tesis_t715si
TRANSCRIPT
-
7/25/2019 Tesis_t715si
1/176
UNIVERSIDAD TCNICA DE AMBATO
FACULTAD DE INGENIERA EN SISTEMAS
ELECTRNICA E INDUSTRIAL
Carrera de Ingeniera en Sistemas Computacionales e
Informticos
TEMA:
NORMA DE SEGURIDAD INFORMTICA ISO 27001 PARAMEJORAR LA CONFIDENCIALIDAD, INTEGRIDAD Y
DISPONIBILIDAD DE LOS SISTEMAS DE INFORMACIN Y
COMUNICACIN EN EL DEPARTAMENTO DE SISTEMAS DE LA
COOPERATIVA DE AHORRO Y CRDITO SAN FRANCISCO
LTDA.
Trabajo de Graduacin. Modalidad: TEMI. Trabajo Estructurado de ManeraIndependiente, presentado previo la obtencin del ttulo de Ingeniera en Sistemas
Computacionales e Informticos.
AUTOR: Tania Vernica Guachi Aucapia.
TUTOR: Ing. David Guevara.
Ambato - Ecuador
Julio 2012
-
7/25/2019 Tesis_t715si
2/176
i
APROBACIN DEL TUTOR
En mi calidad de tutor del trabajo de investigacin sobre el tema: Norma de Seguridad
Informtica ISO 27001 para mejorar la confidencialidad, integridad y disponibilidad de
los sistemas de informacin y comunicacin en el departamento de sistemas de la
Cooperativa de Ahorro y Crdito San Francisco Ltda., de la seorita Tania Vernica
Guachi Aucapia, estudiante de la Carrera de Ingeniera en Sistemas Computacionales e
Informticos., de la Facultad de Ingeniera en Sistemas, Electrnica e Industrial, de la
Universidad Tcnica de Ambato, considero que el informe investigativo rene los
requisitos suficientes para que contine con los trmites y consiguiente aprobacin de
conformidad con el Art. 16 del Captulo II, del Reglamento de Graduacin para obtener
el ttulo terminal de tercer nivel de la Universidad Tcnica de Ambato.
Ambato, Julio del 2012
EL TUTOR
-------------------------------------------
Ing. David Guevara
-
7/25/2019 Tesis_t715si
3/176
ii
AUTORA
El presente trabajo de investigacin: Norma de Seguridad Informtica ISO 27001
para mejorar la confidencialidad, integridad y disponibilidad de los sistemas de
informacin y comunicacin en el Departamento de Sistemas de la Cooperativa de
Ahorro y Crdito San Francisco Ltda., es absolutamente original, autntico y
personal, en tal virtud, el contenido, efectos legales y acadmicos que se
desprenden del mismo son de exclusiva responsabilidad del autor.
Ambato, Julio del 2012
..
Tania Vernica Guachi Aucapia
CC: 180448895-3
-
7/25/2019 Tesis_t715si
4/176
iii
APROBACIN DE LA COMISIN CALIFICADORA
La Comisin Calificadora del presente trabajo conformada por los seores docentes, Ing.
M.Sc. Oswaldo Paredes, Ing. Francisco Lpez, Ing. Luis Sols, revis y aprob el Informe
Final del trabajo de graduacin titulado NORMA DE SEGURIDAD INFORMTICA
ISO 27001 PARA MEJORAR LA CONFIDENCIALIDAD, INTEGRIDAD Y
DISPONIBILIDAD DE LOS SISTEMAS DE INFORMACIN Y COMUNICACIN
EN EL DEPARTAMENTO DE SISTEMAS DE LA COOPERATIVA DE AHORRO Y
CRDITO SAN FRANCISCO LTDA., presentado por la seorita Tania Vernica
Guachi Aucapia de acuerdo al Art. 17 del Reglamento de Graduacin para obtener el
ttulo Terminal de tercer nivel de la Universidad Tcnica de Ambato.
..
Ing. Oswaldo Paredes
PRESIDENTE DEL TRIBUNAL
..
Ing. Francisco Lpez Ing. Luis Sols
DOCENTE CALIFICADOR DOCENTE CALIFICADOR
-
7/25/2019 Tesis_t715si
5/176
iv
DEDICATORIA
Con amor y afecto ms profundo a las razones de mi
vida: Dios, mis Padres, Hermanos, porque con amor,
paciencia, sabidura y fortaleza que ellos me han
ofrecido inspiran cada momento de mi vida.
Tania
-
7/25/2019 Tesis_t715si
6/176
v
AGRADECIMIENTO
A Dios por darme salud, vida y fortaleza para
cumplir con esta meta.
A mis padres Carmen y Samuel por ser el pilarfundamental de apoyo, amor, confianza, por los
consejos brindados y los empujes para seguir
adelante da tras da.
A mis Hermanos por ser un motivo ms de
superacin
A todos mis amigos, los cuales compartimos grandes
momentos en el viaje de esta carrera.
Gracias al Ing. Diego Torres jefe de Sistemas de la
Cooperativa de Ahorro y Crdito San Francisco
Ltda., y al Ing. David Guevara por ser gua y
compartir sus conocimientos y desempear con
satisfaccin mi profesin.
Tania
-
7/25/2019 Tesis_t715si
7/176
vi
INDICE
CONTENIDO PAGINA
APROBACIN DEL TUTOR ........................................................................................ i
AUTORA ..................................................................................................................... ii
APROBACIN DE LA COMISIN CALIFICADORA ............................................... iii
DEDICATORIA ............................................................................................................iv
AGRADECIMIENTO .................................................................................................... v
INDICE .........................................................................................................................vi
INTRODUCCIN ...................................................................................................... xiii
CAPTULO I
EL PROBLEMA DE INVESTIGACIN
1.1Tema .................................................................................................................... 1
1.2 Planteamiento del Problema ..................................................................................... 1
1.2.1 Contextualizacin: ................................................................................................. 1
1.2.2 rbol del Problema ............................................................................................... 3
1.2.1 Anlisis Crtico...................................................................................................... 4
1.2.2 Prognosis............................................................................................................... 4
1.3 Formulacin del Problema ........................................................................................ 4
1.4 Preguntas Directrices ................................................................................................ 5
1.5 Delimitacin del Problema ....................................................................................... 5
1.6 Justificacin. ............................................................................................................ 5
1.7 Objetivos .................................................................................................................. 6
1.7.1 Objetivo General ................................................................................................... 6
1.7.2 Objetivos Especficos ............................................................................................ 7
CAPITULO II
MARCO TERICO
2.1 Antecedentes Investigativos...................................................................................... 8
2.2 Fundamentacin Legal ............................................................................................. 9
-
7/25/2019 Tesis_t715si
8/176
vii
2.2.1 Ley de comercio electrnico, firmas electrnicas y mensajes de datos. ................... 9
2.2.2Ley de Propiedad Intelectual .................................................................................15
2.3 Grfica de inclusin de las Categoras Fundamentales .............................................19
2.3.1 Constelacin de Ideas ...........................................................................................20
2.4 Categoras Fundamentales .......................................................................................21
2.4.1 Control de Calidad................................................................................................21
2.4.2 NORMAS ISO .....................................................................................................22
2.4.3 Norma de seguridad informtica ISO 27001 .........................................................24
2.4.4Software. ..............................................................................................................29
2.4.5 Aplicaciones y Redes Informticas .......................................................................31
2.4.6 Sistemas de Informacin y Comunicacin.............................................................34
2.5 Hiptesis .................................................................................................................39
2.6 Determinacin de Variables .....................................................................................40
CAPITULO III
METODOLOGA
3.1Enfoque.. .................................................................................................................41
3.2Modalidad bsica de la investigacin. ......................................................................41
3.2.1Investigacin BibliogrficaDocumental.............................................................41
3.2.2 Investigacin de Campo .......................................................................................41
3.3 Nivel o tipo de Investigacin ...................................................................................42
3.3.1 Exploratorio .........................................................................................................42
3.3.2 Descriptivo ...........................................................................................................42
3.5 Recoleccin de informacin ....................................................................................42
3.5.1 Plan de Recoleccin de Informacin .....................................................................42
3.5.2 Procesamiento y anlisis de la Informacin ...........................................................43
3.5.2.1Procesamiento y anlisis de la informacin ........................................................43
3.5.2.2Plan de anlisis e interpretacin de resultados ....................................................43
-
7/25/2019 Tesis_t715si
9/176
viii
CAPITULO IV
ANLISIS E INTERPRETACIN DE RESULTADOS
4.1Anlisis de la necesidad ...........................................................................................44
4.2 Anlisis de Resultados .............................................................................................44
4.3 Tabulacin de los resultados ....................................................................................49
4.3 Interpretacin de Resultados ....................................................................................57
CAPITULO V
CONCLUSIONES Y RECOMENDACIONES
5.1CONCLUSIONES...................................................................................................58
5.2 RECOMENDACIONES..........................................................................................58
CAPITUO VI
PROPUESTA
6.1.Tema .................................................................................................................59
6.2.Datos Informativos .................................................................................................59
6.3. Antecedentes ..........................................................................................................59
6.4. Justificacin ...........................................................................................................60
6.5. Objetivos ................................................................................................................60
6.5.1 Objetivo General ..................................................................................................61
6.5.2 Objetivos Especficos ...........................................................................................61
6.6. Anlisis de factibilidad ...........................................................................................61
6.6.1. Factibilidad Operativa .........................................................................................61
6.6.2. Factibilidad Econmica .......................................................................................62
6.6.3Factibilidad Tcnica .............................................................................................62
6.7 Fundamentacin ......................................................................................................62
6.7.1 Introduccin .........................................................................................................62
