7/25/2019 Tesis_t715si

1/176

UNIVERSIDAD TCNICA DE AMBATO

FACULTAD DE INGENIERA EN SISTEMAS

ELECTRNICA E INDUSTRIAL

Carrera de Ingeniera en Sistemas Computacionales e

Informticos

TEMA:

NORMA DE SEGURIDAD INFORMTICA ISO 27001 PARAMEJORAR LA CONFIDENCIALIDAD, INTEGRIDAD Y

DISPONIBILIDAD DE LOS SISTEMAS DE INFORMACIN Y

COMUNICACIN EN EL DEPARTAMENTO DE SISTEMAS DE LA

COOPERATIVA DE AHORRO Y CRDITO SAN FRANCISCO

LTDA.

Trabajo de Graduacin. Modalidad: TEMI. Trabajo Estructurado de ManeraIndependiente, presentado previo la obtencin del ttulo de Ingeniera en Sistemas

Computacionales e Informticos.

AUTOR: Tania Vernica Guachi Aucapia.

TUTOR: Ing. David Guevara.

Ambato - Ecuador

Julio 2012

7/25/2019 Tesis_t715si

2/176

i

APROBACIN DEL TUTOR

En mi calidad de tutor del trabajo de investigacin sobre el tema: Norma de Seguridad

Informtica ISO 27001 para mejorar la confidencialidad, integridad y disponibilidad de

los sistemas de informacin y comunicacin en el departamento de sistemas de la

Cooperativa de Ahorro y Crdito San Francisco Ltda., de la seorita Tania Vernica

Guachi Aucapia, estudiante de la Carrera de Ingeniera en Sistemas Computacionales e

Informticos., de la Facultad de Ingeniera en Sistemas, Electrnica e Industrial, de la

Universidad Tcnica de Ambato, considero que el informe investigativo rene los

requisitos suficientes para que contine con los trmites y consiguiente aprobacin de

conformidad con el Art. 16 del Captulo II, del Reglamento de Graduacin para obtener

el ttulo terminal de tercer nivel de la Universidad Tcnica de Ambato.

Ambato, Julio del 2012

EL TUTOR

-------------------------------------------

Ing. David Guevara

7/25/2019 Tesis_t715si

3/176

ii

AUTORA

El presente trabajo de investigacin: Norma de Seguridad Informtica ISO 27001

para mejorar la confidencialidad, integridad y disponibilidad de los sistemas de

informacin y comunicacin en el Departamento de Sistemas de la Cooperativa de

Ahorro y Crdito San Francisco Ltda., es absolutamente original, autntico y

personal, en tal virtud, el contenido, efectos legales y acadmicos que se

desprenden del mismo son de exclusiva responsabilidad del autor.

Ambato, Julio del 2012

..

Tania Vernica Guachi Aucapia

CC: 180448895-3

7/25/2019 Tesis_t715si

4/176

iii

APROBACIN DE LA COMISIN CALIFICADORA

La Comisin Calificadora del presente trabajo conformada por los seores docentes, Ing.

M.Sc. Oswaldo Paredes, Ing. Francisco Lpez, Ing. Luis Sols, revis y aprob el Informe

Final del trabajo de graduacin titulado NORMA DE SEGURIDAD INFORMTICA

ISO 27001 PARA MEJORAR LA CONFIDENCIALIDAD, INTEGRIDAD Y

DISPONIBILIDAD DE LOS SISTEMAS DE INFORMACIN Y COMUNICACIN

EN EL DEPARTAMENTO DE SISTEMAS DE LA COOPERATIVA DE AHORRO Y

CRDITO SAN FRANCISCO LTDA., presentado por la seorita Tania Vernica

Guachi Aucapia de acuerdo al Art. 17 del Reglamento de Graduacin para obtener el

ttulo Terminal de tercer nivel de la Universidad Tcnica de Ambato.

..

Ing. Oswaldo Paredes

PRESIDENTE DEL TRIBUNAL

..

Ing. Francisco Lpez Ing. Luis Sols

DOCENTE CALIFICADOR DOCENTE CALIFICADOR

7/25/2019 Tesis_t715si

5/176

iv

DEDICATORIA

Con amor y afecto ms profundo a las razones de mi

vida: Dios, mis Padres, Hermanos, porque con amor,

paciencia, sabidura y fortaleza que ellos me han

ofrecido inspiran cada momento de mi vida.

Tania

7/25/2019 Tesis_t715si

6/176

v

AGRADECIMIENTO

A Dios por darme salud, vida y fortaleza para

cumplir con esta meta.

A mis padres Carmen y Samuel por ser el pilarfundamental de apoyo, amor, confianza, por los

consejos brindados y los empujes para seguir

adelante da tras da.

A mis Hermanos por ser un motivo ms de

superacin

A todos mis amigos, los cuales compartimos grandes

momentos en el viaje de esta carrera.

Gracias al Ing. Diego Torres jefe de Sistemas de la

Cooperativa de Ahorro y Crdito San Francisco

Ltda., y al Ing. David Guevara por ser gua y

compartir sus conocimientos y desempear con

satisfaccin mi profesin.

Tania

7/25/2019 Tesis_t715si

7/176

vi

INDICE

CONTENIDO PAGINA

APROBACIN DEL TUTOR ........................................................................................ i

AUTORA ..................................................................................................................... ii

APROBACIN DE LA COMISIN CALIFICADORA ............................................... iii

DEDICATORIA ............................................................................................................iv

AGRADECIMIENTO .................................................................................................... v

INDICE .........................................................................................................................vi

INTRODUCCIN ...................................................................................................... xiii

CAPTULO I

EL PROBLEMA DE INVESTIGACIN

1.1Tema .................................................................................................................... 1

1.2 Planteamiento del Problema ..................................................................................... 1

1.2.1 Contextualizacin: ................................................................................................. 1

1.2.2 rbol del Problema ............................................................................................... 3

1.2.1 Anlisis Crtico...................................................................................................... 4

1.2.2 Prognosis............................................................................................................... 4

1.3 Formulacin del Problema ........................................................................................ 4

1.4 Preguntas Directrices ................................................................................................ 5

1.5 Delimitacin del Problema ....................................................................................... 5

1.6 Justificacin. ............................................................................................................ 5

1.7 Objetivos .................................................................................................................. 6

1.7.1 Objetivo General ................................................................................................... 6

1.7.2 Objetivos Especficos ............................................................................................ 7

CAPITULO II

MARCO TERICO

2.1 Antecedentes Investigativos...................................................................................... 8

2.2 Fundamentacin Legal ............................................................................................. 9

7/25/2019 Tesis_t715si

8/176

vii

2.2.1 Ley de comercio electrnico, firmas electrnicas y mensajes de datos. ................... 9

2.2.2Ley de Propiedad Intelectual .................................................................................15

2.3 Grfica de inclusin de las Categoras Fundamentales .............................................19

2.3.1 Constelacin de Ideas ...........................................................................................20

2.4 Categoras Fundamentales .......................................................................................21

2.4.1 Control de Calidad................................................................................................21

2.4.2 NORMAS ISO .....................................................................................................22

2.4.3 Norma de seguridad informtica ISO 27001 .........................................................24

2.4.4Software. ..............................................................................................................29

2.4.5 Aplicaciones y Redes Informticas .......................................................................31

2.4.6 Sistemas de Informacin y Comunicacin.............................................................34

2.5 Hiptesis .................................................................................................................39

2.6 Determinacin de Variables .....................................................................................40

CAPITULO III

METODOLOGA

3.1Enfoque.. .................................................................................................................41

3.2Modalidad bsica de la investigacin. ......................................................................41

3.2.1Investigacin BibliogrficaDocumental.............................................................41

3.2.2 Investigacin de Campo .......................................................................................41

3.3 Nivel o tipo de Investigacin ...................................................................................42

3.3.1 Exploratorio .........................................................................................................42

3.3.2 Descriptivo ...........................................................................................................42

3.5 Recoleccin de informacin ....................................................................................42

3.5.1 Plan de Recoleccin de Informacin .....................................................................42

3.5.2 Procesamiento y anlisis de la Informacin ...........................................................43

3.5.2.1Procesamiento y anlisis de la informacin ........................................................43

3.5.2.2Plan de anlisis e interpretacin de resultados ....................................................43

7/25/2019 Tesis_t715si

9/176

viii

CAPITULO IV

ANLISIS E INTERPRETACIN DE RESULTADOS

4.1Anlisis de la necesidad ...........................................................................................44

4.2 Anlisis de Resultados .............................................................................................44

4.3 Tabulacin de los resultados ....................................................................................49

4.3 Interpretacin de Resultados ....................................................................................57

CAPITULO V

CONCLUSIONES Y RECOMENDACIONES

5.1CONCLUSIONES...................................................................................................58

5.2 RECOMENDACIONES..........................................................................................58

CAPITUO VI

PROPUESTA

6.1.Tema .................................................................................................................59

6.2.Datos Informativos .................................................................................................59

6.3. Antecedentes ..........................................................................................................59

6.4. Justificacin ...........................................................................................................60

6.5. Objetivos ................................................................................................................60

6.5.1 Objetivo General ..................................................................................................61

6.5.2 Objetivos Especficos ...........................................................................................61

6.6. Anlisis de factibilidad ...........................................................................................61

6.6.1. Factibilidad Operativa .........................................................................................61

6.6.2. Factibilidad Econmica .......................................................................................62

6.6.3Factibilidad Tcnica .............................................................................................62

6.7 Fundamentacin ......................................................................................................62

6.7.1 Introduccin .........................................................................................................62

6.7.2Qu es la Norma ISO 27001:2005?. ....................................................................63

6.7.3Contenido de la Norma .........................................................................................64

