Tesis sobre El Análisis de la Gestión de Seguridad de TI en las Pymes de la Ciudad de SFM año...
-
Upload
ramon-alexander-paula-reynoso -
Category
Technology
-
view
247 -
download
2
Transcript of Tesis sobre El Análisis de la Gestión de Seguridad de TI en las Pymes de la Ciudad de SFM año...
Universidad Autónoma de Santo DomingoFacultad de Ciencias
Escuela de Informática
Recinto San Francisco de MacorísDivisión de Postgrado y Educación Permanente
TEMA
ANÁLISIS DE LA GESTIÓN DE LA SEGURIDAD DE TECNOLOGÍASDE LA INFORMACIÓN (TI), EN LAS PEQUEÑAS Y MEDIANASEMPRESAS DE SAN FRANCISCO DE MACORÍS, REPÚBLICA
DOMINICANA, AÑO 2014.
TESIS DE CUARTO NIVEL PARA OPTAR POR EL TÍTULO DEMAESTRÍA PROFESIONALIZANTE EN AUDITORÍA Y
SEGURIDAD INFORMÁTICA
SUSTENTANTES
Ramón Alexander Paula Reynoso
Mariano Rosario Frías
ASESOR
Eddy Brito, MA.
SAN FRANCISCO DE MACORÍS
JUNIO, 2016
Los conceptos emitidos en la presente tesis,son de la exclusiva responsabilidad de lossustentantes.
TEMA
Análisis de la Gestión de la Seguridad de Tecnologías de la Información (TI),en las Pequeñas y Medianas Empresas de San Francisco de Macorís,
República Dominicana, Año 2014.
Agradecimientos
A Dios por darnos las fuerzas necesarias para trillar este largo camino, por estar siempre
junto a nosotros a lo largo de este proyecto y por los logros alcanzados en nuestras vidas, por
acompañarnos en este recorrido que hoy llegamos a la meta deseada.
A todos los maestros que han sido nuestro facilitadores en esta maestría, por creer
siempre en nuestro potencial.
A la Universidad Autónoma de Santo Domingo (UASD), Recinto San Francisco de
Macorís por darnos la oportunidad de estudiar y prepararnos para lograr la meta en esta maestría
de Auditoria y Seguridad Informática, para así poder seguir creciendo en nuestro ámbito
profesional.
A nuestro asesor Maestro Eddy Brito, el cual se entregó profundamente a la causa de
nuestro proyecto, a nuestra coordinadora del programa de maestría la Maestra Evelyn Veras, a
la Maestra Alma Mena, por sus colaboraciones en el área de metodología, y a todas las personas
que de una u otra manera contribuyeron para que este proyecto se vea hoy terminado, a ellos y
ellas en verdad muchas gracias.
A las pequeñas y medianas empresas de la ciudad de San Francisco de Macorís que nos
permitieron poder obtener información sobre la seguridad de la información de sus negocios.
Los Sustentantes
Dedicatorias
A Dios por ser el omnipotente y ser la fuerza divina para hacerme llevar a cabo todos y
cada uno de mis proyectos; así como éste, ya realizado sobre todo por estar ahí en las buenas y
en las malas, en la tempestad como en la calma. A mis padres Dulce María Reynoso y Ramón
Antonio Paula, por darme la vida e inculcarme valores que no se aprenden en ningún salón de
clases, a mi hermana Fe María Paula Reynoso y mis sobrinos Nelfis y Leomeiry, por ser parte
complementaria de mi vida.
A mis hijos Anderson Alexander y Aldrian José, por ser el centro de mi vida por los
cuales me levanto cada día a tratar de construir un mundo mejor para ellos. A la madre de mis
hijos Alma Hernández.
A mis compañeros de trabajo del centro educativo Filomena Gómez, los cuales en el poco
tiempo que tengo junto a ellos me brindaron su apoyo en lo que estaba a su disposición para
ayudarme a concluir este proyecto, en especial a la Licda. María Cuello y Licda. María Mercedes
Paula.