6.7.2Qu es la Norma ISO 27001:2005?. ....................................................................63
6.7.3Contenido de la Norma .........................................................................................64
6.7.3.1 Alcance .. ..........................................................................................................64
-
7/25/2019 Tesis_t715si
10/176
ix
6.7.3.1.1General ...........................................................................................................65
6.7.3.1.2 Aplicacin ......................................................................................................65
6.7.3.2Referencias normativas ......................................................................................65
6.7.3.3 Sistema de gestin de seguridad de la informacin .............................................65
6.7.3.3.1Requerimientos generales...............................................................................65
6.7.3.3.2Modelo Plan-Do-Check-Act (PDCA) ..............................................................66
6.8Metodologa de implementacin. .............................................................................66
6.8.1 Establecer y manejar el SGSI ................................................................................66
6.8.1.1 Establecer el SGSI .............................................................................................66
6.8.2Implementar y operar el SGSI ...............................................................................71
6.8.3 Monitorear y revisar el SGSI ................................................................................71
6.8.4 Mantener y mejorar el SGSI .................................................................................72
6.9 MODELO OPERATIVO.........................................................................................72
6.9.1Desarrollo de la implantacin ...............................................................................72
6.9.1.1 Establecer y manejar el SGSI .............................................................................72
6.9.1.2 Implementar y operar el SGSI ..........................................................................101
6.9.1.3Monitorear y revisar el SGSI............................................................................139
6.9.1.4 Mantener y mejorar el SGSI............................................................................143
6.10 CONCLUSIONES Y RECOMENDACIONES .................................................... 145
6.10.1 Conclusiones .................................................................................................... 145
6.10.2 Recomendaciones ............................................................................................. 145
BIBLIOGRAFIA ........................................................................................................ 146
Informacin bibliogrfica de libros .............................................................................. 146
Informacin bibliogrfica de pginas web ................................................................... 146
GLOSARIO DE TERMINOS ..................................................................................... 148
ANEXO 1Plan de capacitacin para el personal del departamento de sistemas ............. 159
ANEXO 2 ENTREVISTA .......................................................................................... 161
-
7/25/2019 Tesis_t715si
11/176
x
INDICE DE FIGURAS
Figura N2.4.1: Aspectos que cubre la norma ISO 27001 ..............................................25
Figura N2.4.2: Modelo PDCA aplicado a los procesos SGSI ........................................28
Figura N2.4.3: Ciclo de un Sistema de Informacin .....................................................36
Figura N2.4.4: Modelo bsico de un sistema de comunicaciones ..................................38
Figura N2.4.5: Elementos de un sistema de comunicacin............................................39
Figura N 4.1: Grfico Pregunta 1..................................................................................49
Figura N 4.2: Grfico Pregunta 2..................................................................................51
Figura N 4.3: Grfico Pregunta 3..................................................................................52
Figura N 4.4: Grfico Pregunta 4..................................................................................53
Figura N 4.5: Grfico Pregunta 8..................................................................................56
Figura N 6.1. Clausulas de la Norma ISO 27001 distribuidas en Ciclo de Deming. .......64
Figura N 6.2: Modelo ISO 27001 .................................................................................66
Figura N 6.3: Metodologa para el Anlisis y Evaluacin de Riesgos ............................68
Figura N 6.4: Metodologa para el Anlisis y Evaluacin de Riesgos ............................74
-
7/25/2019 Tesis_t715si
12/176
xi
INDICE DE TABLAS
Tabla N 4.1: Matriz de resultado de la entrevista ..........................................................48
Tabla N 4.2: Cuadro porcentual Pregunta 1 ..................................................................49
Tabla N 4.3: Cuadro porcentual Pregunta 2 ..................................................................50
Tabla N 4.4: Cuadro porcentual Pregunta 3 ..................................................................52
Tabla N 4.5: Cuadro porcentual Pregunta 4 ..................................................................53
Tabla N 4.6: Cuadro porcentual Pregunta 8 ..................................................................56
Tabla N 6.1: Activos del departamento de sistemas ......................................................76
Tabla N 6.2: Activos importantes del departamento de sistemas ...................................78
Tabla N 6.3: Anlisis y Evaluacin del riesgo. .............................................................84
Tabla N 6.4: Seleccin de controles..............................................................................95
Tabla N 6.5: Declaracin de aplicabilidad .................................................................. 100
Tabla N6.6: Mtricas de la ISO 27001 ........................................................................ 136
-
7/25/2019 Tesis_t715si
13/176
xii
RESUMEN EJECUTIVO
Dada la evolucin de la Tecnologa de la informacin y su relacin directa con los
objetivos del negocio de las Organizaciones, el universo de amenazas yvulnerabilidades crece por lo tanto es necesario proteger uno de los activos ms
importantes de la Organizacin, la informacin, garantizando siempre la
disponibilidad, la confidencialidad e integridad de la misma. La forma ms
adecuada para proteger los activos de informacin es mediante una correcta
gestin del riesgo, logrando as identificar y focalizar esfuerzos hacia aquellos
elementos que se encuentren ms expuestos.
El Departamento de Sistemas de la Cooperativa de Ahorro y Crdito San
Francisco Ltda., es un pilar fundamental para la Cooperativa ya que opera y
gestiona los sistemas de informacin y de comunicacin por lo tanto deben
brindar seguridad y confiabilidad de los mismos y as satisfacer a los usuarios de
los sistemas de informacin, es por ello que se ha adoptado el uso de estndares
para mejorar y mantener la seguridad de la informacin.
El presente proyecto rene la informacin necesaria para la implementacin de un
Sistema de Gestin de Seguridad de la Informacin basado en la norma ISO
27001, se ha concebido esta norma para garantizar la seleccin de controles de
seguridad adecuados y proporcionales. Ello ayuda a proteger los activos de
informacin y otorga confianza a cualquiera de las partes interesadas, sobre todo a
los clientes. La norma adopta un enfoque por procesos para establecer, implantar,
operar, supervisar, revisar, mantener y mejorar un SGSI.
-
7/25/2019 Tesis_t715si
14/176
xiii
INTRODUCCIN
El propsito de la presente investigacin es elaborar una solucin informtica que
mantenga y mejore la seguridad de los sistemas de informacin y comunicacin
en la Cooperativa de Ahorro y Crdito San Francisco Ltda., basada en el
estndar ISO 27001.
La investigacin se ha elaborado de acuerdo a la organizacin de informacin que
se detalla a continuacin:
En el captulo I EL PROBLEMA DE INVESTIGACIN, se identifica el
problema a investigar, adems se plantea la justificacin y los objetivos. Es decir
el marco referencial, se expone la situacin actual en cuanto a los riesgos
identificados que afectan a la informacin, por lo que es de mayor importancia
adoptar medidas de seguridad para proteger la informacin.
En el captulo II MARCO TERICO, se presentan los antecedentes
investigativos, la fundamentacin legal, hiptesis y el sealamiento de las
variables de la hiptesis.
En el captulo III METODOLOGA, se determina la metodologa de
investigacin a utilizar, el enfoque, la modalidad bsica de la investigacin, el tipo
de investigacin, la poblacin y muestra.
En el captulo IV ANLISIS E INTERPRETACIN DE LOS
RESULTADOS, se aplican los instrumentos de recoleccin de informacin en
este caso la entrevista para determinar las condiciones actuales en cuanto a la
seguridad de la informacin, luego de eso se procede al anlisis e interpretacin
de los resultados de la informacin obtenida.
En el captulo V CONCLUSIONES Y RECOMENDACIONES,se presentalas conclusiones y recomendaciones del anlisis e interpretacin de los resultados
realizados en el capitulo anterior.
En el captulo VI PROPUESTA,se presenta el desarrollo de la propuesta ante
el problema investigado. Es decir la aplicacin del Estndar ISO 27001 en el
Departamento de Sistemas de la Cooperativa de Ahorro y Crdito San Francisco
Ltda.
-
7/25/2019 Tesis_t715si
15/176
1
CAPTULO I
EL PROBLEMA DE INVESTIGACIN
1.1 Tema
Norma de seguridad informtica ISO 27001 para mejorar la confidencialidad,
integridad y disponibilidad de los sistemas de informacin y comunicacin en eldepartamento de sistemas de la Cooperativa de Ahorro y Crdito San Francisco
Ltda.
1.2 Planteamiento del Problema
1.2.1 Contextualizacin:
En la actualidad los sistemas de informacin y comunicacin son usados por
diversas empresas, organizaciones e instituciones que existen mundialmente;
convirtindose en un fenmeno social mediante un imparable proceso de
comercializacin. En la mayora de las empresas e instituciones, sus sistemas
de informacin son los activos por excelencia, imprescindibles para su propia
existencia y supervivencia; de esta manera reconocen el grado de criticidad
que los sistemas de informacin representan para su funcionamiento y el alto
grado de vulnerabilidad inherente a la propia naturaleza de los mismos, y lo
que es ms grave, la insuficiencia de las polticas y normas de seguridad
implantadas a la fecha. Con frecuencia somos testigos y/o vctimas de ataques
de virus, de crackers, e incluso de empleados o usuarios maliciosos que
acceden a informacin confidencial y la utilizan de forma perjudicial para la
empresa. En muchas ocasiones somos conscientes de los daos causados
cuando es demasiado tarde o quiz nunca.
-
7/25/2019 Tesis_t715si
16/176
2
En el Ecuador se encuentran instituciones que procesan datos a travs de
sistemas de informacin y comunicaciones muchas veces no tienen un buen
desempeo, ni las seguridades necesarias, ni una correcta utilizacin de los
mismos, por lo que se requiere implementar una serie de mecanismos para
mejorar el uso y la disponibilidad de los mismos. Las instituciones tanto
pblicas como privadas en una gran mayora manejan su informacin por
medios de comunicaciones, as logran tener conectividad e interrelacionarse
ya sea con otras o con sus clientes ahorrando de esta manera tiempo y recursos
econmicos. En nuestra provincia una gran mayora de organizaciones trabaja
con sistemas de informacin y comunicacin, pero en algunas no disponen de
controles adecuados para asegurar y mantener la confidencialidad, integridady disponibilidad de los mismos.