6.7.3.1 Alcance .. ..........................................................................................................64

7/25/2019 Tesis_t715si

10/176

ix

6.7.3.1.1General ...........................................................................................................65

6.7.3.1.2 Aplicacin ......................................................................................................65

6.7.3.2Referencias normativas ......................................................................................65

6.7.3.3 Sistema de gestin de seguridad de la informacin .............................................65

6.7.3.3.1Requerimientos generales...............................................................................65

6.7.3.3.2Modelo Plan-Do-Check-Act (PDCA) ..............................................................66

6.8Metodologa de implementacin. .............................................................................66

6.8.1 Establecer y manejar el SGSI ................................................................................66

6.8.1.1 Establecer el SGSI .............................................................................................66

6.8.2Implementar y operar el SGSI ...............................................................................71

6.8.3 Monitorear y revisar el SGSI ................................................................................71

6.8.4 Mantener y mejorar el SGSI .................................................................................72

6.9 MODELO OPERATIVO.........................................................................................72

6.9.1Desarrollo de la implantacin ...............................................................................72

6.9.1.1 Establecer y manejar el SGSI .............................................................................72

6.9.1.2 Implementar y operar el SGSI ..........................................................................101

6.9.1.3Monitorear y revisar el SGSI............................................................................139

6.9.1.4 Mantener y mejorar el SGSI............................................................................143

6.10 CONCLUSIONES Y RECOMENDACIONES .................................................... 145

6.10.1 Conclusiones .................................................................................................... 145

6.10.2 Recomendaciones ............................................................................................. 145

BIBLIOGRAFIA ........................................................................................................ 146

Informacin bibliogrfica de libros .............................................................................. 146

Informacin bibliogrfica de pginas web ................................................................... 146

GLOSARIO DE TERMINOS ..................................................................................... 148

ANEXO 1Plan de capacitacin para el personal del departamento de sistemas ............. 159

ANEXO 2 ENTREVISTA .......................................................................................... 161

7/25/2019 Tesis_t715si

11/176

x

INDICE DE FIGURAS

Figura N2.4.1: Aspectos que cubre la norma ISO 27001 ..............................................25

Figura N2.4.2: Modelo PDCA aplicado a los procesos SGSI ........................................28

Figura N2.4.3: Ciclo de un Sistema de Informacin .....................................................36

Figura N2.4.4: Modelo bsico de un sistema de comunicaciones ..................................38

Figura N2.4.5: Elementos de un sistema de comunicacin............................................39

Figura N 4.1: Grfico Pregunta 1..................................................................................49

Figura N 4.2: Grfico Pregunta 2..................................................................................51

Figura N 4.3: Grfico Pregunta 3..................................................................................52

Figura N 4.4: Grfico Pregunta 4..................................................................................53

Figura N 4.5: Grfico Pregunta 8..................................................................................56

Figura N 6.1. Clausulas de la Norma ISO 27001 distribuidas en Ciclo de Deming. .......64

Figura N 6.2: Modelo ISO 27001 .................................................................................66

Figura N 6.3: Metodologa para el Anlisis y Evaluacin de Riesgos ............................68

Figura N 6.4: Metodologa para el Anlisis y Evaluacin de Riesgos ............................74

7/25/2019 Tesis_t715si

12/176

xi

INDICE DE TABLAS

Tabla N 4.1: Matriz de resultado de la entrevista ..........................................................48

Tabla N 4.2: Cuadro porcentual Pregunta 1 ..................................................................49

Tabla N 4.3: Cuadro porcentual Pregunta 2 ..................................................................50

Tabla N 4.4: Cuadro porcentual Pregunta 3 ..................................................................52

Tabla N 4.5: Cuadro porcentual Pregunta 4 ..................................................................53

Tabla N 4.6: Cuadro porcentual Pregunta 8 ..................................................................56

Tabla N 6.1: Activos del departamento de sistemas ......................................................76

Tabla N 6.2: Activos importantes del departamento de sistemas ...................................78

Tabla N 6.3: Anlisis y Evaluacin del riesgo. .............................................................84

Tabla N 6.4: Seleccin de controles..............................................................................95

Tabla N 6.5: Declaracin de aplicabilidad .................................................................. 100

Tabla N6.6: Mtricas de la ISO 27001 ........................................................................ 136

7/25/2019 Tesis_t715si

13/176

xii

RESUMEN EJECUTIVO

Dada la evolucin de la Tecnologa de la informacin y su relacin directa con los

objetivos del negocio de las Organizaciones, el universo de amenazas yvulnerabilidades crece por lo tanto es necesario proteger uno de los activos ms

importantes de la Organizacin, la informacin, garantizando siempre la

disponibilidad, la confidencialidad e integridad de la misma. La forma ms

adecuada para proteger los activos de informacin es mediante una correcta

gestin del riesgo, logrando as identificar y focalizar esfuerzos hacia aquellos

elementos que se encuentren ms expuestos.

El Departamento de Sistemas de la Cooperativa de Ahorro y Crdito San

Francisco Ltda., es un pilar fundamental para la Cooperativa ya que opera y

gestiona los sistemas de informacin y de comunicacin por lo tanto deben

brindar seguridad y confiabilidad de los mismos y as satisfacer a los usuarios de

los sistemas de informacin, es por ello que se ha adoptado el uso de estndares

para mejorar y mantener la seguridad de la informacin.

El presente proyecto rene la informacin necesaria para la implementacin de un

Sistema de Gestin de Seguridad de la Informacin basado en la norma ISO

27001, se ha concebido esta norma para garantizar la seleccin de controles de

seguridad adecuados y proporcionales. Ello ayuda a proteger los activos de

informacin y otorga confianza a cualquiera de las partes interesadas, sobre todo a

los clientes. La norma adopta un enfoque por procesos para establecer, implantar,

operar, supervisar, revisar, mantener y mejorar un SGSI.

7/25/2019 Tesis_t715si

14/176

xiii

INTRODUCCIN

El propsito de la presente investigacin es elaborar una solucin informtica que

mantenga y mejore la seguridad de los sistemas de informacin y comunicacin

en la Cooperativa de Ahorro y Crdito San Francisco Ltda., basada en el

estndar ISO 27001.

La investigacin se ha elaborado de acuerdo a la organizacin de informacin que

se detalla a continuacin:

En el captulo I EL PROBLEMA DE INVESTIGACIN, se identifica el

problema a investigar, adems se plantea la justificacin y los objetivos. Es decir

el marco referencial, se expone la situacin actual en cuanto a los riesgos

identificados que afectan a la informacin, por lo que es de mayor importancia

adoptar medidas de seguridad para proteger la informacin.

En el captulo II MARCO TERICO, se presentan los antecedentes

investigativos, la fundamentacin legal, hiptesis y el sealamiento de las

variables de la hiptesis.

En el captulo III METODOLOGA, se determina la metodologa de

investigacin a utilizar, el enfoque, la modalidad bsica de la investigacin, el tipo

de investigacin, la poblacin y muestra.

En el captulo IV ANLISIS E INTERPRETACIN DE LOS

RESULTADOS, se aplican los instrumentos de recoleccin de informacin en

este caso la entrevista para determinar las condiciones actuales en cuanto a la

seguridad de la informacin, luego de eso se procede al anlisis e interpretacin

de los resultados de la informacin obtenida.

En el captulo V CONCLUSIONES Y RECOMENDACIONES,se presentalas conclusiones y recomendaciones del anlisis e interpretacin de los resultados

realizados en el capitulo anterior.

En el captulo VI PROPUESTA,se presenta el desarrollo de la propuesta ante

el problema investigado. Es decir la aplicacin del Estndar ISO 27001 en el

Departamento de Sistemas de la Cooperativa de Ahorro y Crdito San Francisco

Ltda.

7/25/2019 Tesis_t715si

15/176

1

CAPTULO I

EL PROBLEMA DE INVESTIGACIN

1.1 Tema

Norma de seguridad informtica ISO 27001 para mejorar la confidencialidad,

integridad y disponibilidad de los sistemas de informacin y comunicacin en eldepartamento de sistemas de la Cooperativa de Ahorro y Crdito San Francisco

Ltda.

1.2 Planteamiento del Problema

1.2.1 Contextualizacin:

En la actualidad los sistemas de informacin y comunicacin son usados por

diversas empresas, organizaciones e instituciones que existen mundialmente;

convirtindose en un fenmeno social mediante un imparable proceso de

comercializacin. En la mayora de las empresas e instituciones, sus sistemas

de informacin son los activos por excelencia, imprescindibles para su propia

existencia y supervivencia; de esta manera reconocen el grado de criticidad

que los sistemas de informacin representan para su funcionamiento y el alto

grado de vulnerabilidad inherente a la propia naturaleza de los mismos, y lo

que es ms grave, la insuficiencia de las polticas y normas de seguridad

implantadas a la fecha. Con frecuencia somos testigos y/o vctimas de ataques

de virus, de crackers, e incluso de empleados o usuarios maliciosos que

acceden a informacin confidencial y la utilizan de forma perjudicial para la

empresa. En muchas ocasiones somos conscientes de los daos causados

cuando es demasiado tarde o quiz nunca.

7/25/2019 Tesis_t715si

16/176

2

En el Ecuador se encuentran instituciones que procesan datos a travs de

sistemas de informacin y comunicaciones muchas veces no tienen un buen

desempeo, ni las seguridades necesarias, ni una correcta utilizacin de los

mismos, por lo que se requiere implementar una serie de mecanismos para

mejorar el uso y la disponibilidad de los mismos. Las instituciones tanto

pblicas como privadas en una gran mayora manejan su informacin por

medios de comunicaciones, as logran tener conectividad e interrelacionarse

ya sea con otras o con sus clientes ahorrando de esta manera tiempo y recursos

econmicos. En nuestra provincia una gran mayora de organizaciones trabaja

con sistemas de informacin y comunicacin, pero en algunas no disponen de

controles adecuados para asegurar y mantener la confidencialidad, integridady disponibilidad de los mismos.

