario, disminuir sus
efectos dañosos.”
En los años 40, los autores A. Juan y J.Cueva exponen el Teorema de
Lusser: “la probabilidad de éxito (no fallo) de una cadena de
componentes es el producto de las probabilidades de éxito de sus
elementos”.
El comité técnico conjunto ISO/IEC, tecnología de la información
implementa el estándar internacional ISO 27001, con el fin de establecer
un modelo para implementar, operar, monitorear, revisar, mantener y
mejorar un sistema de gestión de seguridad (SGSI), según este estándar
el diseño e implementación del SGSI es influenciado por las
necesidades y objetivos, requerimientos de seguridad, los procesos
empleados, el tamaño y estructura de la organización.
1.2. ETAPAS DEL ANALISIS DE RIESGOS
Según Victor Belmar Muñoz en el 2005 indica que las etapas para un análisis
de riesgos se debe realizar de la siguiente manera:
Primera Etapa: Identificación de los Riesgos de Pérdidas.
La primera etapa nos permite determinar de una manera más exacta la
exposición de una empresa o negocio a un riesgo o pérdida.
10
Para conocer un riesgo es necesario conocer su causa, que es la que va a
determinar la existencia de este y si puede afectar a la empresa o no.
Este análisis tiene como objetivo determinar cada uno de los riesgos que pueda
afectar la continuidad de un negocio o empresa, y con ello reconocer la
posibilidad de una pérdida. También es importante identificar todo bien o
interés de la empresa, ya que los riesgos siempre se relacionan con éstos.
La actividad empresarial de hoy se manifiesta en un entorno incierto, están
expuestas a un conjunto amplio de riesgos, que cada vez son más diversos
ante los cambios económicos, políticos, tecnológicos y sociales. A todas las
empresas le surge la necesidad de defenderse ante los riesgos existentes.
Los efectos o consecuencias de los riesgos pueden afectar a la empresa de
diversas formas. Clasificar estos efectos permite entender este aspecto de
forma más precisa.
Segunda Etapa: Evaluación de los Efectos.
Una de las finalidades inmediatas que se persigue con la inspección es la
evaluación de los riesgos detectados. En líneas generales, en la evaluación se
toman en consideración dos factores del riesgo. De una parte, la evaluación de
la probabilidad de que ocurra el riesgo en cuestión y, de otra, la evaluación de
la gravedad económica del daño, en caso de que el riesgo se materialice. La
Gerencia de Riesgos precisa de una evaluación global que integre ambas
variables.
1.3. MARCO CONCEPTUAL
MODYMARCA SAS: Empresa Textil que comercializa las marcas Chevignon,
Americanino, NafNaf, Esprit, Rifle, entre otras; es la base principal del proyecto
ya que en ella se presentan falencias con respecto a la seguridad de su
infraestructura y de sus datos.
AMENAZA: Causante de un evento adverso (Virus)
INFORMACION: Es el conjunto de datos organizados y que son procesados
con el fin de que cada persona los administre, en este caso en la Compañía
cada empleado maneja su propia información y es el responsable de su
protección.
11
BACKUP: Es la copia de seguridad que realizan semanalmente los empleados
de la compañía, pero en muchas ocasiones no se hace, es por esto que se
están causando pérdidas de datos y vulnerabilidad en la información.1
NORMA 27001: es la única norma internacional auditable que define los
requisitos para un sistema de gestión de la seguridad de la información (SGSI).
La norma se ha concebido para garantizar la selección de controles de
seguridad adecuados y proporcionales. Ello ayuda a proteger los activos de
información y otorga confianza a cualquiera de las partes interesadas, sobre
todo a los clientes. La norma adopta un enfoque por procesos para establecer,
implementar, operar, supervisar, revisar, mantener y mejorar un SGSI.
SEGURIDAD DE LA INFORMACION: Son todas las medidas preventivas que
se administran en la información para que así se encuentren protegidas
buscando mantener la confidencialidad e integridad de la misma. en nuestra
empresa se quiere manejar de esta forma pero gracias a que no se tiene un
sistema adecuado para que los datos estén seguros se quiere buscar una
solución por medio de este proyecto.