La Cooperativa de Ahorro y Crdito San Francisco Ltda., es una Institucin
que cada vez es ms consciente que la informacin que se maneja debe estar
bien protegida, as tambin de ser capaces de identificar y gestionar los riesgos
de seguridad de la informacin y esto se lleva a cabo a travs de la definicin
de un Sistema de Gestin de Seguridad de la Informacin mediante de la
implementacin de la norma de seguridad informtica ISO 27001.
-
7/25/2019 Tesis_t715si
17/176
3
1.2.2 rbol del Problema
Figura N1.1:rbol del ProblemaElaborado por:Tania Guachi
Deficiente control en la confidencialidad, integridad y disponibilidad delos sistemas de informacin y de comunicaciones del Departamento desistemas de la Coo erativa de Ahorro Crdito San Francisco Ltda.
Quebrantamiento depolticas deseguridad que
afecten directamentea la integridad de la
informacin de laCoo erativa.
Incompetencia porparte de la
Cooperativa.
Prdida y/oalteracin de
informacin
Acceso no autorizadopara la informacin
confidencial eimportante para la
Cooperativa
Carencia deconocimientos sobre
las ventajas ybeneficios que ofrece
la implementacin deestndares.
Falta de inters porparte de las
autoridades.
Falta de tiempo porparte de los
trabajadores deldepartamento de
sistemas
Escaso personalcapacitado destinado
para realizar
auditorasinformticas.
-
7/25/2019 Tesis_t715si
18/176
4
1.2.1 Anlisis Crtico
En el Departamento de Sistemas de la Cooperativa de Ahorro y Crdito San
Francisco Ltda. no se ha implementado la norma de seguridad informticaISO 27001 para asegurar y mantener la confidencialidad, integridad y
disponibilidad de sus sistema de informacin y de comunicacin, esto se debe
a que no existe personal capacitado para la actividad destinada lo que
ocasionara que la Cooperativa exponga la informacin de manera crtica
consiguiendo prdidas econmicas a futuro, a ms de esto se presenta un
desconocimiento de las ventajas que ofrece la implementacin de estndares
como es de la ISO 27001 provocando que la Cooperativa sea muy vulnerable
para diversos atacantes que quieran afectar con la integridad de la informacin
de la misma directamente a sus recursos informticos causando daos y
perjuicios.
1.2.2 Prognosis
De continuar esta situacin la Cooperativa se mantendra de forma tradicional
y expuesta a tener pedidas econmicas, robo o alteracin de la informacin.
Durante el tiempo en que la Cooperativa no disponga de adecuados
mecanismos de controles de seguridad sobre los sistemas de informacin y de
comunicacin se lograra que los atacantes violen fcilmente las polticas de
seguridad afectando la integridad de la informacin de la Cooperativa y
ocasionando desprestigio y no competitividad de la misma.
1.3Formulacin del Problema
Qu incidencia tiene la Implementacin de la norma de seguridad informtica
ISO 27001 en la confidencialidad, integridad y disponibilidad de los sistemas de
informacin y comunicacin en el Departamento de Sistemas de la Cooperativa de
Ahorro y Crdito San Francisco Ltda.?
-
7/25/2019 Tesis_t715si
19/176
5
1.4Preguntas Directrices
1.4.1 Se aplican medidas de seguridad informtica en el departamento de
sistemas de la Cooperativa?
1.4.2 En qu nivel de confiabilidad, integridad y disponibilidad se encuentran
los sistemas de informacin y comunicacin del departamento de sistemas
de la Cooperativa?
1.4.3 De qu manera se mejorara la confidencialidad, integridad y
disponibilidad de los sistemas de informacin y comunicacin en el
departamento de sistemas de la Cooperativa?
1.5Delimitacin del Problema
El presente proyecto abarcara lo que corresponde a la Implantacin de la norma de
seguridad informtica ISO 27001 para mantener la confidencialidad, integridad y
disponibilidad de los sistemas de informacin y comunicacin. Se lo realizara en
el Departamento de Sistemas de la Cooperativa de Ahorro y Crdito San
Francisco Ltda., abarcando un periodo de duracin de seis meses dando iniciodesde la fecha de aprobacin del proyecto.
1.6Justificacin.
Hoy en da los sistemas de informacin y de comunicacin estn ocupando una
amplia rea en el sector empresarial, institucional entre otros, los mismos que
requieren que la informacin que se maneja debe ser confidencial, adems que se
cuente con polticas de seguridad para acceder a la misma.
La realizacin de este trabajo de investigacin es de gran importancia porque se
puede vincular la teora con la prctica, ya que gracias a esto se puede
complementar el desarrollo de este proyecto y los resultados sern de gran ayuda
en el desarrollo tecnolgico logrando que la cooperativa cuente con normativas
adecuadas y seguras sobre la proteccin de datos, privacidad y control de tcnicas
de informacin.
-
7/25/2019 Tesis_t715si
20/176
6
Una de las ventajas de la implantacin de la norma de seguridad informtica ISO
27001 es la reduccin de gastos, generalmente se considera a la seguridad de la
informacin como un costo sin una ganancia financiera evidente. Sin embargo,
hay una ganancia financiera si se logra disminuir los gastos ocasionados por
incidentes. Probablemente s se produzcan dentro de la cooperativa interrupciones
de servicio o espordicos filtrados de datos, o tengan empleados descontentos, o
ex empleados descontentos que afecten directamente a la integridad de la
informacin de la misma.
La norma de seguridad informtica ISO 27001 ayudar al ordenamiento del
negocio por lo tanto obligar a definir de forma muy precisa tanto las
responsabilidades como las obligaciones que hay que hacer y cumplir y, de esta
forma, se ayudar a reforzar la organizacin interna.
El uso de estndares como de la ISO 27001 es y ser adoptada por varias
instituciones, organizaciones y empresas las cuales manejan sistemas de
informacin y de comunicacin lo cual permitir mantener un buen rendimiento y
eficacia en los mismos logrando seguridad en la informacin.
El proyecto se realizar ya que se cuenta con informacin para el desarrollo del
mismo, que permitir la implantacin de la norma de seguridad informtica ISO
27001 en el Departamento de Sistemas de la Cooperativa de Ahorro y Crdito
San Francisco Ltda., permitiendo mejorar la confidencialidad, integridad y
disponibilidad de los sistemas de informacin y comunicacin.
1.7Objetivos
1.7.1 Objetivo General
Implantar la norma de seguridad informtica ISO 27001 para mejorar la
confidencialidad, integridad y disponibilidad de los sistemas de
informacin y comunicacin en el Departamento de Sistemas de la
Cooperativa de Ahorro y Crdito San Francisco Ltda.
-
7/25/2019 Tesis_t715si
21/176
7
1.7.2 Objetivos Especficos
Investigar las normas y/o procesos de seguridad informtica aplicadas en
el Departamento de Sistemas de la Cooperativa de Ahorro y Crdito SanFrancisco Ltda.
Analizar los parmetros de confidencialidad, integridad y disponibilidad
de los sistemas de informacin y comunicacin del Departamento de
Sistemas de la Cooperativa de Ahorro y Crdito San Francisco Ltda.
Implantar la norma de seguridad informtica ISO 27001 para operar,
monitorear, revisar, mantener y mejorar el Sistema de Gestin de
Seguridad de la Informacin (SGSI) del Departamento de Sistemas de laCooperativa.
-
7/25/2019 Tesis_t715si
22/176
8
CAPITULO II
MARCO TERICO
2.1Antecedentes Investigativos
Revisado archivos investigativos desde de las fuentes bibliogrficas de Internet seha encontrado los siguientes trabajos:
Implementacin del primer Sistema de Gestin de Seguridad de la Informacin,
en el Ecuador, certificado bajo la norma ISO 27001:2005 elaborado por Jos
Alfonso Aranda Segovia trabajo realizado en Guayaquil-Ecuador en el ao 2009
en cuyas conclusiones dice lo siguiente:
La norma ISO 27001 est orientada al tratamiento de la seguridad de lainformacin mediante la gestin del riesgo, tanto para sus activos como para sus
procesos; esto garantiza que ante recursos limitados las inversiones sean bien
focalizadas, para lograr ello se necesita de la concientizacin de la compaa ya
que es un pilar fundamental de esta norma, por lo cual las organizaciones deben
ingeniosamente buscar y adoptar mecanismos que permitan que se despierte un
inters y compromiso por parte de todos los empleados. Adems al tener
implantado un SGSI certificado bajo la norma ISO 27001:2005 no significa contarcon seguridad mxima en la informacin de la organizacin sino que esto
representa que la empresa cumple con los requerimientos y mejores prcticas
establecidas en dicha norma para que su SGSI actual funcione correctamente y
adems pueda evolucionar hacia la sofisticacin.