La Cooperativa de Ahorro y Crdito San Francisco Ltda., es una Institucin

que cada vez es ms consciente que la informacin que se maneja debe estar

bien protegida, as tambin de ser capaces de identificar y gestionar los riesgos

de seguridad de la informacin y esto se lleva a cabo a travs de la definicin

de un Sistema de Gestin de Seguridad de la Informacin mediante de la

implementacin de la norma de seguridad informtica ISO 27001.

7/25/2019 Tesis_t715si

17/176

3

1.2.2 rbol del Problema

Figura N1.1:rbol del ProblemaElaborado por:Tania Guachi

Deficiente control en la confidencialidad, integridad y disponibilidad delos sistemas de informacin y de comunicaciones del Departamento desistemas de la Coo erativa de Ahorro Crdito San Francisco Ltda.

Quebrantamiento depolticas deseguridad que

afecten directamentea la integridad de la

informacin de laCoo erativa.

Incompetencia porparte de la

Cooperativa.

Prdida y/oalteracin de

informacin

Acceso no autorizadopara la informacin

confidencial eimportante para la

Cooperativa

Carencia deconocimientos sobre

las ventajas ybeneficios que ofrece

la implementacin deestndares.

Falta de inters porparte de las

autoridades.

Falta de tiempo porparte de los

trabajadores deldepartamento de

sistemas

Escaso personalcapacitado destinado

para realizar

auditorasinformticas.

7/25/2019 Tesis_t715si

18/176

4

1.2.1 Anlisis Crtico

En el Departamento de Sistemas de la Cooperativa de Ahorro y Crdito San

Francisco Ltda. no se ha implementado la norma de seguridad informticaISO 27001 para asegurar y mantener la confidencialidad, integridad y

disponibilidad de sus sistema de informacin y de comunicacin, esto se debe

a que no existe personal capacitado para la actividad destinada lo que

ocasionara que la Cooperativa exponga la informacin de manera crtica

consiguiendo prdidas econmicas a futuro, a ms de esto se presenta un

desconocimiento de las ventajas que ofrece la implementacin de estndares

como es de la ISO 27001 provocando que la Cooperativa sea muy vulnerable

para diversos atacantes que quieran afectar con la integridad de la informacin

de la misma directamente a sus recursos informticos causando daos y

perjuicios.

1.2.2 Prognosis

De continuar esta situacin la Cooperativa se mantendra de forma tradicional

y expuesta a tener pedidas econmicas, robo o alteracin de la informacin.

Durante el tiempo en que la Cooperativa no disponga de adecuados

mecanismos de controles de seguridad sobre los sistemas de informacin y de

comunicacin se lograra que los atacantes violen fcilmente las polticas de

seguridad afectando la integridad de la informacin de la Cooperativa y

ocasionando desprestigio y no competitividad de la misma.

1.3Formulacin del Problema

Qu incidencia tiene la Implementacin de la norma de seguridad informtica

ISO 27001 en la confidencialidad, integridad y disponibilidad de los sistemas de

informacin y comunicacin en el Departamento de Sistemas de la Cooperativa de

Ahorro y Crdito San Francisco Ltda.?

7/25/2019 Tesis_t715si

19/176

5

1.4Preguntas Directrices

1.4.1 Se aplican medidas de seguridad informtica en el departamento de

sistemas de la Cooperativa?

1.4.2 En qu nivel de confiabilidad, integridad y disponibilidad se encuentran

los sistemas de informacin y comunicacin del departamento de sistemas

de la Cooperativa?

1.4.3 De qu manera se mejorara la confidencialidad, integridad y

disponibilidad de los sistemas de informacin y comunicacin en el

departamento de sistemas de la Cooperativa?

1.5Delimitacin del Problema

El presente proyecto abarcara lo que corresponde a la Implantacin de la norma de

seguridad informtica ISO 27001 para mantener la confidencialidad, integridad y

disponibilidad de los sistemas de informacin y comunicacin. Se lo realizara en

el Departamento de Sistemas de la Cooperativa de Ahorro y Crdito San

Francisco Ltda., abarcando un periodo de duracin de seis meses dando iniciodesde la fecha de aprobacin del proyecto.

1.6Justificacin.

Hoy en da los sistemas de informacin y de comunicacin estn ocupando una

amplia rea en el sector empresarial, institucional entre otros, los mismos que

requieren que la informacin que se maneja debe ser confidencial, adems que se

cuente con polticas de seguridad para acceder a la misma.

La realizacin de este trabajo de investigacin es de gran importancia porque se

puede vincular la teora con la prctica, ya que gracias a esto se puede

complementar el desarrollo de este proyecto y los resultados sern de gran ayuda

en el desarrollo tecnolgico logrando que la cooperativa cuente con normativas

adecuadas y seguras sobre la proteccin de datos, privacidad y control de tcnicas

de informacin.

7/25/2019 Tesis_t715si

20/176

6

Una de las ventajas de la implantacin de la norma de seguridad informtica ISO

27001 es la reduccin de gastos, generalmente se considera a la seguridad de la

informacin como un costo sin una ganancia financiera evidente. Sin embargo,

hay una ganancia financiera si se logra disminuir los gastos ocasionados por

incidentes. Probablemente s se produzcan dentro de la cooperativa interrupciones

de servicio o espordicos filtrados de datos, o tengan empleados descontentos, o

ex empleados descontentos que afecten directamente a la integridad de la

informacin de la misma.

La norma de seguridad informtica ISO 27001 ayudar al ordenamiento del

negocio por lo tanto obligar a definir de forma muy precisa tanto las

responsabilidades como las obligaciones que hay que hacer y cumplir y, de esta

forma, se ayudar a reforzar la organizacin interna.

El uso de estndares como de la ISO 27001 es y ser adoptada por varias

instituciones, organizaciones y empresas las cuales manejan sistemas de

informacin y de comunicacin lo cual permitir mantener un buen rendimiento y

eficacia en los mismos logrando seguridad en la informacin.

El proyecto se realizar ya que se cuenta con informacin para el desarrollo del

mismo, que permitir la implantacin de la norma de seguridad informtica ISO

27001 en el Departamento de Sistemas de la Cooperativa de Ahorro y Crdito

San Francisco Ltda., permitiendo mejorar la confidencialidad, integridad y

disponibilidad de los sistemas de informacin y comunicacin.

1.7Objetivos

1.7.1 Objetivo General

Implantar la norma de seguridad informtica ISO 27001 para mejorar la

confidencialidad, integridad y disponibilidad de los sistemas de

informacin y comunicacin en el Departamento de Sistemas de la

Cooperativa de Ahorro y Crdito San Francisco Ltda.

7/25/2019 Tesis_t715si

21/176

7

1.7.2 Objetivos Especficos

Investigar las normas y/o procesos de seguridad informtica aplicadas en

el Departamento de Sistemas de la Cooperativa de Ahorro y Crdito SanFrancisco Ltda.

Analizar los parmetros de confidencialidad, integridad y disponibilidad

de los sistemas de informacin y comunicacin del Departamento de

Sistemas de la Cooperativa de Ahorro y Crdito San Francisco Ltda.

Implantar la norma de seguridad informtica ISO 27001 para operar,

monitorear, revisar, mantener y mejorar el Sistema de Gestin de

Seguridad de la Informacin (SGSI) del Departamento de Sistemas de laCooperativa.

7/25/2019 Tesis_t715si

22/176

8

CAPITULO II

MARCO TERICO

2.1Antecedentes Investigativos

Revisado archivos investigativos desde de las fuentes bibliogrficas de Internet seha encontrado los siguientes trabajos:

Implementacin del primer Sistema de Gestin de Seguridad de la Informacin,

en el Ecuador, certificado bajo la norma ISO 27001:2005 elaborado por Jos

Alfonso Aranda Segovia trabajo realizado en Guayaquil-Ecuador en el ao 2009

en cuyas conclusiones dice lo siguiente:

La norma ISO 27001 est orientada al tratamiento de la seguridad de lainformacin mediante la gestin del riesgo, tanto para sus activos como para sus

procesos; esto garantiza que ante recursos limitados las inversiones sean bien

focalizadas, para lograr ello se necesita de la concientizacin de la compaa ya

que es un pilar fundamental de esta norma, por lo cual las organizaciones deben

ingeniosamente buscar y adoptar mecanismos que permitan que se despierte un

inters y compromiso por parte de todos los empleados. Adems al tener

implantado un SGSI certificado bajo la norma ISO 27001:2005 no significa contarcon seguridad mxima en la informacin de la organizacin sino que esto

representa que la empresa cumple con los requerimientos y mejores prcticas

establecidas en dicha norma para que su SGSI actual funcione correctamente y

adems pueda evolucionar hacia la sofisticacin.

