1 ¿Está de acuerdo con la implementacion de un plan de seguridad Informatico? A todos les agrado la idea de que se implementara 2 ¿Está de acuerdo con qué se mejore en el centro de datos de la empresa? Aunque algunos desconocían del tema, una vez explicado solventaron que si se mejore la forma actual en que se ve el servidor SI NO SI NO
41 3 ¿Le gustaría
que además del CPD (Centro de Procesamiento de Datos) también su equipo de cómputo sea actualizado?
Casi todos los encuestados solventaron que si es necesario la actualización de sus equipos ya que los que tienen ya no trabajan como antes. 4 ¿Actualmente existen reglas para el manejo en las distintas funciones que usted realiza? Todos los encuestados respondieron que las reglas que hay son obsoletas y muy básicas 5 ¿La forma en que se maneja la información actualmente es segura y confiable? Muchos desconocían del tema pero algunos supieron mencionar que están de acuerdo con el manejo de la información. 6 ¿Sabe usted
para que sirve
un plan Informatico de seguridad? Un 75% sabia del tema por el término “seguridad” pero desconocían más allá de lo que trataba en si el desarrollo de un Plan. SI NO SI NO SI NO SI NO
42 7 ¿Cree usted que la red estructurada y la red inalámbrica están bien adecuadas para el nivel de la empresa? Muchos respondieron: con las nuevas instalaciones el cableado se ve mejor pero que aún falta mas detalles.
Elaborado por. Guevara A (2017) – Encuesta realizada a los empleados de los diferentes departamentos de la empresa
Análisis de Resultados de las Encuentas
Mediante el desarrollo de la encuesta me di cuenta que las mayoría de personas que trabajan en la empresa conocen el termino seguridad informática pero no a profundidad con lo cual se obtuvo el resultado de charlar con los usuarios de la Vidriería y que tengan más conocimientos acerca el tema que se va a desarrollar en su lugar de trabajo.
Lista de Cotejo
Esta técnica ayudara a calificar en forma objetiva la actitud del usuario su expresión y compresión oral. Es un instrumento de medición de la observación. (Guevara, 2017).
Entrevista al Jefe del Departamento de Tecnologías. Tabla 3 Entrevista al D. Tecnologias
PREGUNTA RESPUESTA
¿Cree usted que la localización actual del servidor de la empresa está ubicado adecuadamente?
La actual posición del servidor principal de la empresa ayuda que la información que se almacena allí está segura ya que posteriormente donde estaba ubicada traía consigo
43
un riesgo de porcentajes alto de perdida de información.
¿Qué tipo de equipos informáticos maneja actualmente la empresa?
Actualmente la empresa maneja equipos informáticos de media escala es decir, que no tendrán ningún problema que el trabajador manipule la información en dichos equipos con total normalidad.
¿El personal que tiene como herramienta de trabajo un equipo informático tiene bases básicas de manejo del mismo?
Si, el personal que tiene un equipo informático a su cargo si tiene fundamentos básicos de utilización de su equipo de trabajo, esto se a logrado mediante pequeñas capacitaciones que el personal administrativo de la empresa ha realizado a favor del ben uso de equipo en la empresa.
¿Qué tipo de comunicación tiene las terminales de trabajo con otras en la empresa?
Tenemos varias formas de comunicación como lo programas de control remoto, correo dentro de la empresa, red estructurada por cableado e comunicación por el sistema principal que maneja la empresa.
¿Está usted capacitado como encargado del departamento de
Si totalmente apto para el cargo que desempeño en esta empresa ya que consto con título universitario y he recibido capacitaciones acerca el
44
Tecnologías? puesto que ejerzo aquí
¿Tiene planes “”Anti-fallas en su Departamento
Si contamos con políticas de seguridad pero solo cubren hasta ciertos puntos vitales en la empresa pero por fallas menores no hay ningún tipo de plan que se pueda ejecutar si no solo lo ejerce el jefe de Tecnologías.
¿Qué pensaría usted sobre una mejora en la seguridad de la información en la empresa?
Sería una muy buena implementación a la empresa ya que actualmente las medidas que se tiene no cubren en su totalidad todos los fallos que con anterioridad se han presentado.
Elaborado por Guevara A (2017) – Entrevista realizada al gerente de la empresa
Luego de haber realizado la entrevista al jefe de Tecnologías de la empresa Vidriería Lolita admitió que existen vulnerabilidades dentro de la misma que pueden perjudicar a la misma y se observó que hay una favorable acogida para la elaboración del plan de seguridad, porque se obtiene como resultado un beneficio para la seguridad de los datos, equipos y redes, evitando perdidas económicas para el estado.