Implementacin de un Sistema de Gestin de Seguridad de la Informacin
basado en la norma ISO 27001, para la Intranet de la Corporacin Metropolitana
de Salud elaborado por: Flor Mara lvarez Zurita y Pamela Anabel Garca
-
7/25/2019 Tesis_t715si
23/176
9
Guzmn Segovia trabajo realizado en Quito-Ecuador en el ao 2007 en cuyas
conclusiones dice lo siguiente:
El Sistema de Gestin de Seguridad de la Informacin se define para cadaorganizacin en base a los riesgos que est expuesta y los aspectos intrnsecos de
su funcionamiento, y debe alinearse con la actividad de la organizacin; para
realizar de forma estructurada, sistemtica y metdica la gestin de la seguridad
de Tecnologas de Informacin; una adecuada monitorizacin de los recursos de la
red permite determinar posibles cuellos de botella que derivaran en fallos del
sistema y de seguridad, dando tiempo a planificar las ampliaciones o
actualizaciones del sistema con la suficiente antelacin; no se considera necesario
extender el SGSI a toda la organizacin, lo primordial es centrarse en los procesos
principales de la organizacin donde la parte de las actividades relacionadas con
la gestin de la informacin, que suele coincidir con las reas de sistemas de la
informacin donde la seguridad de la informacin que se gestiona es crtico para
las actividades del desarrollo del negocio. Mediante la planificacin se logra una
adecuada implementacin del SGSI, en donde se analiza el negocio para
determinar los activos ms importantes, posteriormente se realiza un anlisis de
los riesgos que las amenazas y vulnerabilidades pueden generar, los cuales sern
gestionados con controles apropiadamente implementados y criterios establecidos;
asimismo para el establecimiento de seguridad de la informacin se considera tres
pilares fundamentales: tecnologa, procesos y las personas: Las empresas
comnmente invierten grandes sumas de dinero en tecnologa y definicin de
procesos, y se han descuidado del personal de la empresa convirtindose as en el
eslabn ms dbil de la cadena de seguridad, por esta razn es fundamental
concienciar y fomentar la cultura de la seguridad de la informacin.
2.2Fundamentacin Legal
2.2.1 Ley de comercio electrnico, firmas electrnicas y mensajes de
datos.
-
7/25/2019 Tesis_t715si
24/176
10
TTULO PRELIMINAR
Artculo 1.- Objeto de la Ley .- Esta Ley regula los mensajes de datos, la
firma electrnica, los servicios de certificacin, la contratacin electrnica ytelemtica, la prestacin de servicios electrnicos, a travs de redes de
informacin, incluido el comercio electrnico y la proteccin a los usuarios de
estos sistemas.
TTULO I
DE LOS MENSAJES DE DATOS
CAPTULO I
PRINCIPIOS GENERALES
Artculo 2.- Reconocimiento jurdico de los mensajes de datos.- Los
mensajes de datos tendrn igual valor jurdico que los documentos escritos. Su
eficacia, valoracin y efectos se someter al cumplimiento de lo establecido en
esta Ley y su reglamento.
Artculo 3.- Incorporacin por remisin.-Se reconoce validez jurdica a la
informacin no contenida directamente en un mensaje de datos, siempre quefigure en el mismo, en forma de remisin o de anexo accesible mediante un
enlace electrnico directo y su contenido sea conocido y aceptado
expresamente por las partes.
Artculo 4.- Propiedad Intelectual.- Los mensajes de datos estarn
sometidos a las leyes, reglamentos y acuerdos internacionales relativos a la
propiedad intelectual.
Artculo 5.- Confidencialidad y reserva.- Se establecen los principios de
confidencialidad y reserva para los mensajes de datos, cualquiera sea su
forma, medio o intencin. Toda violacin a estos principios, principalmente
aquellas referidas a la intrusin electrnica, transferencia ilegal de mensajes de
datos o violacin del secreto profesional, ser sancionada conforme a lo
dispuesto en esta Ley y dems normas que rigen la materia.
-
7/25/2019 Tesis_t715si
25/176
11
Artculo 6.- Informacin escrita.-Cuando la Ley requiera u obligue que la
informacin conste por escrito, este requisito quedar cumplido con un
mensaje de datos, siempre que la informacin que ste contenga sea accesible
para su posterior consulta.
Artculo 7.- Informacin original.-Cuando la Ley requiera u obligue que la
informacin sea presentada o conservada en su forma original, este requisito
quedar cumplido con un mensaje de datos, si siendo requerido conforme a la
Ley, puede comprobarse que ha conservado la integridad de la informacin, a
partir del momento en que se gener por primera vez en su forma definitiva,
como mensaje de datos. Se considera que un mensaje de datos permanece
ntegro, si se mantiene completo e inalterable su contenido, salvo algn
cambio de forma, propio del proceso de comunicacin, archivo o presentacin.
Artculo 8.- Conservacin de los mensajes de datos.- Toda informacin
sometida a esta Ley, podr ser conservada; ste requisito quedar cumplido
mediante el archivo del mensaje de datos, siempre que se renan las siguientes
condiciones:
Que la informacin que contenga sea accesible para su posterior
consulta;
Que sea conservado con el formato en el que se haya generado,
enviado o recibido, o con algn formato que sea demostrable que
reproduce con exactitud la informacin generada, enviada o recibida;
Que se conserve todo dato que permita determinar el origen, el destino
del mensaje, la fecha y hora en que fue creado, generado, procesado,
enviado, recibido y archivado; y,
Que se garantice su integridad por el tiempo que establezca en el
Reglamento a esta Ley.
Toda persona podr cumplir con la conservacin de mensajes de datos, usando
los servicios de terceros, siempre que se cumplan las condiciones mencionadas
en este artculo.
-
7/25/2019 Tesis_t715si
26/176
12
La informacin que tenga por nica finalidad facilitar el envo o recepcin del
mensaje de datos, no ser obligatorio el cumplimiento de lo establecido en los
literales anteriores.
Artculo 9.- Proteccin de datos.- Para la elaboracin, transferencia o
utilizacin de bases de datos, obtenidas directa o indirectamente del uso o
transmisin de mensajes de datos, se requerir el consentimiento expreso del
titular de stos, quien podr seleccionar la informacin a compartirse con
terceros.
La recopilacin y uso de datos personales responder a los derechos de
privacidad, intimidad y confidencialidad garantizados por la Constitucin
Poltica de la Repblica y esta Ley, los cuales podrn ser utilizados o
transferidos nicamente con autorizacin del titular u orden de autoridad
competente.
No ser preciso el consentimiento para recopilar datos personales de fuentes
accesibles al pblico, cuando se recojan para el ejercicio de las funciones
propias de la administracin pblica, en el mbito de su competencia, y
cuando se refieran a personas vinculadas por una relacin de negocios, laboral,
administrativa o contractual y sean necesarios para el mantenimiento de las
relaciones o para el cumplimiento del contrato.
El consentimiento a que se refiere este artculo podr ser revocado a criterio
del titular de los datos; la revocatoria no tendr en ningn caso efecto
retroactivo.
Artculo 11.- Envo y recepcin de los mensajes de datos.- Salvo pacto en
contrario, se presumir que el tiempo y lugar de emisin y recepcin del
mensaje de datos, son los siguientes:
Momento de emisin del mensaje de datos.-Cuando el mensaje de
datos ingrese en un sistema de informacin o red electrnica que no
est bajo control del emisor o de la persona que envi el mensaje en
nombre de ste o del dispositivo electrnico autorizado para el efecto.
-
7/25/2019 Tesis_t715si
27/176
13
Momento de recepcin del mensaje de datos.-Cuando el mensaje de
datos ingrese al sistema de informacin o red electrnica sealado por
el destinatario.
Si el destinatario designa otro sistema de informacin o red electrnica, el
momento de recepcin se presumir aquel en que se produzca la recuperacin
del mensaje de datos. De no haberse sealado un lugar preciso de recepcin, se
entender que sta ocurre cuando el mensaje de datos ingresa a un sistema de
informacin o red electrnica del destinatario, independientemente de haberse
recuperado o no el mensaje de datos; y,
Lugares de envo y recepcin.- Los acordados por las partes, sus
domicilios legales o los que consten en el certificado de firma
electrnica, del emisor y del destinatario. Si no se los pudiere
establecer por estos medios, se tendrn por tales, el lugar de trabajo, o
donde desarrollen el giro principal
Artculo 10.- Procedencia e identidad de un mensaje de datos.- Salvo
prueba en contrario se entender que un mensaje de datos proviene de quien loenva y, autoriza a quien lo recibe, para actuar conforme al contenido del
mismo, cuando de su verificacin exista concordancia entre la identificacin
del emisor y su firma electrnica, excepto en los siguientes casos:
Si se hubiere dado aviso que el mensaje de datos no proviene de quien
consta como emisor; en este caso, el aviso se lo har antes de que la
persona que lo recibe acte conforme a dicho mensaje. En caso
contrario, quien conste como emisor deber justificar plenamente que
el mensaje de datos no se inici por orden suya o que el mismo fue
alterado; y,
Si el destinatario no hubiere efectuado diligentemente las
verificaciones correspondientes o hizo caso omiso de su resultado.
-
7/25/2019 Tesis_t715si
28/176
14
Artculo 11.- Envo y recepcin de los mensajes de datos.- Salvo pacto en
contrario, se presumir que el tiempo y lugar de emisin y recepcin del
mensaje de datos, son los siguientes:
Momento de emisin del mensaje de datos.- Cuando el mensaje de
datos ingrese en un sistema de informacin o red electrnica que no
est bajo control del emisor o de la persona que envi el mensaje en
nombre de ste o del dispositivo electrnico autorizado para el efecto.
Momento de recepcin del mensaje de datos.- Cuando el mensaje de
datos ingrese al sistema de informacin o red electrnica sealado por
el destinatario. Si el destinatario designa otro sistema de informacin ored electrnica, el momento de recepcin se presumir aquel en que se
produzca la recuperacin del mensaje de datos. De no haberse sealado
un lugar preciso de recepcin, se entender que sta ocurre cuando el
mensaje de datos ingresa a un sistema de informacin o red electrnica
del destinatario, independientemente de haberse recuperado o no el
mensaje de datos; y,
Lugares de envo y recepcin.- Los acordados por las partes, sus
domicilios legales o los que consten en el certificado de firma
electrnica, del emisor y del destinatario. Si no se los pudiere
establecer por estos medios, se tendrn por tales, el lugar de trabajo, o
donde desarrollen el giro principal de sus actividades o la actividad
relacionada con el mensaje de datos.