Implementacin de un Sistema de Gestin de Seguridad de la Informacin

basado en la norma ISO 27001, para la Intranet de la Corporacin Metropolitana

de Salud elaborado por: Flor Mara lvarez Zurita y Pamela Anabel Garca

7/25/2019 Tesis_t715si

23/176

9

Guzmn Segovia trabajo realizado en Quito-Ecuador en el ao 2007 en cuyas

conclusiones dice lo siguiente:

El Sistema de Gestin de Seguridad de la Informacin se define para cadaorganizacin en base a los riesgos que est expuesta y los aspectos intrnsecos de

su funcionamiento, y debe alinearse con la actividad de la organizacin; para

realizar de forma estructurada, sistemtica y metdica la gestin de la seguridad

de Tecnologas de Informacin; una adecuada monitorizacin de los recursos de la

red permite determinar posibles cuellos de botella que derivaran en fallos del

sistema y de seguridad, dando tiempo a planificar las ampliaciones o

actualizaciones del sistema con la suficiente antelacin; no se considera necesario

extender el SGSI a toda la organizacin, lo primordial es centrarse en los procesos

principales de la organizacin donde la parte de las actividades relacionadas con

la gestin de la informacin, que suele coincidir con las reas de sistemas de la

informacin donde la seguridad de la informacin que se gestiona es crtico para

las actividades del desarrollo del negocio. Mediante la planificacin se logra una

adecuada implementacin del SGSI, en donde se analiza el negocio para

determinar los activos ms importantes, posteriormente se realiza un anlisis de

los riesgos que las amenazas y vulnerabilidades pueden generar, los cuales sern

gestionados con controles apropiadamente implementados y criterios establecidos;

asimismo para el establecimiento de seguridad de la informacin se considera tres

pilares fundamentales: tecnologa, procesos y las personas: Las empresas

comnmente invierten grandes sumas de dinero en tecnologa y definicin de

procesos, y se han descuidado del personal de la empresa convirtindose as en el

eslabn ms dbil de la cadena de seguridad, por esta razn es fundamental

concienciar y fomentar la cultura de la seguridad de la informacin.

2.2Fundamentacin Legal

2.2.1 Ley de comercio electrnico, firmas electrnicas y mensajes de

datos.

7/25/2019 Tesis_t715si

24/176

10

TTULO PRELIMINAR

Artculo 1.- Objeto de la Ley .- Esta Ley regula los mensajes de datos, la

firma electrnica, los servicios de certificacin, la contratacin electrnica ytelemtica, la prestacin de servicios electrnicos, a travs de redes de

informacin, incluido el comercio electrnico y la proteccin a los usuarios de

estos sistemas.

TTULO I

DE LOS MENSAJES DE DATOS

CAPTULO I

PRINCIPIOS GENERALES

Artculo 2.- Reconocimiento jurdico de los mensajes de datos.- Los

mensajes de datos tendrn igual valor jurdico que los documentos escritos. Su

eficacia, valoracin y efectos se someter al cumplimiento de lo establecido en

esta Ley y su reglamento.

Artculo 3.- Incorporacin por remisin.-Se reconoce validez jurdica a la

informacin no contenida directamente en un mensaje de datos, siempre quefigure en el mismo, en forma de remisin o de anexo accesible mediante un

enlace electrnico directo y su contenido sea conocido y aceptado

expresamente por las partes.

Artculo 4.- Propiedad Intelectual.- Los mensajes de datos estarn

sometidos a las leyes, reglamentos y acuerdos internacionales relativos a la

propiedad intelectual.

Artculo 5.- Confidencialidad y reserva.- Se establecen los principios de

confidencialidad y reserva para los mensajes de datos, cualquiera sea su

forma, medio o intencin. Toda violacin a estos principios, principalmente

aquellas referidas a la intrusin electrnica, transferencia ilegal de mensajes de

datos o violacin del secreto profesional, ser sancionada conforme a lo

dispuesto en esta Ley y dems normas que rigen la materia.

7/25/2019 Tesis_t715si

25/176

11

Artculo 6.- Informacin escrita.-Cuando la Ley requiera u obligue que la

informacin conste por escrito, este requisito quedar cumplido con un

mensaje de datos, siempre que la informacin que ste contenga sea accesible

para su posterior consulta.

Artculo 7.- Informacin original.-Cuando la Ley requiera u obligue que la

informacin sea presentada o conservada en su forma original, este requisito

quedar cumplido con un mensaje de datos, si siendo requerido conforme a la

Ley, puede comprobarse que ha conservado la integridad de la informacin, a

partir del momento en que se gener por primera vez en su forma definitiva,

como mensaje de datos. Se considera que un mensaje de datos permanece

ntegro, si se mantiene completo e inalterable su contenido, salvo algn

cambio de forma, propio del proceso de comunicacin, archivo o presentacin.

Artculo 8.- Conservacin de los mensajes de datos.- Toda informacin

sometida a esta Ley, podr ser conservada; ste requisito quedar cumplido

mediante el archivo del mensaje de datos, siempre que se renan las siguientes

condiciones:

Que la informacin que contenga sea accesible para su posterior

consulta;

Que sea conservado con el formato en el que se haya generado,

enviado o recibido, o con algn formato que sea demostrable que

reproduce con exactitud la informacin generada, enviada o recibida;

Que se conserve todo dato que permita determinar el origen, el destino

del mensaje, la fecha y hora en que fue creado, generado, procesado,

enviado, recibido y archivado; y,

Que se garantice su integridad por el tiempo que establezca en el

Reglamento a esta Ley.

Toda persona podr cumplir con la conservacin de mensajes de datos, usando

los servicios de terceros, siempre que se cumplan las condiciones mencionadas

en este artculo.

7/25/2019 Tesis_t715si

26/176

12

La informacin que tenga por nica finalidad facilitar el envo o recepcin del

mensaje de datos, no ser obligatorio el cumplimiento de lo establecido en los

literales anteriores.

Artculo 9.- Proteccin de datos.- Para la elaboracin, transferencia o

utilizacin de bases de datos, obtenidas directa o indirectamente del uso o

transmisin de mensajes de datos, se requerir el consentimiento expreso del

titular de stos, quien podr seleccionar la informacin a compartirse con

terceros.

La recopilacin y uso de datos personales responder a los derechos de

privacidad, intimidad y confidencialidad garantizados por la Constitucin

Poltica de la Repblica y esta Ley, los cuales podrn ser utilizados o

transferidos nicamente con autorizacin del titular u orden de autoridad

competente.

No ser preciso el consentimiento para recopilar datos personales de fuentes

accesibles al pblico, cuando se recojan para el ejercicio de las funciones

propias de la administracin pblica, en el mbito de su competencia, y

cuando se refieran a personas vinculadas por una relacin de negocios, laboral,

administrativa o contractual y sean necesarios para el mantenimiento de las

relaciones o para el cumplimiento del contrato.

El consentimiento a que se refiere este artculo podr ser revocado a criterio

del titular de los datos; la revocatoria no tendr en ningn caso efecto

retroactivo.

Artculo 11.- Envo y recepcin de los mensajes de datos.- Salvo pacto en

contrario, se presumir que el tiempo y lugar de emisin y recepcin del

mensaje de datos, son los siguientes:

Momento de emisin del mensaje de datos.-Cuando el mensaje de

datos ingrese en un sistema de informacin o red electrnica que no

est bajo control del emisor o de la persona que envi el mensaje en

nombre de ste o del dispositivo electrnico autorizado para el efecto.

7/25/2019 Tesis_t715si

27/176

13

Momento de recepcin del mensaje de datos.-Cuando el mensaje de

datos ingrese al sistema de informacin o red electrnica sealado por

el destinatario.

Si el destinatario designa otro sistema de informacin o red electrnica, el

momento de recepcin se presumir aquel en que se produzca la recuperacin

del mensaje de datos. De no haberse sealado un lugar preciso de recepcin, se

entender que sta ocurre cuando el mensaje de datos ingresa a un sistema de

informacin o red electrnica del destinatario, independientemente de haberse

recuperado o no el mensaje de datos; y,

Lugares de envo y recepcin.- Los acordados por las partes, sus

domicilios legales o los que consten en el certificado de firma

electrnica, del emisor y del destinatario. Si no se los pudiere

establecer por estos medios, se tendrn por tales, el lugar de trabajo, o

donde desarrollen el giro principal

Artculo 10.- Procedencia e identidad de un mensaje de datos.- Salvo

prueba en contrario se entender que un mensaje de datos proviene de quien loenva y, autoriza a quien lo recibe, para actuar conforme al contenido del

mismo, cuando de su verificacin exista concordancia entre la identificacin

del emisor y su firma electrnica, excepto en los siguientes casos:

Si se hubiere dado aviso que el mensaje de datos no proviene de quien

consta como emisor; en este caso, el aviso se lo har antes de que la

persona que lo recibe acte conforme a dicho mensaje. En caso

contrario, quien conste como emisor deber justificar plenamente que

el mensaje de datos no se inici por orden suya o que el mismo fue

alterado; y,

Si el destinatario no hubiere efectuado diligentemente las

verificaciones correspondientes o hizo caso omiso de su resultado.

7/25/2019 Tesis_t715si

28/176

14

Artculo 11.- Envo y recepcin de los mensajes de datos.- Salvo pacto en

contrario, se presumir que el tiempo y lugar de emisin y recepcin del

mensaje de datos, son los siguientes:

Momento de emisin del mensaje de datos.- Cuando el mensaje de

datos ingrese en un sistema de informacin o red electrnica que no

est bajo control del emisor o de la persona que envi el mensaje en

nombre de ste o del dispositivo electrnico autorizado para el efecto.

Momento de recepcin del mensaje de datos.- Cuando el mensaje de

datos ingrese al sistema de informacin o red electrnica sealado por

el destinatario. Si el destinatario designa otro sistema de informacin ored electrnica, el momento de recepcin se presumir aquel en que se

produzca la recuperacin del mensaje de datos. De no haberse sealado

un lugar preciso de recepcin, se entender que sta ocurre cuando el

mensaje de datos ingresa a un sistema de informacin o red electrnica

del destinatario, independientemente de haberse recuperado o no el

mensaje de datos; y,

Lugares de envo y recepcin.- Los acordados por las partes, sus

domicilios legales o los que consten en el certificado de firma

electrnica, del emisor y del destinatario. Si no se los pudiere

establecer por estos medios, se tendrn por tales, el lugar de trabajo, o

donde desarrollen el giro principal de sus actividades o la actividad

relacionada con el mensaje de datos.