Lista de Cotejo
Esta técnica se realizó de forma objetiva para medir la actitud de los trabajadores de la Vidriería, teniendo como resultado una favorable acogida para realizar la presente propuesta.
Propuesta Del Investigador
Después de tabular los resultados de la investigación de campo se propone el desarrollo de un plan de seguridad informática en base a parámetros de la norma ISO/EC 27002 para mejorar la seguridad de la información en el área
45
administrativa en la empresa Vidriería Lolita Cía. Ltda. en la ciudad de Santo Domingo, con esta implementación se espera que la solución estará basada en la descripción puntual de los problemas críticos, además del desarrollo y diseño de las estrategias del plan respectivo.
Para el desarrollo de esta propuesta se utilizara la norma ISO/IEC 27002 2013, el objetivo es la mejora continua y se adopta el modelo de gestión de la seguridad Plan- Do- Check- Act (Planificar, Hacer, Verificar y Actuar) para todos los procesos de la empresa Vidriería Lolita. Al utilizar este método aumentara la confidencialidad, integridad y disponibilidad de la información de la empresa. Modelo PDCA (Plan – DO – Check - Act)
Imagen 8 Modelo PDCA (Plan - Do - Check - Act)
Elaborado por: Asesoria de gestion – 2016 – Modelo PDCA (Planificar – Hacer – Verificar - Actuar)
Planificar (Plan): en esta etapa se planifica los cambios y lo que se pretende alcanzar. Es el momento de establecer una estrategia en el papel, de valorar los pasos a seguir y de planificar lo que se debe utilizar para conseguir los fines que se estipulan en este punto.
Hacer (Do): aquí se lleva a cabo lo planeado. Siguiendo lo estipulado en el punto anterior, se procede a seguir los pasos indicados en el mismo orden y proporción en el que se encuentran indicados en la fase de planificación. Verificar (Check): en este paso se debe verificar que se ha actuado de acuerdo
46
a lo planeado así como que los efectos del plan son los correctos y se corresponden a lo que inicialmente se diseñó.
Actuar (Act): a partir de los resultados conseguidos en la fase anterior se procede a recopilar lo aprendido y a ponerlo en marcha. También suelen aparecer recomendaciones y observaciones que suelen servir para volver al paso inicial de Planificar y así el círculo nunca dejará de fluir.
Planteamiento de la propuesta
El objetivo del desarrollo del plan informático en la empresa es el de lograr disminuir en un 35% los riesgos de perdida de información actuales en el que la dicha anteriormente cursa todos los días, con lo propuesto lograremos que sus operaciones tanto administrativas como operativas incrementen en 25%, se dará por hecho que la implementación del plan informático que se está investigando tenga su objetivo alcanzado.
De acuerdo con los temas investigados en el capítulo anterior ya se tiene una idea clara y concisa en qué forma se lo va a llevar a cabo con el desarrollo del plan informático.
A continuación se detallara las fases la cual el investigador llevara a cabo para que la propuesta implantada sea desarrollada con éxito.
Análisis
En esta fase el investigador validará con argumentos y hechos la situación en el que la empresa está cursando actualmente dando como resultado la justificación del tema a proponer.
Diagnostico
En este punto el investigador convierte los resultados del análisis hecho en objetivos que se deben corregir dando así como punto inicial para el desarrollo de la propuesta
47 Planeación
El objetivo de esta fase es determinar la estrategia de estudio, objetivos y alcances de los recursos necesarios, es de relevancia que esta fase sea difundida y aprobada por la organización.
Diseño y Elaboración
Esta fase cumple un rol importante ya que se elaborará los puntos faltantes que le empresa omite en su estado actual de seguridad de la misma, se debe recalcar que la elaboración de la propuesta debe encajar con los resultados obtenidos de la investigación realizada con el punto de no perjudicar el flujo de información que lleva la empresa.
Mejoras
En esta fase ya se implementa las mejoras aplicadas con las normas ISO/IEC 27002 desarrolladas por el investigador y previamente aprobadas por los administradores de la empresa dando una solución a los problemas encontrados en la empresa en el principio de esta investigación.
48
CONCLUSIONES PARCIALES DEL CAPÍTULO
Para el departamento de Tecnologías es de fundamental seguridad el lugar donde se encuentran los servidores ya que es donde reposa la información de la Vidriería es por eso que es vital importancia un plan de seguridad Informática.
No existe una organización que se encargue de indicar a cada uno de los usuarios que responsabilidad tienen cuando se ejecuta una acción, por lo que se debe involucrar a todos los usuarios a precautelar sus equipos y la información que tienen estos.