Artculo 12.- Duplicacin del mensaje de datos.- Cada mensaje de datos
ser considerado diferente. En caso de duda, las partes pedirn laconfirmacin del nuevo mensaje y tendrn la obligacin de verificar
tcnicamente la autenticidad del mismo. [Extrado desde
http://sinar.gov.ec/downloads/L_comercio.pdf]
-
7/25/2019 Tesis_t715si
29/176
15
2.2.2 Ley de Propiedad Intelectual
TITULO PRELIMINAR
Art. 1.- El Estado reconoce, regula y garantiza la propiedad intelectual
adquirida de conformidad con la ley, las Decisiones de la Comisin de la
Comunidad Andina y los convenios internacionales vigentes en el Ecuador.
La propiedad intelectual comprende:
Los derechos de autor y derechos conexos.
La propiedad industrial, que abarca, entre otros elementos, los siguientes:
Las invenciones;
Los dibujos y modelos industriales;
Los esquemas de trazado (topografas) de circuitos integrados;
La informacin no divulgada y los secretos comerciales e industriales;
Las marcas de fbrica, de comercio, de servicios y los lemas
comerciales;
Las apariencias distintivas de los negocios y establecimientos de
comercio;
Los nombres comerciales;
Las indicaciones geogrficas; e,
Cualquier otra creacin intelectual que se destine a un uso agrcola,
industrial o comercial.
Las obtenciones vegetales.
-
7/25/2019 Tesis_t715si
30/176
16
Las normas de esta Ley no limitan ni obstaculizan los derechos consagrados
por el Convenio de Diversidad Biolgica, ni por las leyes dictadas por el
Ecuador sobre la materia.
SECCIN I
PRECEPTOS GENERALES
Programa de ordenador (software): Toda secuencia de instrucciones o
indicaciones destinadas a ser utilizadas, directa o indirectamente, en un
dispositivo de lectura automatizada, ordenador, o aparato electrnico o similar
con capacidad de procesar informacin, para la realizacin de una funcin otarea, u obtencin de un resultado determinado, cualquiera que fuere su forma
de expresin o fijacin. El programa de ordenador comprende tambin la
documentacin preparatoria, planes y diseos, la documentacin tcnica, y los
manuales de uso.
Publicacin:Produccin de ejemplares puesto al alcance del pblico con el
consentimiento del titular del respectivo derecho, siempre que la
disponibilidad de tales ejemplares permita satisfacer las necesidades
razonables del pblico, teniendo en cuenta la naturaleza de la obra.
SECCIN II
OBJETO DEL DERECHO DE AUTOR
Art. 8.- La proteccin del derecho de autor recae sobre todas las obras del
ingenio, en el mbito literario o artstico, cualquiera que sea su gnero, formade expresin, mrito o finalidad. Los derechos reconocidos por el presente
Ttulo son independientes de la propiedad del objeto material en el cual est
incorporada la obra y su goce o ejercicio no estn supeditados al requisito del
registro o al cumplimiento de cualquier otra formalidad.
SECCIN V
DISPOSICIONES ESPECIALES SOBRE CIERTAS OBRAS
-
7/25/2019 Tesis_t715si
31/176
17
PARGRAFO PRIMERO DE LOS PROGRAMAS DE ORDENADOR
Art. 28.- Los programas de ordenador se consideran obras literarias y se
protegen como tales. Dicha proteccin se otorga independientemente de quehayan sido incorporados en un ordenador y cualquiera sea la forma en que
estn expresados, ya sea en forma legible por el hombre (cdigo fuente) o en
forma legible por mquina (cdigo objeto), ya sean programas operativos y
programas aplicativos, incluyendo diagramas de flujo, planos, manuales de
uso, y en general, aquellos elementos que conformen la estructura, secuencia y
organizacin del programa.
Art. 29.- Es titular de un programa de ordenador, el productor, esto es la
persona natural o jurdica que toma la iniciativa y responsabilidad de la
realizacin de la obra. Se considerar titular, salvo prueba en contrario, a la
persona cuyo nombre conste en la obra o sus copias de la forma usual.
Dicho titular est adems legitimado para ejercer en nombre propio los
derechos morales sobre la obra, incluyendo la facultad para decidir sobre su
divulgacin.
El productor tendr el derecho exclusivo de realizar, autorizar o prohibir la
realizacin de modificaciones o versiones sucesivas del programa, y de
programas derivados del mismo.
Las disposiciones del presente artculo podrn ser modificadas mediante
acuerdo entre los autores y el productor.
Art. 30.- La adquisicin de un ejemplar de un programa de ordenador que
haya circulado lcitamente, autoriza a su propietario a realizar exclusivamente:
Una copia de la versin del programa legible por mquina (cdigo objeto) con
fines de seguridad o resguardo;
Fijar el programa en la memoria interna del aparato, ya sea que dicha fijacin
desaparezca o no al apagarlo, con el nico fin y en la medida necesaria para
utilizar el programa; y,
-
7/25/2019 Tesis_t715si
32/176
18
Salvo prohibicin expresa, adaptar el programa para su exclusivo uso
personal, siempre que se limite al uso normal previsto en la licencia. El
adquirente no podr transferir a ningn ttulo el soporte que contenga el
programa as adaptado, ni podr utilizarlo de ninguna otra forma sin
autorizacin expresa, segn las reglas generales.
Se requerir de autorizacin del titular de los derechos para cualquier otra
utilizacin, inclusive la reproduccin para fines de uso personal o el
aprovechamiento del programa por varias personas, a travs de redes u otros
sistemas anlogos, conocidos o por conocerse.
Art. 31.- No se considerar que exista arrendamiento de un programa de
ordenador cuando ste no sea el objeto esencial de dicho contrato. Se
considerar que el programa es el objeto esencial cuando la funcionalidad del
objeto materia del contrato, dependa directamente del programa de ordenador
suministrado con dicho objeto; como cuando se arrienda un ordenador con
programas de ordenador instalados previamente.
Art. 32.- Las excepciones al derecho de autor establecidas en los artculos 30 y
31 son las nicas aplicaciones respecto a los programas de ordenador.
Las normas contenidas en el presente Prrafo se interpretarn de manera que
su aplicacin no perjudique la normal explotacin de la obra o los intereses
legtimos del titular de los derechos. [Extrado desde
http://www.cetid.abogados.ec/archivos/80.pdf]
-
7/25/2019 Tesis_t715si
33/176
19
2.3Grfica de inclusin de las Categoras Fundamentales
Figura N2.1:Categora Fundamental Variable IndependienteElaborado por:Tania Guachi
F igura N2.2:Categora Fundamental Variable DependienteElaborado por:Tania Guachi
Control deCalidad
NormasISO
Norma deSeguridad
InformticaISO 27001
Software
Aplicacionesy Redes
Informticas
Sistemas deInformacin yComunicacin
-
7/25/2019 Tesis_t715si
34/176
20
2.3.1 Constelacin de Ideas
F igura N. 2.3.Constelacin de ideas de la variable independienteElaborado por:Tania Guachi
F igura N. 2.4.Constelacin de ideas de la variable dependienteElaborado por:Tania Guachi
Norma deSeguridad
InformticaISO 27001
AuditoraInformtica
EstndaresISO
Sistema deGestin de
Seguridad dela Informacin
Control deRiesgos
Polticas deSeguridad
SeguridadInformtica
Sistemas deInformacin y
comunicacin
AplicacionesInformticas
Sistemas deComunicacin
Redes deComputadoras
SistemaOperativo
Software
-
7/25/2019 Tesis_t715si
35/176
21
2.4 Categoras Fundamentales
2.4.1 Control de Calidad
Definicin de Control de Calidad
Es el conjunto de tcnicas y actividades de accin operativa que se utilizan,
actualmente, para evaluar los requisitos que se deben cumplir con estndares
respecto de la calidad del producto o servicio, cuya responsabilidad recae,
especficamente, en el trabajador competente. Un factor importante para el
funcionamiento de una organizacin es la calidad de sus productos y servicios.
El proceso de control tiene la naturaleza de un ciclo de retroalimentacin.
El control incluye la siguiente secuencia universal de pasos:
Seleccionar el sujeto de control: esto es, escoger lo que se quiere
regular.
Elegir una unidad de medida.
Establecer una meta para el sujeto de control.
Crear un sensor que pueda medir el sujeto de control en trminos de la
unidad de medida.
Medir el desempeo real.
Interpretar la diferencia entre el desempeo real y la meta.
Tomar medidas (si es necesario) sobre la diferencia.
La anterior secuencia de pasos es universal, es decir, se aplica al control de
costos, al control de inventario, al control de calidad, etctera.
El seguimiento detallado de los procesos dentro de una empresa para mejorar
la calidad del producto y/o servicio se lo realiza mediante la implantacin de
-
7/25/2019 Tesis_t715si
36/176
22
programas, mecanismo, herramientas y/o tcnicas de la empresa para la
mejora de la calidad de sus productos, servicios y productividad.
El control de la calidad es una estrategia para asegurar el cuidado y mejoracontinua en la calidad ofrecida consiguiendo cumplir los objetivos de la
empresa.
Ventajas de establecer procesos de control de calidad
Muestra el orden, la importancia y la interrelacin de los distintos
procesos de la empresa.
Se realiza un seguimiento ms detallado de las operaciones que se
realizan dentro de la empresa.
Se detectan los problemas antes y se corrigen ms fcilmente de
manera eficiente.
2.4.2 NORMAS ISO
Norma
Una norma es un modelo, un patrn, ejemplo o criterio a seguir que tiene por
finalidad definir las caractersticas que deben poseer un objeto y los productos
que proporcionan una compatibilidad con otros productos y as podrn ser
usados a nivel internacional.