Artculo 12.- Duplicacin del mensaje de datos.- Cada mensaje de datos

ser considerado diferente. En caso de duda, las partes pedirn laconfirmacin del nuevo mensaje y tendrn la obligacin de verificar

tcnicamente la autenticidad del mismo. [Extrado desde

http://sinar.gov.ec/downloads/L_comercio.pdf]

7/25/2019 Tesis_t715si

29/176

15

2.2.2 Ley de Propiedad Intelectual

TITULO PRELIMINAR

Art. 1.- El Estado reconoce, regula y garantiza la propiedad intelectual

adquirida de conformidad con la ley, las Decisiones de la Comisin de la

Comunidad Andina y los convenios internacionales vigentes en el Ecuador.

La propiedad intelectual comprende:

Los derechos de autor y derechos conexos.

La propiedad industrial, que abarca, entre otros elementos, los siguientes:

Las invenciones;

Los dibujos y modelos industriales;

Los esquemas de trazado (topografas) de circuitos integrados;

La informacin no divulgada y los secretos comerciales e industriales;

Las marcas de fbrica, de comercio, de servicios y los lemas

comerciales;

Las apariencias distintivas de los negocios y establecimientos de

comercio;

Los nombres comerciales;

Las indicaciones geogrficas; e,

Cualquier otra creacin intelectual que se destine a un uso agrcola,

industrial o comercial.

Las obtenciones vegetales.

7/25/2019 Tesis_t715si

30/176

16

Las normas de esta Ley no limitan ni obstaculizan los derechos consagrados

por el Convenio de Diversidad Biolgica, ni por las leyes dictadas por el

Ecuador sobre la materia.

SECCIN I

PRECEPTOS GENERALES

Programa de ordenador (software): Toda secuencia de instrucciones o

indicaciones destinadas a ser utilizadas, directa o indirectamente, en un

dispositivo de lectura automatizada, ordenador, o aparato electrnico o similar

con capacidad de procesar informacin, para la realizacin de una funcin otarea, u obtencin de un resultado determinado, cualquiera que fuere su forma

de expresin o fijacin. El programa de ordenador comprende tambin la

documentacin preparatoria, planes y diseos, la documentacin tcnica, y los

manuales de uso.

Publicacin:Produccin de ejemplares puesto al alcance del pblico con el

consentimiento del titular del respectivo derecho, siempre que la

disponibilidad de tales ejemplares permita satisfacer las necesidades

razonables del pblico, teniendo en cuenta la naturaleza de la obra.

SECCIN II

OBJETO DEL DERECHO DE AUTOR

Art. 8.- La proteccin del derecho de autor recae sobre todas las obras del

ingenio, en el mbito literario o artstico, cualquiera que sea su gnero, formade expresin, mrito o finalidad. Los derechos reconocidos por el presente

Ttulo son independientes de la propiedad del objeto material en el cual est

incorporada la obra y su goce o ejercicio no estn supeditados al requisito del

registro o al cumplimiento de cualquier otra formalidad.

SECCIN V

DISPOSICIONES ESPECIALES SOBRE CIERTAS OBRAS

7/25/2019 Tesis_t715si

31/176

17

PARGRAFO PRIMERO DE LOS PROGRAMAS DE ORDENADOR

Art. 28.- Los programas de ordenador se consideran obras literarias y se

protegen como tales. Dicha proteccin se otorga independientemente de quehayan sido incorporados en un ordenador y cualquiera sea la forma en que

estn expresados, ya sea en forma legible por el hombre (cdigo fuente) o en

forma legible por mquina (cdigo objeto), ya sean programas operativos y

programas aplicativos, incluyendo diagramas de flujo, planos, manuales de

uso, y en general, aquellos elementos que conformen la estructura, secuencia y

organizacin del programa.

Art. 29.- Es titular de un programa de ordenador, el productor, esto es la

persona natural o jurdica que toma la iniciativa y responsabilidad de la

realizacin de la obra. Se considerar titular, salvo prueba en contrario, a la

persona cuyo nombre conste en la obra o sus copias de la forma usual.

Dicho titular est adems legitimado para ejercer en nombre propio los

derechos morales sobre la obra, incluyendo la facultad para decidir sobre su

divulgacin.

El productor tendr el derecho exclusivo de realizar, autorizar o prohibir la

realizacin de modificaciones o versiones sucesivas del programa, y de

programas derivados del mismo.

Las disposiciones del presente artculo podrn ser modificadas mediante

acuerdo entre los autores y el productor.

Art. 30.- La adquisicin de un ejemplar de un programa de ordenador que

haya circulado lcitamente, autoriza a su propietario a realizar exclusivamente:

Una copia de la versin del programa legible por mquina (cdigo objeto) con

fines de seguridad o resguardo;

Fijar el programa en la memoria interna del aparato, ya sea que dicha fijacin

desaparezca o no al apagarlo, con el nico fin y en la medida necesaria para

utilizar el programa; y,

7/25/2019 Tesis_t715si

32/176

18

Salvo prohibicin expresa, adaptar el programa para su exclusivo uso

personal, siempre que se limite al uso normal previsto en la licencia. El

adquirente no podr transferir a ningn ttulo el soporte que contenga el

programa as adaptado, ni podr utilizarlo de ninguna otra forma sin

autorizacin expresa, segn las reglas generales.

Se requerir de autorizacin del titular de los derechos para cualquier otra

utilizacin, inclusive la reproduccin para fines de uso personal o el

aprovechamiento del programa por varias personas, a travs de redes u otros

sistemas anlogos, conocidos o por conocerse.

Art. 31.- No se considerar que exista arrendamiento de un programa de

ordenador cuando ste no sea el objeto esencial de dicho contrato. Se

considerar que el programa es el objeto esencial cuando la funcionalidad del

objeto materia del contrato, dependa directamente del programa de ordenador

suministrado con dicho objeto; como cuando se arrienda un ordenador con

programas de ordenador instalados previamente.

Art. 32.- Las excepciones al derecho de autor establecidas en los artculos 30 y

31 son las nicas aplicaciones respecto a los programas de ordenador.

Las normas contenidas en el presente Prrafo se interpretarn de manera que

su aplicacin no perjudique la normal explotacin de la obra o los intereses

legtimos del titular de los derechos. [Extrado desde

http://www.cetid.abogados.ec/archivos/80.pdf]

7/25/2019 Tesis_t715si

33/176

19

2.3Grfica de inclusin de las Categoras Fundamentales

Figura N2.1:Categora Fundamental Variable IndependienteElaborado por:Tania Guachi

F igura N2.2:Categora Fundamental Variable DependienteElaborado por:Tania Guachi

Control deCalidad

NormasISO

Norma deSeguridad

InformticaISO 27001

Software

Aplicacionesy Redes

Informticas

Sistemas deInformacin yComunicacin

7/25/2019 Tesis_t715si

34/176

20

2.3.1 Constelacin de Ideas

F igura N. 2.3.Constelacin de ideas de la variable independienteElaborado por:Tania Guachi

F igura N. 2.4.Constelacin de ideas de la variable dependienteElaborado por:Tania Guachi

Norma deSeguridad

InformticaISO 27001

AuditoraInformtica

EstndaresISO

Sistema deGestin de

Seguridad dela Informacin

Control deRiesgos

Polticas deSeguridad

SeguridadInformtica

Sistemas deInformacin y

comunicacin

AplicacionesInformticas

Sistemas deComunicacin

Redes deComputadoras

SistemaOperativo

Software

7/25/2019 Tesis_t715si

35/176

21

2.4 Categoras Fundamentales

2.4.1 Control de Calidad

Definicin de Control de Calidad

Es el conjunto de tcnicas y actividades de accin operativa que se utilizan,

actualmente, para evaluar los requisitos que se deben cumplir con estndares

respecto de la calidad del producto o servicio, cuya responsabilidad recae,

especficamente, en el trabajador competente. Un factor importante para el

funcionamiento de una organizacin es la calidad de sus productos y servicios.

El proceso de control tiene la naturaleza de un ciclo de retroalimentacin.

El control incluye la siguiente secuencia universal de pasos:

Seleccionar el sujeto de control: esto es, escoger lo que se quiere

regular.

Elegir una unidad de medida.

Establecer una meta para el sujeto de control.

Crear un sensor que pueda medir el sujeto de control en trminos de la

unidad de medida.

Medir el desempeo real.

Interpretar la diferencia entre el desempeo real y la meta.

Tomar medidas (si es necesario) sobre la diferencia.

La anterior secuencia de pasos es universal, es decir, se aplica al control de

costos, al control de inventario, al control de calidad, etctera.

El seguimiento detallado de los procesos dentro de una empresa para mejorar

la calidad del producto y/o servicio se lo realiza mediante la implantacin de

7/25/2019 Tesis_t715si

36/176

22

programas, mecanismo, herramientas y/o tcnicas de la empresa para la

mejora de la calidad de sus productos, servicios y productividad.

El control de la calidad es una estrategia para asegurar el cuidado y mejoracontinua en la calidad ofrecida consiguiendo cumplir los objetivos de la

empresa.

Ventajas de establecer procesos de control de calidad

Muestra el orden, la importancia y la interrelacin de los distintos

procesos de la empresa.

Se realiza un seguimiento ms detallado de las operaciones que se

realizan dentro de la empresa.

Se detectan los problemas antes y se corrigen ms fcilmente de

manera eficiente.

2.4.2 NORMAS ISO

Norma

Una norma es un modelo, un patrn, ejemplo o criterio a seguir que tiene por

finalidad definir las caractersticas que deben poseer un objeto y los productos

que proporcionan una compatibilidad con otros productos y as podrn ser

usados a nivel internacional.