Ramón Alexander Paula Reynoso
Dedicatorias
A mis padres por ser el pilar fundamental en todo lo que soy, en toda mi educación, tanto
académica, como de la vida, por su incondicional apoyo perfectamente mantenido a través del
tiempo. Todo este trabajo ha sido posible gracias a ellos.
A mi madre Paula.
Por darme la vida, quererme mucho, creer en mí, por haberme apoyado en todo momento,
Quien fue pilar mi esfuerzo, por sus consejos, sus valores, por la motivación constante que me
ha permitido ser una persona de bien, pero más que nada, por su amor.
Mamá gracias por darme una carrera para mi futuro, todo esto te lo debo a ti.
A mi padre Mariano.
Muchas gracias por enseñarme el camino bueno para ser útil en estos tiempos, gracias a
los consejos y el apoyo incondicionales que siempre me diste. Los ejemplos de perseverancia y
constancia que lo caracterizan y que me ha infundado siempre, por el valor mostrado para salir
adelante y por ser un ejemplo a seguir.
A mis tíos y hermanos
Por quererme y apoyarme siempre, esto también se lo debo a ustedes. Mis hermanos,
Pablo Rosario Frías, Nelson Rosario Frías y Edwin Rosario Frías, por estar conmigo y apoyarme
siempre, los quiero mucho.
A los compañeros de Maestría
Por la ayuda prestada durante el desenvolvimiento de la carrera universitaria y de esta
maestría ya que nos apoyamos mutuamente en nuestra formación profesional, gracias por tu
apoyo incondicional en todo momento durante este proceso y por ayudarme cada vez que era
necesario.
Juan Carlos Fermín, Olga Santiago, Durges Vargas y Ramón Alexander Paula por
haberme ayudado a realizar este trabajo de investigación.
Mariano Rosario Frías.
Índice
ResumenPágina
Capítulo I: Introducción y Trasfondo1.1 Antecedentes ......................................................................................................11.2 Formulación del Problema.................................................................................61.3 Objetivo General ................................................................................................8
1.3.1 Objetivos Específicos...............................................................................81.4 Contexto de la Investigación..............................................................................91.5 Justificación de la Investigación ........................................................................91.6 Definición de Términos ...................................................................................10
1.6.1 Técnicas .................................................................................................101.6.2 Procedimientos.......................................................................................111.6.3 Gestión de la Seguridad de TI................................................................111.6.4 Medidas Sobre el Manejo de Contingencias..........................................111.6.5 Protección de Datos ...............................................................................121.6.6 Análisis ..................................................................................................121.6.7 Gestión ...................................................................................................121.6.8 Seguridad ...............................................................................................131.6.9 TI: Tecnología de la Información ..........................................................131.6.10 PYMES: Pequeñas y Medianas Empresas ...........................................131.6.11 Activo de Información .........................................................................141.6.12 Amenazas.............................................................................................141.6.13 Riesgo .................................................................................................. 141.6.14 Plan de Tratamiento de Riesgos...........................................................151.6.15 Vulnerabilidad......................................................................................151.6.16 Ataques ................................................................................................151.6.17 Impacto ................................................................................................161.6.18 Mecanismos de Seguridad ...................................................................161.6.19 Control .................................................................................................161.6.20 Control Interno Informático.................................................................171.6.21 Análisis de Riesgo................................................................................171.6.22 Políticas de Seguridad de la Información ............................................171.6.23 Auditoria ..............................................................................................181.6.24 Auditoria de Sistemas ..........................................................................181.6.25 Auditoria de Seguridad de Sistemas de Información...........................181.6.26 Gestión de Riesgos...............................................................................181.6.27 El Plan de Gestión de Riesgo...............................................................191.6.28 Gestión de la Seguridad .......................................................................191.6.29 Gestión de la Seguridad de TI..............................................................191.6.30 Sistema de Gestión de la Seguridad de la Información .......................191.6.31 Modelo de Seguridad ...........................................................................20
Capítulo II: Revisión de Literatura2.1 Técnicas y Procedimientos Favorables Para una Buena Gestión de Seguridad