ISO
La ISO (International Standarization Organization) es una entidad
internacional encargada de coordinar y unificar las normas nacionales, es decir
ayuda a establecer la normalizacin en el mundo.
Definicin de Norma ISO
Norma ISO se denomina a un conjunto de normas en las que se establecen los
diferentes modelos de aseguramiento de calidad, facilitando as la
-
7/25/2019 Tesis_t715si
37/176
23
coordinacin y unificacin de las normas internacionales e incorporando la
idea de estandarizacin logrando beneficios para los productores y
compradores de bienes y servicios.
Las normas ISO surgieron en el ao 1987 por la Organizacin Internacional de
Normalizacin (International Standard Organization ISO), formada por ms de
90 Organismos de Normalizacin, aparecieron como consecuencia de la
internacionalizacin de los mercados, logrando la fortaleza de los mismos y la
necesidad de incrementar la competitividad de productos y servicios.
Estructura de la organizacin.- La Organizacin ISO est compuesta por tres
tipos de miembros:
Miembros natos, uno por pas, recayendo la representacin en el
organismo nacional ms representativo.
Miembros correspondientes, de los organismos de pases en vas de
desarrollo y que todava no poseen un comit nacional de
normalizacin. No toman parte activa en el proceso de normalizacin
pero estn puntualmente informados acerca de los trabajos que les
interesen.
Miembros suscritos, pases con reducidas economas a los que se les
exige el pago de tasas menores que a los correspondientes.
[Extrado desde
http://es.wikipedia.org/wiki/Organizaci%C3%B3n_Internacional_para_la_Estandarizaci%C3
%B3n]
La familia ISO
Las series de normas ISO relacionadas con la calidad constituyen lo que se
denomina familia de normas, las que abarcan distintos aspectos relacionados
con la calidad:
-
7/25/2019 Tesis_t715si
38/176
24
ISO 9000: Sistemas de Gestin de Calidad
Fundamentos, vocabulario, requisitos, elementos del sistema de
calidad, calidad en diseo, fabricacin, inspeccin, instalacin, venta,
servicio post venta, directrices para la mejora del desempeo.
ISO 10000:Guas para implementar Sistemas de Gestin de Calidad
(SGC)/ Reportes Tcnicos.- Gua para planes de calidad, para la
gestin de proyectos, para la documentacin de los SGC, para la
gestin de efectos econmicos de la calidad, para aplicacin de
tcnicas estadsticas en las Normas ISO 9000. Requisitos de
aseguramiento de la calidad para equipamiento de medicin,aseguramiento de la medicin.
ISO 14000: Sistemas de Gestin Ambiental de las Organizaciones.
Principios ambientales, etiquetado ambiental, ciclo de vida del
producto, programas de revisin ambiental, auditoras.
ISO 19011:Directrices para la Auditora de los SGC y/o Ambiental
[Extrado desdehttp://www.unlu.edu.ar/~ope20156/normasiso.htm]
Importancia
Bsicamente una norma ISO sirve como garanta de calidad, debido a la
presin que ejerce el cliente sobre la necesidad de adquirir un producto de
calidad. Su importancia radica en la confianza que se genera entre el
proveedor, el producto y el cliente. Por otro lado sirve de ayuda para que una
empresa, organizacin, cooperativa o entidad se vuelva competitiva, ya que siun tercero realiza una audicin y comprueba que los productos y sistemas son
buenos, pues los comprarn esto conllevar a tener beneficios dentro de la
organizacin ya que incrementar la productividad.
2.4.3 Norma de seguridad informtica ISO 27001
El estndar para la seguridad de la informacin ISO/IEC 27001 fue aprobado y
publicado como estndar internacional en octubre de 2005 por International
-
7/25/2019 Tesis_t715si
39/176
25
Organization for Standardization (ISO) y por la comisin International
Electrotechnical Commission (IEC).
Los objetivos de seguridad pueden variar considerablemente dependiendo delsector en el que se encuentre la organizacin, pero de forma general estos
objetivos estn directamente ligados a la seguridad de procesos organizativos,
procesos de produccin, al ciclo de vida de la informacin y obviamente, al
cumplimiento de la legislacin vigente.
F igura N2.4.1: Aspectos que cubre la norma ISO 27001Fuente:http://www.tcpsi.com/vermas/ISO_27001.htm
La norma adopta una aproximacin de proceso al establecimiento, a la
implementacin, a la operacin, al monitoreo, a la revisin, al mantenimiento
y a la mejora del Sistema de Gestin de Seguridad de la Informacin (SGSI)
de una organizacin.
BS 7799 es un estndar publicado originalmente por Grupo BSI en 1995. Fue
escrito por el Reino Unido Departamento de Gobierno de Comercio e
Industria (DTI), y consisti en varias partes.
La primera parte, que contiene las mejores prcticas para la Gestin de
Seguridad de la Informacin, fue revisado en 1998, despus de una larga
-
7/25/2019 Tesis_t715si
40/176
26
discusin en los organismos de normalizacin en todo el mundo, fue
finalmente aprobado por la ISO como ISO / IEC 17799, "Tecnologas de la
Informacin - Cdigo de buenas prcticas para la gestin de seguridad de la
informacin", en el ao 2000. ISO / IEC 17799 fue revisado en junio de 2005
y, finalmente, incorporado en la serie ISO 27000 de normas como ISO / IEC
27002 en julio de 2007.
La segunda parte de BS 7799 se public por primera vez por BSI en 1999,
conocida como BS 7799 parte 2, titulada "Informacin sobre Sistemas de
Gestin de seguridad: Especificacin con orientacin para su uso" BS 7799-2
se centr en cmo implementar un sistema de gestin de seguridad de la
informacin (SGSI), en referencia a la estructura de informacin de gestin de
seguridad y los controles identificados en la BS 7799-2, que ms tarde se
convirti en la norma ISO / IEC 27001. La versin 2002 de BS 7799-2
present el Plan-Do-Check-Act (PDCA) (modelo de aseguramiento de la
calidad de Deming), alinendola con las normas de calidad como ISO 9000.
BS 7799 parte 2 fue adoptado por la ISO como ISO / IEC 27001 en noviembre
de 2005.
BS7799 Parte 3 se public en 2005, que abarca el anlisis de riesgos y la
gestin. Se alinea con la norma ISO / IEC 27001
[Extrado desde http://en.wikipedia.org/wiki/BS_7799]
La Organizacin Internacional de Estandarizacin (ISO) estableci la norma
ISO 27001, la cual se emplea para la certificacin. Ha reemplazado el estndar
BS 7799 y brinda una norma internacional para sistemas de gestin de
seguridad de la informacin. Con base en el estndar BS 7799, se la ha
reorganizado para alinearse con otras normas internacionales. Se han incluido
algunos nuevos controles, es decir, el nfasis en las mtricas para la seguridad
de la informacin y la gestin de incidentes.
-
7/25/2019 Tesis_t715si
41/176
27
Protegiendo activos
La norma plantea un enfoque completo a la seguridad de la informacin
teniendo en cuenta que los activos que necesitan proteccin son: informacindigital, documentos en papel y activos fsicos (computadoras y redes). Para
lograr este objetivo se elabora mecanismos que van desde el desarrollo de
competencia del personal de la organizacin hasta la proteccin tcnica contra
los fraudes informticos.
ISO 27001 ayudar a proteger la informacin en trminos de:
Confidencialidad, que asegura la accesibilidad de la informacinsolamente a los que estn autorizados a tener acceso.
Integridad, que protege la precisin y la totalidad de la informacin y
los mtodos de procesamiento.
Disponibilidad, que asegura que los usuarios autorizados tengan acceso
a la informacin y activos relacionados cuando se lo exija.
En conformidad con otras normas de sistemas de gestin la norma ISO 27001
est alineada con otros sistemas de gestin y soporta la implementacin y la
operacin coherente e integrada con normas de gestin relacionadas. El
resultado es: Armonizacin con normas de sistemas de gestin como ISO 9001
e ISO 14001.
Adems la norma ISO proporciona un nfasis en la mejora continua de
procesos del SGSI.
Este estndar promueve la adopcin de un enfoque del proceso para establecer,
implementar, operar, monitorear, revisar, mantener y mejorar el SGSI de una
organizacin, as tambin adopta el modelo de proceso Planear-hacer-
chequear-actuar (PDCA), el cual se puede aplicar a todos los procesos del
Sistema de Gestin de Seguridad de la Informacin.
-
7/25/2019 Tesis_t715si
42/176
28
F igura N2.4.2: Modelo PDCA aplicado a los procesos SGSIElaborado por:Tania Guachi
Beneficios
Diferenciacin sobre la competencia y el mercado.
Mejora del conocimiento de los sistemas de informacin, sus
problemas y los medios de proteccin.
Proteccin de la informacin y cumplimiento legal sobre esta materia.
Mejora la confianza de clientes y socios al aumentar las garantas de
calidad, confidencialidad y disponibilidad.
Reduccin de costos (econmicos y de imagen) vinculados a
incidencias que afecten al tratamiento de la informacin.
Acceso a oportunidades de negocio donde se valoren o incluso se
exijan a los proveedores certificaciones reconocidas como por ejemplo
con organismos gubernamentales y clientes de sectores especficos
(banca, seguros, farmacuticas, salud, aeroespacial, etc.).
Establecimiento de una metodologa de gestin de la seguridad de la
informacin clara y bien estructurada.
PartesInteresadas
Requerimientosy expectativasde la seguridadde lainformacin.
PartesInteresadas
Seguridaddeinformacinmanejada.
Establecer elSGSI
Monitorear y revisar elSGSI.
Implementary operar elSGSI.
Mantenery mejorarel SGSI.