ANÁLISIS DE RIESGO: proceso que incluye la identificación de peligros, la
evaluación, el manejo y la comunicación del riesgo.
RIESGO: Probabilidad de ocurrencia de un evento adverso.
1.4. RESEÑA HISTORICA DE LA EMPRESA MODYMARCA SAS
Modymarca SAS, es una empresa que siempre busca la satisfacción de los
clientes y se apoya en un excelente equipo humano, y en la calidad de los
productos los cuales son elaborados y comercializados por la empresa, tales
como:
CHEVIGNON: Inspirada en la imagen de aviadores norteamericanos. Charles
Chevignon, piloto francés, modelo a seguir para la generación. GuyAzoulay, un
joven de 23 años, creador, en 1979.
NAFNAF: En 1973, los hermanos Gerard y Patrick Padrino abren su primer
almacén llamado "Influencia" en Passage du Caire en París.
En 1978, lanzan su primera colección firmada como NAFNAF y al año
siguiente se convirtió en una corporación de negocios bajo ese nombre.
1 Universidad de Oriente, Normas y Políticas de Seguridad Informática (http://es.scribd.com/doc/2023909/manual-de-politicas-y-normas-de-seguridad-informatica)
12
En 1983, NafNaf se hizo famosa con sus populares overoles que
revolucionaron el mundo textil. En el año 1998 NafNaf abrió sus puertas en
Colombia, inaugurando su primer almacén en la ciudad de Cali.
AMERICANINO: Creada por GegeSchiena quien se inspiró en los americanos
y en su cómodo estilo de vida.
En 1989 Comodín S.A. adquiere la licencia de la Casa Matriz en Italia, para
diseñar y comercializar la marca dentro de Colombia y la región andina y
Norteamérica. En ese momento comienza la expansión de la marca en
Colombia.
ESPRIT: Susie Russell y Doug Tompkins, montan un negocio de confección
con una amiga llamada Jane.
En 1971 Doug y Susie conocen a Michael Ying, quien se convierte en el
fundador del grupo Internacional. Doug y Susie se convierten entonces en
accionistas.
1.5. METODOLOGIA MERISE
La metodología que se va a implementar en este proyecto se denomina MERISE, por medio de unas fases se puede desarrollar el análisis de los riesgos mirando a la vez la situación actual de la Compañía, da la facilidad de que después de el estudio generado se pueda implementar para que la seguridad de la información este protegida.
Los pasos y procedimientos utilizados para llevar a cabo el desarrollo de este proyecto se describirán a continuación:
Plan de sistemas de Información: En este proyecto se va iniciar con un estudio concreto de las necesidades que actualmente presenta la empresa Modymarca SAS en la seguridad de la información en las diferentes áreas de esta, teniendo en cuenta los riesgos que se están generando y que están causando estas falencias.
Análisis de sistemas: Una vez se tenga conocimiento de la información, se analizara y el estudiante mediante nuevos conocimientos realizara sus respectivos aportes brindado solución al problema, dando ideas básicas con el fin de que se encuentre una solución válida teniendo en cuenta que se realizara un estudio intensivo sobre las necesidades y soluciones de la empresa.
13
Sistemas: Ya al tener planteada la solución después de un estudio generado por el estudiante se procederá a validar por el área de sistemas de la Compañía la efectividad de dicha solución, por esto si es factible se empezaría a generar el diseño, el desarrollo y posteriormente la implementación del software.2
Las fases que plantea la metodología MERISE son:
Estudio Preliminar: se realizara un análisis de la situación actual
Estudio Detallado: planteamiento de solución.
Implementación: pruebas
Realización y puesta en marcha: ejecución de la solución.