ISO

La ISO (International Standarization Organization) es una entidad

internacional encargada de coordinar y unificar las normas nacionales, es decir

ayuda a establecer la normalizacin en el mundo.

Definicin de Norma ISO

Norma ISO se denomina a un conjunto de normas en las que se establecen los

diferentes modelos de aseguramiento de calidad, facilitando as la

7/25/2019 Tesis_t715si

37/176

23

coordinacin y unificacin de las normas internacionales e incorporando la

idea de estandarizacin logrando beneficios para los productores y

compradores de bienes y servicios.

Las normas ISO surgieron en el ao 1987 por la Organizacin Internacional de

Normalizacin (International Standard Organization ISO), formada por ms de

90 Organismos de Normalizacin, aparecieron como consecuencia de la

internacionalizacin de los mercados, logrando la fortaleza de los mismos y la

necesidad de incrementar la competitividad de productos y servicios.

Estructura de la organizacin.- La Organizacin ISO est compuesta por tres

tipos de miembros:

Miembros natos, uno por pas, recayendo la representacin en el

organismo nacional ms representativo.

Miembros correspondientes, de los organismos de pases en vas de

desarrollo y que todava no poseen un comit nacional de

normalizacin. No toman parte activa en el proceso de normalizacin

pero estn puntualmente informados acerca de los trabajos que les

interesen.

Miembros suscritos, pases con reducidas economas a los que se les

exige el pago de tasas menores que a los correspondientes.

[Extrado desde

http://es.wikipedia.org/wiki/Organizaci%C3%B3n_Internacional_para_la_Estandarizaci%C3

%B3n]

La familia ISO

Las series de normas ISO relacionadas con la calidad constituyen lo que se

denomina familia de normas, las que abarcan distintos aspectos relacionados

con la calidad:

7/25/2019 Tesis_t715si

38/176

24

ISO 9000: Sistemas de Gestin de Calidad

Fundamentos, vocabulario, requisitos, elementos del sistema de

calidad, calidad en diseo, fabricacin, inspeccin, instalacin, venta,

servicio post venta, directrices para la mejora del desempeo.

ISO 10000:Guas para implementar Sistemas de Gestin de Calidad

(SGC)/ Reportes Tcnicos.- Gua para planes de calidad, para la

gestin de proyectos, para la documentacin de los SGC, para la

gestin de efectos econmicos de la calidad, para aplicacin de

tcnicas estadsticas en las Normas ISO 9000. Requisitos de

aseguramiento de la calidad para equipamiento de medicin,aseguramiento de la medicin.

ISO 14000: Sistemas de Gestin Ambiental de las Organizaciones.

Principios ambientales, etiquetado ambiental, ciclo de vida del

producto, programas de revisin ambiental, auditoras.

ISO 19011:Directrices para la Auditora de los SGC y/o Ambiental

[Extrado desdehttp://www.unlu.edu.ar/~ope20156/normasiso.htm]

Importancia

Bsicamente una norma ISO sirve como garanta de calidad, debido a la

presin que ejerce el cliente sobre la necesidad de adquirir un producto de

calidad. Su importancia radica en la confianza que se genera entre el

proveedor, el producto y el cliente. Por otro lado sirve de ayuda para que una

empresa, organizacin, cooperativa o entidad se vuelva competitiva, ya que siun tercero realiza una audicin y comprueba que los productos y sistemas son

buenos, pues los comprarn esto conllevar a tener beneficios dentro de la

organizacin ya que incrementar la productividad.

2.4.3 Norma de seguridad informtica ISO 27001

El estndar para la seguridad de la informacin ISO/IEC 27001 fue aprobado y

publicado como estndar internacional en octubre de 2005 por International

7/25/2019 Tesis_t715si

39/176

25

Organization for Standardization (ISO) y por la comisin International

Electrotechnical Commission (IEC).

Los objetivos de seguridad pueden variar considerablemente dependiendo delsector en el que se encuentre la organizacin, pero de forma general estos

objetivos estn directamente ligados a la seguridad de procesos organizativos,

procesos de produccin, al ciclo de vida de la informacin y obviamente, al

cumplimiento de la legislacin vigente.

F igura N2.4.1: Aspectos que cubre la norma ISO 27001Fuente:http://www.tcpsi.com/vermas/ISO_27001.htm

La norma adopta una aproximacin de proceso al establecimiento, a la

implementacin, a la operacin, al monitoreo, a la revisin, al mantenimiento

y a la mejora del Sistema de Gestin de Seguridad de la Informacin (SGSI)

de una organizacin.

BS 7799 es un estndar publicado originalmente por Grupo BSI en 1995. Fue

escrito por el Reino Unido Departamento de Gobierno de Comercio e

Industria (DTI), y consisti en varias partes.

La primera parte, que contiene las mejores prcticas para la Gestin de

Seguridad de la Informacin, fue revisado en 1998, despus de una larga

7/25/2019 Tesis_t715si

40/176

26

discusin en los organismos de normalizacin en todo el mundo, fue

finalmente aprobado por la ISO como ISO / IEC 17799, "Tecnologas de la

Informacin - Cdigo de buenas prcticas para la gestin de seguridad de la

informacin", en el ao 2000. ISO / IEC 17799 fue revisado en junio de 2005

y, finalmente, incorporado en la serie ISO 27000 de normas como ISO / IEC

27002 en julio de 2007.

La segunda parte de BS 7799 se public por primera vez por BSI en 1999,

conocida como BS 7799 parte 2, titulada "Informacin sobre Sistemas de

Gestin de seguridad: Especificacin con orientacin para su uso" BS 7799-2

se centr en cmo implementar un sistema de gestin de seguridad de la

informacin (SGSI), en referencia a la estructura de informacin de gestin de

seguridad y los controles identificados en la BS 7799-2, que ms tarde se

convirti en la norma ISO / IEC 27001. La versin 2002 de BS 7799-2

present el Plan-Do-Check-Act (PDCA) (modelo de aseguramiento de la

calidad de Deming), alinendola con las normas de calidad como ISO 9000.

BS 7799 parte 2 fue adoptado por la ISO como ISO / IEC 27001 en noviembre

de 2005.

BS7799 Parte 3 se public en 2005, que abarca el anlisis de riesgos y la

gestin. Se alinea con la norma ISO / IEC 27001

[Extrado desde http://en.wikipedia.org/wiki/BS_7799]

La Organizacin Internacional de Estandarizacin (ISO) estableci la norma

ISO 27001, la cual se emplea para la certificacin. Ha reemplazado el estndar

BS 7799 y brinda una norma internacional para sistemas de gestin de

seguridad de la informacin. Con base en el estndar BS 7799, se la ha

reorganizado para alinearse con otras normas internacionales. Se han incluido

algunos nuevos controles, es decir, el nfasis en las mtricas para la seguridad

de la informacin y la gestin de incidentes.

7/25/2019 Tesis_t715si

41/176

27

Protegiendo activos

La norma plantea un enfoque completo a la seguridad de la informacin

teniendo en cuenta que los activos que necesitan proteccin son: informacindigital, documentos en papel y activos fsicos (computadoras y redes). Para

lograr este objetivo se elabora mecanismos que van desde el desarrollo de

competencia del personal de la organizacin hasta la proteccin tcnica contra

los fraudes informticos.

ISO 27001 ayudar a proteger la informacin en trminos de:

Confidencialidad, que asegura la accesibilidad de la informacinsolamente a los que estn autorizados a tener acceso.

Integridad, que protege la precisin y la totalidad de la informacin y

los mtodos de procesamiento.

Disponibilidad, que asegura que los usuarios autorizados tengan acceso

a la informacin y activos relacionados cuando se lo exija.

En conformidad con otras normas de sistemas de gestin la norma ISO 27001

est alineada con otros sistemas de gestin y soporta la implementacin y la

operacin coherente e integrada con normas de gestin relacionadas. El

resultado es: Armonizacin con normas de sistemas de gestin como ISO 9001

e ISO 14001.

Adems la norma ISO proporciona un nfasis en la mejora continua de

procesos del SGSI.

Este estndar promueve la adopcin de un enfoque del proceso para establecer,

implementar, operar, monitorear, revisar, mantener y mejorar el SGSI de una

organizacin, as tambin adopta el modelo de proceso Planear-hacer-

chequear-actuar (PDCA), el cual se puede aplicar a todos los procesos del

Sistema de Gestin de Seguridad de la Informacin.

7/25/2019 Tesis_t715si

42/176

28

F igura N2.4.2: Modelo PDCA aplicado a los procesos SGSIElaborado por:Tania Guachi

Beneficios

Diferenciacin sobre la competencia y el mercado.

Mejora del conocimiento de los sistemas de informacin, sus

problemas y los medios de proteccin.

Proteccin de la informacin y cumplimiento legal sobre esta materia.

Mejora la confianza de clientes y socios al aumentar las garantas de

calidad, confidencialidad y disponibilidad.

Reduccin de costos (econmicos y de imagen) vinculados a

incidencias que afecten al tratamiento de la informacin.

Acceso a oportunidades de negocio donde se valoren o incluso se

exijan a los proveedores certificaciones reconocidas como por ejemplo

con organismos gubernamentales y clientes de sectores especficos

(banca, seguros, farmacuticas, salud, aeroespacial, etc.).

Establecimiento de una metodologa de gestin de la seguridad de la

informacin clara y bien estructurada.

PartesInteresadas

Requerimientosy expectativasde la seguridadde lainformacin.

PartesInteresadas

Seguridaddeinformacinmanejada.

Establecer elSGSI

Monitorear y revisar elSGSI.

Implementary operar elSGSI.

Mantenery mejorarel SGSI.