Desarrollar,manejar ymejorar elciclo
Plan
Hacer Actuar
Chequear
-
7/25/2019 Tesis_t715si
43/176
29
Los riesgos y sus respectivos controles son revisados constantemente.
Las auditoras externas e internas permiten identificar posibles
debilidades del sistema.
Continuidad en las operaciones del negocio tras incidentes de
gravedad.
2.4.4 Software
Software es una palabra proveniente del ingls (literalmente: partes blandas o
suaves), que en nuestro idioma no posee una traduccin adecuada al contexto,
por lo cual se la utiliza asiduamente sin traducir. Se refiere al equipamiento
lgico o soporte lgico de un computador digital, comprende el conjunto de
los componentes lgicos necesarios para hacer posible la realizacin de una
tarea especfica, en contraposicin a los componentes fsicos del sistema
(hardware).
Clasificacin del software
Se puede clasificar al software de la siguiente forma:
Software de sistema: Es aquel que permite que el hardware funcione. Su
objetivo es desvincular adecuadamente al programador de los detalles del
computador en particular que se use, aislndolo especialmente del
procesamiento referido a las caractersticas internas de: memoria, discos,
puertos y dispositivos de comunicaciones, impresoras, pantallas, teclados, etc.
Software de programacin: Es el conjunto de herramientas que permiten al
programador desarrollar programas informticos, usando diferentes
alternativas y lenguajes de programacin, de una manera prctica. Incluye
entre otros:
Editores de texto
Compiladores
-
7/25/2019 Tesis_t715si
44/176
30
Intrpretes
Enlazadores
Depuradores
Software de aplicacin: Aquel que permite a los usuarios llevar a cabo una o
varias tareas especficas, en cualquier campo de actividad susceptible de ser
automatizado o asistido, con especial nfasis en los negocios.
Sistema operativo
Un sistema operativo es un programa que controla la ejecucin de losprogramas de aplicacin y que acta como interfaz entre las aplicaciones del
usuario y el hardware de un computador. Se considera que un Sistema
Operativo tiene tres objetivos:
Comodidad: Un sistema operativo hace que un computador sea ms
cmodo de utilizar.
Eficiencia: Un sistema operativo permite que los recursos de un
sistema informtico se aprovechen de manera ms eficiente.
Capacidad de evolucin: Un sistema operativo debe construirse de
modo que permita el desarrollo efectivo, le verificacin y la
introduccin de nuevas funciones en el sistema y, a la vez, no interferir
en los servicios que brindan,
Un sistema operativo desempea funciones como:
Interfaces del usuario.- Es la parte del sistema operativo que permite
comunicarse con l de tal manera que se puedan cargar programas, acceder
archivos y realizar otras tareas. Existen tres tipos bsicos de interfaces: las que
se basan en comandos, las que utilizan mens y las interfaces grficas de
usuario.
-
7/25/2019 Tesis_t715si
45/176
31
Administracin de recursos.- Sirven para administrar los recursos de
hardware y de redes de un sistema informativo, como el CPU, memoria,
dispositivos de almacenamiento secundario y perifricos de entrada y de
salida.
Administracin de archivos.- Un sistema de informacin contiene programas
de administracin de archivos que controlan la creacin, borrado y acceso de
archivos de datos y de programas. Tambin implica mantener el registro de la
ubicacin fsica de los archivos en los discos magnticos y en otros
dispositivos de almacenamiento secundarios.
Administracin de tareas.- Los programas de administracin de tareas de un
sistema operativo administran la realizacin de las tareas informticas de los
usuarios finales. Los programas controlan que reas tiene acceso al CPU y por
cunto tiempo. Las funciones de administracin de tareas pueden distribuir una
parte especfica del tiempo del CPU para una tarea en particular, e interrumpir
al CPU en cualquier momento para sustituirla con una tarea de prioridad.
[Extrado desde http://es.kioskea.net/contents/systemes/sysintro.php3]
2.4.5 Aplicaciones y Redes Informticas
Aplicacin informtica
Es un programa informtico que permite a un usuario utilizar una computadora
con un fin especfico. Las aplicaciones son parte del software de una
computadora, y suelen ejecutarse sobre el sistema operativo.
Caractersticas de las aplicaciones informticas
En general, una aplicacin es un programa compilado, escrito en
cualquier lenguaje de programacin.
Las aplicaciones pueden tener distintas licencias de distribucin como
ser freeware, shareware, trialware, etc.
-
7/25/2019 Tesis_t715si
46/176
32
Las aplicaciones tienen algn tipo de interfaz, que puede ser una
interfaz de texto o una interfaz grfica (o ambas).
Las aplicaciones informticas suelen resultar una solucin informtica para laautomatizacin de ciertas tareas complicadas como puede ser la contabilidad o
la gestin de un almacn. Ciertas aplicaciones desarrolladas a medida suelen
ofrecer una gran potencia ya que estn exclusivamente diseadas para resolver
un problema especfico. Otros, llamados paquetes integrados de software,
ofrecen menos potencia pero a cambio incluyen varias aplicaciones, como un
programa procesador de textos, de hoja de clculo y de base de datos.
Redes Informticas
Una red de computadoras, tambin llamada red de ordenadores o red
informtica, es un conjunto de equipos conectados por medio de cables,
seales, ondas o cualquier otro mtodo de transporte de datos (sistema de
comunicacin), que comparten informacin, recursos, servicios, etc.
incrementando la eficiencia y productividad de las personas.
Estructura de las redes
a) El Software de Aplicaciones.- Conjunto de programas que se comunican
con los usuarios de la red y permiten compartir informacin (como
archivos, grficos o vdeos) y recursos (como impresoras o unidades de
disco).
b) El software de Red.- Conjunto de programas que establecen protocolos
para que los ordenadores se comuniquen entre s. Dichos protocolos se
aplican enviando y recibiendo grupos de datos formateados denominados
paquetes. Los protocolos indican cmo efectuar conexiones lgicas entre
las aplicaciones de la red, dirigir el movimiento de paquetes a travs de la
red fsica y minimizar las posibilidades de colisin entre paquetes
enviados simultneamente.
-
7/25/2019 Tesis_t715si
47/176
33
c) El Hardware de Red.- Esta formado por los componentes materiales que
unen los ordenadores. Dos componentes importantes son los medios de
transmisin que transportan las seales de los ordenadores (tpicamente
cables o fibras pticas) y el adaptador de red, que permite acceder al
medio material que conecta a los ordenadores, recibir paquetes desde el
software de red y transmitir instrucciones y peticiones a otros ordenadores.
Servicios de Redes
Servicios de Internet.- Los servicios de internet son productos de software
que proporcionan los servicios tradicionales de internet a los clientes, en
realidad la Web (por medio de los navegadores), FTP (Protocolo de
transmisin de ficheros) y correo electrnico son todos los servicios que
pueden ser tan tiles dentro de la red local como en internet, y muchos otros
servicios dependiendo de las necesidades de los clientes.
Impresin en Red.- El aspecto ms evidente es que compartir impresoras
hace posible a dos o ms usuarios imprimir trabajos al mismo tiempo. Una
solucin es la impresin en red debe incluir por consiguiente algn medio de
almacenar los trabajos pendientes en una cola hasta que la impresora este libre
para procesarlo cuando realiza este proceso de almacenar trabajos de
impresin temporalmente en una unidad de disco, se dice que se ponen los
trabajos en la cola de impresin.
Conexin a Internet.- El acceso a internet se ha convertido en una parte
omnipresente de las redes de los equipos. Bsicamente dar acceso a internet a
los usuarios de una red consiste en establecer una conexin internet ycompartirla en red destinada para las necesidades de los usuarios y de los
servicios vitales para la empresa
Seguridad de Red.- La seguridad es esencial en cualquier red, y muchas de
las tareas cotidianas de mantenimiento de la administracin de red que se
llevan a cabo estn relacionadas con la seguridad proporcionada por los
diversos componentes de la red y los datos del sistema de daos accidentales o
-
7/25/2019 Tesis_t715si
48/176
34
del acceso no autorizado. El objetivo del proceso de administracin de
seguridad es proporcionar a los usuarios accesos a todos los recursos que
necesitan, mientras se les asila de aquellos que no necesitan. El uso adecuado
de las herramientas de administracin de seguridad proporcionadas por los
componentes de la red es esencial para mantener una red segura y productiva.
2.4.6 Sistemas de Informacin y Comunicacin
Sistemas de informacin
Una organizacin es un sistema. Sus componentes (mercadotecnia,
manufactura, ventas, investigacin, embarques contabilidad y personal)trabajan juntos para crear utilidades que beneficien tanto a los empleados
como a los accionistas de la compaa. Todo sistema organizacional depende
en medida, de una entidad abstracta denominada sistema de informacin. Este
sistema es el medio por el cual los datos fluyen de una persona o departamento
hacia otros y pueden ser cualquier cosa, desde la comunicacin interna entre
los diferentes componentes de la organizacin y lneas telefnicas hasta
sistemas de cmputo que generan reportes peridicos para varios usuarios. Los
sistemas de informacin proporcionan servicios a todos los dems sistemas de
una organizacin y enlazan todos sus componentes en forma tal que estos
trabajen con eficiencia para alcanzar el mismo objetivo.
Los sistemas de informacin estn formados por subsistemas que incluyen
hardware, software, medios de almacenamiento de datos para archivos de base
de datos. El conjunto particular de subsistemas utilizados (equipo especfico,
programas, archivos y procedimientos) se les denomina una aplicacin desistemas de informacin. De esta forma, los sistemas de informacin pueden
tener aplicaciones en ventas, contabilidad o compras. Adems un sistema de
informacin es un conjunto de componentes interrelacionados que permiten
reunir, procesar, almacena y distribuir informacin para apoyar la toma de
decisiones y el control de una organizacin.