2 Metodología Merise (http://www.escet.urjc.es/~gtazon/IS/Metodologias.pdf)
14
2. DESARROLLO DE LA PRACTICA
2.1. PLANIFICACION
Se genero junto con la empresa un cronograma con una serie de actividades
que permitirán realizar el análisis de los riesgos potenciales que se tienen al
momento de iniciar el estudio. De la mano de departamento de sistemas y de
Gerencia se estipulo que sea ejecutado aproximadamente en 2 meses, por
ello las fechas fueron seguidas según lo planeado.
2.2. FASES DE LA METODOLOGIA MERISE
2.2.1. ESTUDIO PRELIMINAR
DESARROLLO ESTUDIO DE RIESGOS EN LA EMPRESA MODYMARCA SAS
Se realizo un estudio en el cual se encontraron amenazas en la seguridad de la información las cuales afectaban directamente los documentos manejados por la empresa, generando un listado tomando como base la norma 27001 de 2005 dejando constancia que la información contenida hacen parte de los activos (cualquier cosa que tenga valor para la organización) de la empresa. Esta evaluación tardo aproximadamente 5 días del primer mes de inicio del proyecto según lo planificado con la empresa.
15
DETERMINACION DE RIESGOS POTENCIALES
El riesgo principal es la pérdida de información, teniendo en cuenta que la empresa cuenta con:
Bases de datos de clientes Bases de datos de empleados Bases de datos de ventas
Las cuales son muy importantes ya que son activos de la empresa, y generan perdidas no solo de información sino de dinero.
2.2.2. ESTUDIO DETALLADO
GENERACION DE ALTERNATIVAS DE SOLUCION
Se genero la instalación de un equipo tomado como servidor Backup el cual se coloco en red y que va a cumplir la función de que los usuarios realicen su propio backup teniendo en cuenta la norma 27001 en una de sus políticas llamada Backup o respaldo de la información que dice lo siguiente: “Control, se debe realizar copias de Backup o respaldo de la información comercial y software esencial y se deben probar regularmente de acuerdo a la política”. Adicionalmente, se realizo una capacitación a todo el personal de la compañía con el fin de que estos se enteren y aprendan a realizar el backup de manera semanal, haciendo que cada uno sea el responsable del respaldo de los datos. La siguiente imagen es del servidor Backup que se instalo en el cuarto de servidores
16
2.2.3. IMPLEMENTACION
Se dio a conocer a la gerencia de la empresa, sobre el proyecto, se muestra
por medio de las capacitaciones el estudio y la solución que se quiere con
base en la norma.
2.3. PRUEBAS
2.3.1. REALIZACION Y PUESTA EN MARCHA
PROCESO DE PRUEBAS Al generar la capacitación al personal de la empresa de cómo realizar los backup, se genero dentro del servidor de Backup las carpetas de acuerdo a cada departamento donde será guardada la información por parte de cada usuario de la siguiente forma:
17
Al servidor se le asigno una ip fija la cual nos va a dirigir directamente a él y a las carpetas creadas.
Cada carpeta va con el nombre del departamento que tiene la compañía, estas carpetas tienen unas subcarpetas con el nombre de cada usuario.
18
19
Los usuarios no tienen la necesidad de ingresar por la ip al servidor, se genero la idea de crear un acceso directo en cada equipo de la empresa donde ellos solamente hagan una copia de la información y la guarden en ese acceso directo en la carpeta MI PC para equipos Windows Xp y EQUIPO en Windows 7, así:
20
Para crear el acceso del servidor en el equipo se conecta a una unidad de red y se escoge la llamada BACKUP
Se escoge la carpeta creada en el servidor y se crea una ruta.
21
Queda creada como acceso directo denominado Ubicación de Red, donde el usuario va a poder realizar el backup.
22
3. BENEFICIOS DEL PROYECTO
Al iniciar el diagnostico de la problemática que la compañía presentaba, se
determinaron grandes falencias en la seguridad de la información por ello fue
de suma importancia generar una solución para que no se ocasione la perdida
de datos.
Al realizar pruebas sobre el servidor montado y en cada uno de los equipos de
la empresa se dieron muchos beneficios como son:
Mayor protección de la información.