Desarrollar,manejar ymejorar elciclo

Plan

Hacer Actuar

Chequear

7/25/2019 Tesis_t715si

43/176

29

Los riesgos y sus respectivos controles son revisados constantemente.

Las auditoras externas e internas permiten identificar posibles

debilidades del sistema.

Continuidad en las operaciones del negocio tras incidentes de

gravedad.

2.4.4 Software

Software es una palabra proveniente del ingls (literalmente: partes blandas o

suaves), que en nuestro idioma no posee una traduccin adecuada al contexto,

por lo cual se la utiliza asiduamente sin traducir. Se refiere al equipamiento

lgico o soporte lgico de un computador digital, comprende el conjunto de

los componentes lgicos necesarios para hacer posible la realizacin de una

tarea especfica, en contraposicin a los componentes fsicos del sistema

(hardware).

Clasificacin del software

Se puede clasificar al software de la siguiente forma:

Software de sistema: Es aquel que permite que el hardware funcione. Su

objetivo es desvincular adecuadamente al programador de los detalles del

computador en particular que se use, aislndolo especialmente del

procesamiento referido a las caractersticas internas de: memoria, discos,

puertos y dispositivos de comunicaciones, impresoras, pantallas, teclados, etc.

Software de programacin: Es el conjunto de herramientas que permiten al

programador desarrollar programas informticos, usando diferentes

alternativas y lenguajes de programacin, de una manera prctica. Incluye

entre otros:

Editores de texto

Compiladores

7/25/2019 Tesis_t715si

44/176

30

Intrpretes

Enlazadores

Depuradores

Software de aplicacin: Aquel que permite a los usuarios llevar a cabo una o

varias tareas especficas, en cualquier campo de actividad susceptible de ser

automatizado o asistido, con especial nfasis en los negocios.

Sistema operativo

Un sistema operativo es un programa que controla la ejecucin de losprogramas de aplicacin y que acta como interfaz entre las aplicaciones del

usuario y el hardware de un computador. Se considera que un Sistema

Operativo tiene tres objetivos:

Comodidad: Un sistema operativo hace que un computador sea ms

cmodo de utilizar.

Eficiencia: Un sistema operativo permite que los recursos de un

sistema informtico se aprovechen de manera ms eficiente.

Capacidad de evolucin: Un sistema operativo debe construirse de

modo que permita el desarrollo efectivo, le verificacin y la

introduccin de nuevas funciones en el sistema y, a la vez, no interferir

en los servicios que brindan,

Un sistema operativo desempea funciones como:

Interfaces del usuario.- Es la parte del sistema operativo que permite

comunicarse con l de tal manera que se puedan cargar programas, acceder

archivos y realizar otras tareas. Existen tres tipos bsicos de interfaces: las que

se basan en comandos, las que utilizan mens y las interfaces grficas de

usuario.

7/25/2019 Tesis_t715si

45/176

31

Administracin de recursos.- Sirven para administrar los recursos de

hardware y de redes de un sistema informativo, como el CPU, memoria,

dispositivos de almacenamiento secundario y perifricos de entrada y de

salida.

Administracin de archivos.- Un sistema de informacin contiene programas

de administracin de archivos que controlan la creacin, borrado y acceso de

archivos de datos y de programas. Tambin implica mantener el registro de la

ubicacin fsica de los archivos en los discos magnticos y en otros

dispositivos de almacenamiento secundarios.

Administracin de tareas.- Los programas de administracin de tareas de un

sistema operativo administran la realizacin de las tareas informticas de los

usuarios finales. Los programas controlan que reas tiene acceso al CPU y por

cunto tiempo. Las funciones de administracin de tareas pueden distribuir una

parte especfica del tiempo del CPU para una tarea en particular, e interrumpir

al CPU en cualquier momento para sustituirla con una tarea de prioridad.

[Extrado desde http://es.kioskea.net/contents/systemes/sysintro.php3]

2.4.5 Aplicaciones y Redes Informticas

Aplicacin informtica

Es un programa informtico que permite a un usuario utilizar una computadora

con un fin especfico. Las aplicaciones son parte del software de una

computadora, y suelen ejecutarse sobre el sistema operativo.

Caractersticas de las aplicaciones informticas

En general, una aplicacin es un programa compilado, escrito en

cualquier lenguaje de programacin.

Las aplicaciones pueden tener distintas licencias de distribucin como

ser freeware, shareware, trialware, etc.

7/25/2019 Tesis_t715si

46/176

32

Las aplicaciones tienen algn tipo de interfaz, que puede ser una

interfaz de texto o una interfaz grfica (o ambas).

Las aplicaciones informticas suelen resultar una solucin informtica para laautomatizacin de ciertas tareas complicadas como puede ser la contabilidad o

la gestin de un almacn. Ciertas aplicaciones desarrolladas a medida suelen

ofrecer una gran potencia ya que estn exclusivamente diseadas para resolver

un problema especfico. Otros, llamados paquetes integrados de software,

ofrecen menos potencia pero a cambio incluyen varias aplicaciones, como un

programa procesador de textos, de hoja de clculo y de base de datos.

Redes Informticas

Una red de computadoras, tambin llamada red de ordenadores o red

informtica, es un conjunto de equipos conectados por medio de cables,

seales, ondas o cualquier otro mtodo de transporte de datos (sistema de

comunicacin), que comparten informacin, recursos, servicios, etc.

incrementando la eficiencia y productividad de las personas.

Estructura de las redes

a) El Software de Aplicaciones.- Conjunto de programas que se comunican

con los usuarios de la red y permiten compartir informacin (como

archivos, grficos o vdeos) y recursos (como impresoras o unidades de

disco).

b) El software de Red.- Conjunto de programas que establecen protocolos

para que los ordenadores se comuniquen entre s. Dichos protocolos se

aplican enviando y recibiendo grupos de datos formateados denominados

paquetes. Los protocolos indican cmo efectuar conexiones lgicas entre

las aplicaciones de la red, dirigir el movimiento de paquetes a travs de la

red fsica y minimizar las posibilidades de colisin entre paquetes

enviados simultneamente.

7/25/2019 Tesis_t715si

47/176

33

c) El Hardware de Red.- Esta formado por los componentes materiales que

unen los ordenadores. Dos componentes importantes son los medios de

transmisin que transportan las seales de los ordenadores (tpicamente

cables o fibras pticas) y el adaptador de red, que permite acceder al

medio material que conecta a los ordenadores, recibir paquetes desde el

software de red y transmitir instrucciones y peticiones a otros ordenadores.

Servicios de Redes

Servicios de Internet.- Los servicios de internet son productos de software

que proporcionan los servicios tradicionales de internet a los clientes, en

realidad la Web (por medio de los navegadores), FTP (Protocolo de

transmisin de ficheros) y correo electrnico son todos los servicios que

pueden ser tan tiles dentro de la red local como en internet, y muchos otros

servicios dependiendo de las necesidades de los clientes.

Impresin en Red.- El aspecto ms evidente es que compartir impresoras

hace posible a dos o ms usuarios imprimir trabajos al mismo tiempo. Una

solucin es la impresin en red debe incluir por consiguiente algn medio de

almacenar los trabajos pendientes en una cola hasta que la impresora este libre

para procesarlo cuando realiza este proceso de almacenar trabajos de

impresin temporalmente en una unidad de disco, se dice que se ponen los

trabajos en la cola de impresin.

Conexin a Internet.- El acceso a internet se ha convertido en una parte

omnipresente de las redes de los equipos. Bsicamente dar acceso a internet a

los usuarios de una red consiste en establecer una conexin internet ycompartirla en red destinada para las necesidades de los usuarios y de los

servicios vitales para la empresa

Seguridad de Red.- La seguridad es esencial en cualquier red, y muchas de

las tareas cotidianas de mantenimiento de la administracin de red que se

llevan a cabo estn relacionadas con la seguridad proporcionada por los

diversos componentes de la red y los datos del sistema de daos accidentales o

7/25/2019 Tesis_t715si

48/176

34

del acceso no autorizado. El objetivo del proceso de administracin de

seguridad es proporcionar a los usuarios accesos a todos los recursos que

necesitan, mientras se les asila de aquellos que no necesitan. El uso adecuado

de las herramientas de administracin de seguridad proporcionadas por los

componentes de la red es esencial para mantener una red segura y productiva.

2.4.6 Sistemas de Informacin y Comunicacin

Sistemas de informacin

Una organizacin es un sistema. Sus componentes (mercadotecnia,

manufactura, ventas, investigacin, embarques contabilidad y personal)trabajan juntos para crear utilidades que beneficien tanto a los empleados

como a los accionistas de la compaa. Todo sistema organizacional depende

en medida, de una entidad abstracta denominada sistema de informacin. Este

sistema es el medio por el cual los datos fluyen de una persona o departamento

hacia otros y pueden ser cualquier cosa, desde la comunicacin interna entre

los diferentes componentes de la organizacin y lneas telefnicas hasta

sistemas de cmputo que generan reportes peridicos para varios usuarios. Los

sistemas de informacin proporcionan servicios a todos los dems sistemas de

una organizacin y enlazan todos sus componentes en forma tal que estos

trabajen con eficiencia para alcanzar el mismo objetivo.

Los sistemas de informacin estn formados por subsistemas que incluyen

hardware, software, medios de almacenamiento de datos para archivos de base

de datos. El conjunto particular de subsistemas utilizados (equipo especfico,

programas, archivos y procedimientos) se les denomina una aplicacin desistemas de informacin. De esta forma, los sistemas de informacin pueden

tener aplicaciones en ventas, contabilidad o compras. Adems un sistema de

informacin es un conjunto de componentes interrelacionados que permiten

reunir, procesar, almacena y distribuir informacin para apoyar la toma de

decisiones y el control de una organizacin.