El control de acceso es primordial, tanto por el equipamiento que hay en él, como es la información almacenada en sus servidores, por lo tanto se debe tomar en cuenta que hay personas que manifiestan poder acceder a él sin ningún control, por lo que es alarmante lo cual se debe tomar correctivos inmediatos sobre el tema que está afectando.
49
CAPÍTULO III
Desarrollo de la Propuesta con su Validación y/o Evaluación de Resultados de su aplicación
Tema
Plan de seguridad informática en base a parámetros de la norma ISO/IEC 27002 para mejorar la seguridad de la información en el área administrativa en la empresa Vidriería Lolita Cía. Ltda. de la ciudad de Santo Domingo.
Objetivos de la Propuesta Objetivo General
Diseñar un Plan de Seguridad Informática en base a los parámetros de la norma ISO/IEC 27002 para mejorar la Seguridad de la Información en el área administrativa en la empresa “Vidriería Lolita Cía. Ltda.”
Objetivos Específicos
Elaborar políticas de seguridad para los actores existentes en la empresa Vidriería Lolita.
Plantear un Plan de contingencias.
Diseñar diagramas de flujo de los procesos que existen en el departamento de Tecnologías.
Realizar las fichas para los distintos registros de las áreas pertinentes.
Descripción de la Propuesta
La propuesta está orientada al desarrollo de un plan de seguridad informática que favorece al mejoramiento de la seguridad, integridad, confidencialidad y alta disponibilidad basada en el parámetro de la norma ISO/IEC 27002 la cual van dirigida organizaciones que ven las ventajas de aplicarlas buenas prácticas de
50
un estándar, proyecto que está destinado para la empresa Vidriería Lolita Cía. Ltda.
Las directrices de esta norma son muchas, entre ellas;
Aplicar la eficacia de las elecciones organizativas y de las actividades operativas que garantiza la:
Confidencialidad Integridad
Disponibilidad de la Información.
Asegurar la Continuidad de la Empresa:
Minimización de los daños en caso de incidentes
Maximización de las inversiones efectuadas para la implementación y la gestión de la seguridad.
Supervisar la seguridad perimetral
Concienciar al personal mediante documentos de seguridad
Se realizó la respectiva inspección en las áreas críticas, donde se encuentran funcionando información, equipos, y redes cuyos riesgos no son iguales pero es necesario establecer las prioridades del plan informático para disminuir las amenazas.
Actividades de la Norma ISO 27002
Políticas de seguridad de la Información Seguridad de los equipos
Segregación de funciones Supervisión.
Control de acceso
Responsabilidad y procedimientos Plan de contingencia
51 Desarrollo de la Propuesta
La propuesta de solución planteada como solución al problema descrito en el capítulo inicial, consiste en realizar un plan de seguridad informática para mejorar la seguridad de la información en la empresa Vidriería Lolita ya que en tal misma existe reglas pero no un plan informático.
Alcance del Plan Informatico
El plan de seguridad abarca a los departamentos del área administrativa de la empresa Vidriería Lolita.
Límites del Plan de Seguridad
El plan Informatico no establecerá políticas o normas de seguridad para el sistema de información que tenga la empresa ya que el mismo ya cuenta con sus propias normas mediante manuales de operación.
Análisis de la Situación Actual
El desarrollo de la investigación dio como resultado fallos en los procedimientos, carencias en las políticas de seguridad y normativas de control aplicables en los procesos informáticos que engloba al control de la información generada por la empresa.
Adicionalmente se suman los ataques de virus informáticos que son ocasionados intencionalmente o por desconocidos de los mismos empleados, en sentido general.
En la empresa Vidriería Lolita se pudo encontrar los siguientes errores:
- No existen las seguridades necesarias para el departamento de Tecnologías tales como: Control de acceso para el ingreso al Departamento de Tecnologías, sistemas de detección y prevención de riesgos naturales.
52
los departamentos de la misma, reflejan la carencia de controles como accesos no autorizados a redes, un control a los equipos que se utilizan en la empresa.
- Carece de un manual de procedimientos, cronogramas y formatos de los procesos informáticos, la ausencia de estos documentos termina en la dificultad.
- Al no existir un plan de contingencia, generaría deficiente tiempo de reacción en el caso de algún tipo de desastres. Todas esas ausencias implica a la empresa como un ente vulnerable en cualquier eventualidad de varios tipos de riesgos informáticos con los que podría cursar.
Lo importante es que la empresa realice una evaluación de riegos formal, para poder tener un conocimiento de la importancia que tienen dichos riesgos. La clave está en que existan políticas de seguridad de la información y que sean puestas en práctica por los empleados de las empresas para que se estén concientizados de la importancia de la información.