Facilidad de hacer los backup a los usuarios.
Menos carga de trabajo para el departamento de sistemas.
Agilidad en los procesos.
Esta solución es un inicio para que la empresa mejore la seguridad de su
información, se sabe que es una empresa grande en la cual se manejan
muchos datos.
23
CONCLUSIONES
Se genero el análisis de riesgos de acuerdo a lo indicado en la norma 27001 de
2005 con el fin de conocer las amenazas en la seguridad de la información y
asídeterminar una solución de mejoramiento para la empresa Modymarca SAS.
Se hacen pruebas con base en la solución encontrada, para que la empresa
tenga una pauta con el fin de que pueda más adelante mejorar y asegurar
todos sus activos.
Adicional a esto, se logra capacitar a los empleados de la empresa para que se
responsabilicen del cuidado de sus datos y a la vez obtengan conocimiento
sobre algo que para ellos era transparente, se hacen encuestas para saber que
tanto conocimiento se tiene después de la capacitación dada, al igual se les
brinda un pequeño manual de cómo hacer el backup por si se generan dudas
ya que muchos no tienen la misma capacidad de aprendizaje que otros.
Este manual junto con la encuesta se adjunta en los anexos del trabajo.
24
RECOMENDACIONES
Se le indico a la Compañía que a partir de la solución implementada también se
busquen otras soluciones mejores para que evite la perdida de información.
Asimismo, se pueden realizar proyectos de seguridad de la información no solo
con la norma 27001 sino también con las normas seguidas a esta como son la
serie de normas 27000 en adelante.
25
BIBLIOGRAFIA
ALZATE CARLOS; RAMIREZ HUMBERTO, Manual de proyectos de desarrollo
Editorial McGraw-Hill, Segunda Edición, Santafé de Bogotá
FOWTER MARTIN, SCOTT KENDALL- UML Gota a Gota, Editorial Prentices
Hall, Santafé de Bogotá
KENNET KENDALL & JULIE KENDALL- Análisis y Diseño de sistemas de
Información Español |913 páginas | Tercera edición | Editorial: Prentices Hall
JACOBSON IVAR, BOOCH, GRADY; UML el proceso unificado de desarrollo
de software, Editorial Addison, Santafé de Bogotá
LARMAN, CARG; UML Y Patrones. Una introducción al análisis y diseño
orientado a objetos y al proceso unificado, Editorial Pearson Santafé de Bogotá
PFLEEGER SHARI LAWRENCE, Ingeniería de software teoría y practica
Editorial Pearson, tercera edición, Santafé de Bogotá
ROGER S PRESSMAN, Ingeniería de software Un enfoque practico quinta
edición, 2002, McGraw Hill, Santafé de Bogotá
WEITZENFELD ALFREDO. Ingeniería de software orientada a objetos con
UML, java e internet, editorial Thompson, Santa fe de Bogotá
WEB GRAFIA
Pontificia Universidad Javeriana, Centro de Escritura Javeriano
(http://centrodeescritura.javerianacali.edu.co/index.php?option=com_content&vi
ew=article&id=84:norma-icontec&catid=45:referencias-
bibliograficas&Itemid=66)
Academia Latinoamérica de Seguridad Informática, Implementación y plan de
seguridad
(http://www.piramidedigital.com/Documentos/ICT/pdictseguridadinformaticaimpl
ementacion.pdf)
SGS in Spain, Norma ISO 27001 de 2005
(http://www.es.sgs.com/es/iso_270012005_es)
Gestión de riesgos Empresariales
(http://www.monografias.com/trabajos36/riesgos-empresariales/riesgos-
empresariales.shtml)
26
Metodología Merise
(http://www.escet.urjc.es/~gtazon/IS/Metodologias.pdf)