7/25/2019 Tesis_t715si

49/176

35

As mismo los sistemas de informacin tambin ayudan a los administradores

y trabajadores:

a analizar problemas,

visualizar aspectos complejos,

crear productos nuevos.

Un sistema de informacin produce la informacin que las organizaciones

necesitan para:

tomar decisiones,

controlar operaciones,

analizar problemas,

crear y producir y/o servicios nuevos.

Las actividades de un sistema de informacin son: entrada, procesamiento y

salida. La entrada captura o recolecta datos del interior de la organizacin o de

su entorno para ser procesados en un sistema de informacin. El

procesamiento convierte las entradas brutas en una forma que tiene ms

sentido para los humanos. La salida transfiera la informacin procesada a las

personas que la usarn o las actividades en las que ser usada. Los sistemas de

informacin tambin requieren retroalimentacin que consiste en salidas que

se devuelven a los miembros apropiados de la organizacin para ayudarles a

evaluar o corregir la etapa de entrada.

7/25/2019 Tesis_t715si

50/176

36

F igura N2.4.3: Ciclo de un Sistema de InformacinElaborado por:Tania Guachi

Tipos y Usos de los Sistemas de Informacin

Los sistemas de informacin dentro de las organizaciones cumplen los

siguientes objetivos:

Automatizacin deprocesos operativos.

Proporcionar informacin que sirva de apoyo al proceso de toma dedecisiones.

Lograr ventajas competitivas a travs de su implantacin y uso.

a) Sistemas Transaccionales.

Son el primer sistema de Informacin que se implementa en la empresa.

Inicia apoyando las tareas a nivel operativo de la organizacin para

continuar con los mandos intermedios y posteriormente la alta

administracin, conforme evolucionan.

Funcin: Procesa transacciones tales como pagos, cobros, plizas,

entradas, salidas, etc.

b) Sistemas de Apoyo de las Decisiones.

Proceso

Almacenamiento

Entrada deDatos

Interfazautomticade entrada

Interfazautomticade salida

Reportes eInformes

Retroalimentacin

http://www.monografias.com/trabajos6/napro/napro.shtmlhttp://www.monografias.com/trabajos14/administ-procesos/administ-procesos.shtml#PROCEhttp://www.monografias.com/trabajos14/administ-procesos/administ-procesos.shtml#PROCEhttp://www.monografias.com/trabajos6/napro/napro.shtml

7/25/2019 Tesis_t715si

51/176

37

Se define a este sistema, como un conjunto de programas y herramientas

que permiten realizar el anlisis de las diferentes variables de negocio con

la finalidad de apoyar el proceso de toma de decisiones.

Funcin: Ayuda a la toma de decisiones de los administradores al

combinar datos, modelos analticos sofisticados y software amigable en un

solo sistema poderoso que puede dar soporte a la toma de decisiones de la

organizacin.

c) Sistema de Informacin estratgico

Puede ser considerado como el uso de la tecnologa de la informacin parasoportar o dar forma a la estrategia competitiva de la organizacin, a su

plan para incrementar o mantener la ventaja competitiva o bien reducir la

ventaja de sus rivales.

Funcin:No brinda apoyo a la automatizacin de los procesos operativos

ni proporciona informacin para apoyar a la toma de decisiones. Sin

embargo, este tipo de sistemas puede llevar a cabo dichas funciones.

[Extrado desde http://luisa-silva.lacoctelera.net/post/2008/04/22/informatica-principios-

los-sistema-informacion]

Sistemas de Comunicacin

Comunicacin.-Transferencia de informacin de un lugar a otro lugar y que

debe ser: eficiente, confiable, segura.

Definicin: Componentes o subsistemas que permiten la transferencia/

intercambio de informacin.

En la siguiente figura se muestra un diagrama a bloques del modelo bsico de

un sistema de comunicaciones, en ste se muestran los principales

componentes que permiten la comunicacin.

7/25/2019 Tesis_t715si

52/176

38

F igura N2.4.4:Modelo bsico de un sistema de comunicacionesElaborado por:Tania Guachi

Elementos bsicos de un sistema de comunicaciones

En toda comunicacin existen tres elementos bsicos (imprescindibles uno del

otro) que son:

a) Transductor de entrada.-Convierte el mensaje a un formato adecuado

para su trasmisin.

El Transmisor pasa el mensaje al canal en forma de seal. Para lograr una

transmisin eficiente y efectiva, se deben desarrollar varias operaciones de

procesamiento de la seal. La ms comn e importante es la modulacin,

un proceso que se distingue por el acoplamiento de la seal transmitida a

las propiedades del canal, por medio de una onda portadora, otra operacinque existe tambin es la codificacin que elimina redundancia presente en

el mensaje (compresin) y se agrega redundancia (bits de paridad) para

aumentar inmunidad frente al ruido. (JPEG).

b) Canal de Transmisin.-o medio es el enlace elctrico entre el transmisor

y el receptor, siendo el puente de unin entre la fuente y el destino. Este

medio puede ser un par de alambres, un cable coaxial, el aire, etc. Pero sin

importar el tipo, todos los medios de transmisin se caracterizan por la

atenuacin, la disminucin progresiva de la potencia de la seal conforme

aumenta la distancia.

La funcin del Receptor es extraer del canal la seal deseada y entregarla

al transductor de salida. Como las seales son frecuentemente muy dbiles,

como resultado de la atenuacin, el receptor debe tener varias etapas de

amplificacin. En todo caso, la operacin clave que ejecuta el receptor es

Transmisor Receptor

Medio o Canalde Transmisin

Informacin

7/25/2019 Tesis_t715si

53/176

39

la demodulacin, el caso inverso del proceso de modulacin del

transmisor, con lo cual vuelve la seal a su forma original.

c)

Transductor de salida.-Convierte la seal elctrica a su entrada en unaforma de onda adecuada

F igura N2.4.5: Elementos de un sistema de comunicacinFuente:http://www.eveliux.com/mx/modelo-de-un-sistema-de-comunicaciones.php

Caractersticas deseables de un Sistema de Comunicacin

Buena fidelidad

Potencia de seal baja

Trasmitir una gran cantidad de informacin

Ocupar un ancho de banda pequeo

Bajo costo (complejidad)

Las operaciones digitales complejas se han hecho mucho ms baratas

2.5 Hiptesis

La implantacin de la norma de seguridad informtica ISO 27001 mejorar la

confianza en el manejo de los sistemas de informacin y comunicacin del

departamento de sistemas de la cooperativa.

7/25/2019 Tesis_t715si

54/176

40

2.6 Determinacin de Variables

Variable independiente

Norma de seguridad informtica ISO 27001.

Variable dependiente

Sistemas de informacin y comunicacin.

7/25/2019 Tesis_t715si

55/176

41

CAPITULO III

METODOLOGA

3.1 Enfoque

El enfoque de la investigacin se realiz de forma cualitativa ya que se obtuvoinformacin directa de los investigados por medio de la aplicacin de una

entrevista, gracias a esto se pudo elaborar un anlisis de resultados y proponer

alternativas de solucin.

3.2 Modalidad bsica de la investigacin.

3.2.1 Investigacin BibliogrficaDocumental

Se realiz una investigacin bibliogrfica acudiendo a libros, tesis,

monografas e incluso al recurso ms importante como es el internet para

obtener informacin ms profunda con respecto a problemas similares, de esta

manera se recopil informacin valiosa que fue usada como sustento

cientfico del proyecto.

3.2.2 Investigacin de Campo

Mediante la elaboracin de este tipo de investigacin se tuvo la oportunidad

de estar cerca y conocer el entorno donde se desenvuelve el Departamento de

Sistemas de la Cooperativa de Ahorro y Crdito SAN FRANCISCO Ltda.,

accediendo a la posibilidad de tener el contacto directo entre el investigador y

la realidad, obteniendo informacin de acuerdo a los objetivos planteados

inicialmente.

7/25/2019 Tesis_t715si

56/176

42

3.3 Nivel o tipo de Investigacin

3.3.1 Exploratorio

Se realiz una investigacin de nivel exploratorio, para determinar las

condiciones actuales de la seguridad de los sistemas de informacin y de

comunicacin.

3.3.2 Descriptivo

El proceso investigativo tuvo un nivel descriptivo para conocer con

profundidad el problema, estableciendo sus causas y consecuencias as como

las dificultades por lo que est atravesando.

3.3.3 Asociacin de variables

Se determin la relacin de una variable con la otra y la incidencia que tiene

en la solucin del problema.

3.4 Poblacin y muestra

3.4.1 Poblacin

El proyecto est orientado a una poblacin integrada por cinco personas que

laboran en el departamento de sistemas de la Cooperativa de Ahorro y Crdito

SAN FRANCISCO Ltda.

3.4.2 Muestra

La muestra pasara a ser la misma poblacin puesto que sta es muy reducida.

3.5 Recoleccin de informacin

3.5.1 Plan de Recoleccin de Informacin

Las personas que proporcionarn la informacin sern: Administrador de

redes, Jefe del departamento de Sistemas, dos Desarrolladores y el Asistente

de Mantenimiento.

7/25/2019 Tesis_t715si

57/176

43

Para recabar la informacin se utilizar tcnicas como la observacin y la

entrevista con sus respectivos instrumentos que son el registro de datos y un

cuestionario de entrevistas

3.5.2 Procesamiento y anlisis de la Informacin

3.5.2.1 Procesamiento y anlisis de la informacin (Plan que se

emplear para procesar la informacin recogida.)

Lo primero que se realizar al recopilar la informacin, ser seleccionar

los datos que se requiere para el desarrollo del proyecto los mismos que

ser analizados en relacin con el problema y para poder establecer lasconclusiones respectivas asegurando