Luego del desarrollo de las políticas de seguridad de la información es necesaria un difusión a todos los empleados que intervienen con los activos de la información, ya sea por medio de correo electrónico, por memos de entrega, por capacitaciones, en fin cualquier medio es válido, el fin es de concientizar a los empleados. Todas estas técnicas nos ayudan a controlar nuestros datos.
Análisis FODA de la Norma ISO 27002
Para ello podemos utilizar la matriz FODA. El análisis FODA se puede definir como un análisis estratégico fundamentado en la detección de elementos internos y externos que constituyen un diagnóstico de la capacidad competitiva de la organización.
Esta herramienta puede dar respuesta a uno de los requerimientos que tendrá ISO 9001 en su versión 2015, nos ayudará a conocer nuestro entorno y a nosotros mismos.
53
El análisis FODA se basa en indicadores que justifican cada uno de los elementos que lo componen, pudiendo cuantificarlos para definir, en el desarrollo de plan estratégico, nuestros objetivos.
Fortalezas
Es un estándar adoptado en Ecuador como NTE ISO/IEC 27002:2009 Cada control tiene su guía de implementación para una fácil visión Fácil adaptación para cada organización.
Guía para mejorar la seguridad de la información.
Oportunidades
Es una norma internacional y por eso se la puede aplicar para cualquier institución
Para la implementación de los controles no se requiere revisar los 133 controles, solo los que aplique a la organización
Debilidades
En los objetivos de control no se contempla la trazabilidad No es una guía madura para el análisis de riesgos
Amenazas
Es una norma conceptual, no se tienen las herramientas puntuales para su implementación.
Esta norma no es certificable
Análisis de Resultados
Una vez realizada el análisis de la situación actual de la empresa Vidriería Lolita, se establece la aplicación de la entrevista y encuestas al personal de la empresa para obtener un análisis más exacto de la seguridad informática que posee, los resultados se encuentran en el segundo capítulo del presente proyecto, ya que se obtuvo un resultado lo cual sustenta el problema a resolver.
54 Políticas De Seguridad
Las políticas de seguridad es un conjunto de leyes y normas establecidas para todos los actores existentes dentro de la empresa Vidriería Lolita en Santo Domingo de los Tsáchilas.
Con la colaboración del departamento de Tecnologías de Información se compromete a liderar y fomentar a todos los empleados de la empresa Vidriería Lolita la seguridad de acuerdo a las políticas de seguridad y los objetivos que en la misma se define y apruebe, y cree un sistema de gestión para ña seguridad de la información que se articule de forma que cumpla los requisitos legales o reglamentarios, gestión en la protección y distribución de los activos de la empresa. (Políticas de Seguridad en el Anexo 4).
Para el desarrollo de las políticas de Seguridad para la empresa se encuentran clasificados en las siguientes partes.
Descripción de las Funciones y Cargos del Departamento de Tecnologías La descripción de las funciones en la Vidriería permite definir las esperas del empleador y de los empleados, delimitando claramente las competencias y responsabilidades del empleado colaborador. (HR4free, 2011)
“La descripción de funciones desemboca sobre la creación, para cada una de ellas de formulario recapitulativo, que presenta los elementos claves estos elementos podrán servir de soporte al proceso de reclutamiento a la evaluación anual de los colaboradores.” (HR4free, 2011)
55
Esquemas Gráficos de los Departamentos en la empresa Esquema del departamento de Ventas
Imagen 9 Esquema de la estructura del departamento de ventas
Fuente: Diseñado por Andres Guevara
Esquema del departamento de cobranzas
Imagen 10 Esquema de la estructura del departamento de cobranzas
56 Esquema del departamento de Bodega
Imagen 11 Esquema del departamento de bodega
Fuente: Diseñado por Andres Guevara
Esquema del departamento de Contabilidad Imagen 12 Esquema del departamento de Contabilidad
57 Esquema del departamento de Diseño
Imagen 13 Esquema del departamento de diseño
Fuente: Diseñado por Andres Guevara
Esquema del departamento de TICS
Fuente: Diseñado por Andres Guevara Imagen 14 Esquema del departamento de TICS
58 Flujogramas de Procesos
También conocidos como diagramas de flujo, que representa en manera gráfica los procesos a realizar en un pues o cargo de una empresa.
El diagrama de flujo es utilizado para describir paso a paso las operaciones que se realizaran dentro del proceso de fabricación de un producto, o asimismo la perspectiva comercial de la empresa Vidriería Lolita.
Plan de Contingencia
En la Vidriería Lolita, como una de las principales funciones es proteger la