-
7/25/2019 Tesis_t715si
49/176
35
As mismo los sistemas de informacin tambin ayudan a los administradores
y trabajadores:
a analizar problemas,
visualizar aspectos complejos,
crear productos nuevos.
Un sistema de informacin produce la informacin que las organizaciones
necesitan para:
tomar decisiones,
controlar operaciones,
analizar problemas,
crear y producir y/o servicios nuevos.
Las actividades de un sistema de informacin son: entrada, procesamiento y
salida. La entrada captura o recolecta datos del interior de la organizacin o de
su entorno para ser procesados en un sistema de informacin. El
procesamiento convierte las entradas brutas en una forma que tiene ms
sentido para los humanos. La salida transfiera la informacin procesada a las
personas que la usarn o las actividades en las que ser usada. Los sistemas de
informacin tambin requieren retroalimentacin que consiste en salidas que
se devuelven a los miembros apropiados de la organizacin para ayudarles a
evaluar o corregir la etapa de entrada.
-
7/25/2019 Tesis_t715si
50/176
36
F igura N2.4.3: Ciclo de un Sistema de InformacinElaborado por:Tania Guachi
Tipos y Usos de los Sistemas de Informacin
Los sistemas de informacin dentro de las organizaciones cumplen los
siguientes objetivos:
Automatizacin deprocesos operativos.
Proporcionar informacin que sirva de apoyo al proceso de toma dedecisiones.
Lograr ventajas competitivas a travs de su implantacin y uso.
a) Sistemas Transaccionales.
Son el primer sistema de Informacin que se implementa en la empresa.
Inicia apoyando las tareas a nivel operativo de la organizacin para
continuar con los mandos intermedios y posteriormente la alta
administracin, conforme evolucionan.
Funcin: Procesa transacciones tales como pagos, cobros, plizas,
entradas, salidas, etc.
b) Sistemas de Apoyo de las Decisiones.
Proceso
Almacenamiento
Entrada deDatos
Interfazautomticade entrada
Interfazautomticade salida
Reportes eInformes
Retroalimentacin
http://www.monografias.com/trabajos6/napro/napro.shtmlhttp://www.monografias.com/trabajos14/administ-procesos/administ-procesos.shtml#PROCEhttp://www.monografias.com/trabajos14/administ-procesos/administ-procesos.shtml#PROCEhttp://www.monografias.com/trabajos6/napro/napro.shtml -
7/25/2019 Tesis_t715si
51/176
37
Se define a este sistema, como un conjunto de programas y herramientas
que permiten realizar el anlisis de las diferentes variables de negocio con
la finalidad de apoyar el proceso de toma de decisiones.
Funcin: Ayuda a la toma de decisiones de los administradores al
combinar datos, modelos analticos sofisticados y software amigable en un
solo sistema poderoso que puede dar soporte a la toma de decisiones de la
organizacin.
c) Sistema de Informacin estratgico
Puede ser considerado como el uso de la tecnologa de la informacin parasoportar o dar forma a la estrategia competitiva de la organizacin, a su
plan para incrementar o mantener la ventaja competitiva o bien reducir la
ventaja de sus rivales.
Funcin:No brinda apoyo a la automatizacin de los procesos operativos
ni proporciona informacin para apoyar a la toma de decisiones. Sin
embargo, este tipo de sistemas puede llevar a cabo dichas funciones.
[Extrado desde http://luisa-silva.lacoctelera.net/post/2008/04/22/informatica-principios-
los-sistema-informacion]
Sistemas de Comunicacin
Comunicacin.-Transferencia de informacin de un lugar a otro lugar y que
debe ser: eficiente, confiable, segura.
Definicin: Componentes o subsistemas que permiten la transferencia/
intercambio de informacin.
En la siguiente figura se muestra un diagrama a bloques del modelo bsico de
un sistema de comunicaciones, en ste se muestran los principales
componentes que permiten la comunicacin.
-
7/25/2019 Tesis_t715si
52/176
38
F igura N2.4.4:Modelo bsico de un sistema de comunicacionesElaborado por:Tania Guachi
Elementos bsicos de un sistema de comunicaciones
En toda comunicacin existen tres elementos bsicos (imprescindibles uno del
otro) que son:
a) Transductor de entrada.-Convierte el mensaje a un formato adecuado
para su trasmisin.
El Transmisor pasa el mensaje al canal en forma de seal. Para lograr una
transmisin eficiente y efectiva, se deben desarrollar varias operaciones de
procesamiento de la seal. La ms comn e importante es la modulacin,
un proceso que se distingue por el acoplamiento de la seal transmitida a
las propiedades del canal, por medio de una onda portadora, otra operacinque existe tambin es la codificacin que elimina redundancia presente en
el mensaje (compresin) y se agrega redundancia (bits de paridad) para
aumentar inmunidad frente al ruido. (JPEG).
b) Canal de Transmisin.-o medio es el enlace elctrico entre el transmisor
y el receptor, siendo el puente de unin entre la fuente y el destino. Este
medio puede ser un par de alambres, un cable coaxial, el aire, etc. Pero sin
importar el tipo, todos los medios de transmisin se caracterizan por la
atenuacin, la disminucin progresiva de la potencia de la seal conforme
aumenta la distancia.
La funcin del Receptor es extraer del canal la seal deseada y entregarla
al transductor de salida. Como las seales son frecuentemente muy dbiles,
como resultado de la atenuacin, el receptor debe tener varias etapas de
amplificacin. En todo caso, la operacin clave que ejecuta el receptor es
Transmisor Receptor
Medio o Canalde Transmisin
Informacin
-
7/25/2019 Tesis_t715si
53/176
39
la demodulacin, el caso inverso del proceso de modulacin del
transmisor, con lo cual vuelve la seal a su forma original.
c)
Transductor de salida.-Convierte la seal elctrica a su entrada en unaforma de onda adecuada
F igura N2.4.5: Elementos de un sistema de comunicacinFuente:http://www.eveliux.com/mx/modelo-de-un-sistema-de-comunicaciones.php
Caractersticas deseables de un Sistema de Comunicacin
Buena fidelidad
Potencia de seal baja
Trasmitir una gran cantidad de informacin
Ocupar un ancho de banda pequeo
Bajo costo (complejidad)
Las operaciones digitales complejas se han hecho mucho ms baratas
2.5 Hiptesis
La implantacin de la norma de seguridad informtica ISO 27001 mejorar la
confianza en el manejo de los sistemas de informacin y comunicacin del
departamento de sistemas de la cooperativa.
-
7/25/2019 Tesis_t715si
54/176
40
2.6 Determinacin de Variables
Variable independiente
Norma de seguridad informtica ISO 27001.
Variable dependiente
Sistemas de informacin y comunicacin.
-
7/25/2019 Tesis_t715si
55/176
41
CAPITULO III
METODOLOGA
3.1 Enfoque
El enfoque de la investigacin se realiz de forma cualitativa ya que se obtuvoinformacin directa de los investigados por medio de la aplicacin de una
entrevista, gracias a esto se pudo elaborar un anlisis de resultados y proponer
alternativas de solucin.
3.2 Modalidad bsica de la investigacin.
3.2.1 Investigacin BibliogrficaDocumental
Se realiz una investigacin bibliogrfica acudiendo a libros, tesis,
monografas e incluso al recurso ms importante como es el internet para
obtener informacin ms profunda con respecto a problemas similares, de esta
manera se recopil informacin valiosa que fue usada como sustento
cientfico del proyecto.
3.2.2 Investigacin de Campo
Mediante la elaboracin de este tipo de investigacin se tuvo la oportunidad
de estar cerca y conocer el entorno donde se desenvuelve el Departamento de
Sistemas de la Cooperativa de Ahorro y Crdito SAN FRANCISCO Ltda.,
accediendo a la posibilidad de tener el contacto directo entre el investigador y
la realidad, obteniendo informacin de acuerdo a los objetivos planteados
inicialmente.
-
7/25/2019 Tesis_t715si
56/176
42
3.3 Nivel o tipo de Investigacin
3.3.1 Exploratorio
Se realiz una investigacin de nivel exploratorio, para determinar las
condiciones actuales de la seguridad de los sistemas de informacin y de
comunicacin.
3.3.2 Descriptivo
El proceso investigativo tuvo un nivel descriptivo para conocer con
profundidad el problema, estableciendo sus causas y consecuencias as como
las dificultades por lo que est atravesando.
3.3.3 Asociacin de variables
Se determin la relacin de una variable con la otra y la incidencia que tiene
en la solucin del problema.
3.4 Poblacin y muestra
3.4.1 Poblacin
El proyecto est orientado a una poblacin integrada por cinco personas que
laboran en el departamento de sistemas de la Cooperativa de Ahorro y Crdito
SAN FRANCISCO Ltda.
3.4.2 Muestra
La muestra pasara a ser la misma poblacin puesto que sta es muy reducida.
3.5 Recoleccin de informacin
3.5.1 Plan de Recoleccin de Informacin
Las personas que proporcionarn la informacin sern: Administrador de
redes, Jefe del departamento de Sistemas, dos Desarrolladores y el Asistente
de Mantenimiento.
-
7/25/2019 Tesis_t715si
57/176
43
Para recabar la informacin se utilizar tcnicas como la observacin y la
entrevista con sus respectivos instrumentos que son el registro de datos y un
cuestionario de entrevistas
3.5.2 Procesamiento y anlisis de la Informacin
3.5.2.1 Procesamiento y anlisis de la informacin (Plan que se
emplear para procesar la informacin recogida.)
Lo primero que se realizar al recopilar la informacin, ser seleccionar
los datos que se requiere para el desarrollo del proyecto los mismos que
ser analizados en relacin con el problema y para poder establecer lasconclusiones respectivas asegurando