AGESIC, Buenas prácticas en la seguridad de la información (http://www.cert.uy/historico/pdf/AGESIC_Buenas_practicas_en_Seguridad_de_la_Informacion.pdf) Universidad de Oriente, Normas y Políticas de Seguridad Informática (http://es.scribd.com/doc/2023909/manual-de-politicas-y-normas-de-seguridad-informatica) Seguridad de la información en Colombia, Marco normativo de un SGSI (http://seguridadinformacioncolombia.blogspot.com/2010/03/marco-normativo-normas-y-politicas-de.html) Algunas ideas sobre análisis de riesgos, Análisis de riesgos (ppt) (http://www.google.com.co/url?sa=t&rct=j&q=teorias%20sobre%20analisis%20de%20riesgos%20de%20la%20informacion&source=web&cd=2&sqi=2&ved=0CDMQFjAB&url=http%3A%2F%2Fs3.amazonaws.com%2Flcp%2Fana-zambrano%2Fmyfiles%2FAnalisis_de_Riesgo_Curso_Lab_Tox_Marinas_U_de_Chile_.ppt&ei=6Gh7T5nhHI3UgAeSorztAg&usg=AFQjCNFFzqP63kSAFq-4woqlnjtyepEmUg) Ivan Santos Nieto, Administración de riesgos de control interno: principales funciones y técnicas (http://www.eumed.net/ce/2009b/isp.htm) Ingeniero Yeleni Zulueta y Yadira Ruiz, Tendencias actuales de gestión de riesgos (http://www.ilustrados.com/tema/10957/Tendencias-actuales-Gestion-Riesgos.html)
27
ANEXOS
MANUAL DE USUARIO
COMO REALIZAR EL BACKUP
Al personal de la empresa se les dio una capacitación en la cual se les dio las
pautas para que realicen el backup, y así mismo para que cada usuario sea el
responsable del cuidado de su información.
1. En cada equipo se genero un acceso directo al servidor donde cada
usuario podrá guardar su información de manera más fácil.
2. El usuario selecciona la información que necesita guardar, algo que se
les aclara es que solo sean datos de la empresa, cero música, cero
fotos, solamente la más importante.
3. Se selecciona, se copia y se pega en el acceso directo del Backup,
quedando de la siguiente manera:
28
Así se realiza la copia de información con todos los datos que se necesiten, ya
sea que estén en escritorio u otra carpeta adicional.
29
ENCUESTA
1. ¿Usted sabe que es generar una copia de información?
a. Si
b. No
2. Si la ha realizado algunas ves, ¿Cómo ha generado la copia de la
información?
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_________________________________________________.
3. En alguna oportunidad, ¿el equipo con el cual trabaja ha sufrido algún
tipo de daño en su hardware?
a. Si Cual? __________________________________________
b. No
c. No sabe
4. ¿Su información ha sido expuesta a virus u otro tipo de amenaza?
a. Si
b. No
c. No sabe
5. ¿Le gustaría que se implementara una solución efectiva para que se
evite la perdida de información?
a. Si
b. No
c. Tal ves
6. ¿Sabe usted cuantas veces por semana se debe realizar el backup o
copia de información?
_______________________________________________________________
_______________________________________________________________
30
ESTADISTICA ENCUESTA
Se realiza una encuesta corta después de haberse realizado la capacitación
para saber que tanto entendimiento hubo antes y después con el fin de darse
cuenta que hay q reforzar al momento de que cada empleado de la compañía
haga su backup sin problema.
FICHA TECNICA:
Modymarca SAS: 12 Encuestas
Departamento de sistemas: 3 encuestas
Departamento de auditoría: 2 encuestas
Salud ocupacional: 1 encuesta
Nomina: 1 encuesta
Departamento de recursos humanos: 5 encuestas
RESPUESTA SI NO NO SABE
1 10 2 0
2 10 2 0
3 5 5 2
4 7 5 0
5 12 0 0
6 11 1 0
Se realiza una muestra de los resultados dados por las encuestas de acuerdo a
las preguntas hechas y las respuestas que dieron los empleados de la
empresa.
31
0 2 4 6 8 10 12
1
2
3
4
5
6
NO SABE
NO
SI