de TI de las PYMES ..............................................................................................212.2 Las PYMES y el Presupuesto Dedicado a la Gestión de Seguridad de TI ......242.3 Seguridad y Protección de TI y su Importancia Para las PYMES...................252.4 Importancia de la Seguridad ............................................................................262.5 Tipos de seguridad ...........................................................................................262.6 Objetivos generales de la seguridad.................................................................272.7 Seguridad informática......................................................................................282.8 Clasificación de la seguridad Según C. Seoane ...............................................28
2.8.1 Seguridad Física......................................................................................282.8.2 Seguridad Lógica ....................................................................................28
2.9 Servicios de seguridad .....................................................................................282.10 Seguridad de la información ..........................................................................292.11 Alta disponibilidad.........................................................................................29
2.11.1 Costas afirma, que existen dos tipos de interrupciones ........................292.12 Plan de tratamiento de riesgos .......................................................................292.13 Tipos de controles según la norma ISO/IEC 27001:2005 .............................302.14 Control Interno Informático...........................................................................302.15 Análisis de Riesgo..........................................................................................302.16 Políticas de Seguridad de la información.......................................................312.17 Sistema de Gestión de la Seguridad de la Información .................................312.18 Modelo de seguridad......................................................................................312.19 Gestión de la Seguridad de TI........................................................................32
Capítulo III: Metodología3.1 Metodología .....................................................................................................333.2 Tipo de Investigación.......................................................................................333.3 Población..........................................................................................................333.4 Muestra ............................................................................................................343.5 Técnicas e Instrumentos a Utilizar...................................................................363.6 Validación de los Instrumentos........................................................................363.7 Limitaciones de la investigación......................................................................37
Capítulo IV: Presentación de los Resultados4.1 Presentación de los resultados .........................................................................38
Capítulo V: Discusión5.1 Análisis de los resultados.................................................................................545.2 Conclusiones ....................................................................................................565.3 Recomendaciones ............................................................................................61
5.3.1 Recomendaciones a las PYMES.............................................................615.3.2 Otras recomendaciones ...........................................................................66
Referencias........................................................................................................................68
ANEXOSA Cuestionario Aplicado a las Pequeñas y Medianas Empresas de la
Zona Urbana de San Francisco de Macorís ....................................................71
B Instrumento de medición del nivel de uso de las tecnologías de información(TI) en las PYMES...........................................................................................73
C Papeles de Trabajo ...........................................................................................74D Reporte Anti Plagio........................................................................................108
RESUMEN
Esta investigación tiene como finalidad analizar la gestión de la seguridad de las
tecnologías de información (TI) en las medianas y pequeñas empresas (PYMES), en San
Francisco de Macorís, República Dominicana. La gestión de la seguridad de TI permite asegurar
la confidencialidad, la integridad y la disponibilidad de las informaciones, datos y servicios de
TI de una organización. Regularmente, la Gestión de la Seguridad de TI forma parte del
acercamiento de una entidad a la gestión de seguridad, cuyo alcance es más grande que el del
proveedor de Servicios de TI, esto Según la Biblioteca de Infraestructura de Tecnologías de
Información (ITIL V3, 2011).
Esta investigación es del tipo descriptiva y analística, ya que pretende analizar la Gestión
de la Seguridad de TI en las Medianas y Pequeñas Empresas, de la ciudad de San Francisco de
Macorís. En este estudio se encontró que las empresas PYMES saben de la importancia de aplicar
una buena gestión en la seguridad de TI, pero la gran mayoría no ejecutan los procedimientos
adecuados para implementar la seguridad en los activos relacionados con la tecnología de
información que utilizan en sus labores.
Se pudo notar que las PYMES entrevistadas tienen una total vinculación de los recursos
tecnológicos con las operaciones del negocio, y que la información que manejan estos recursos
es de alta importancia para más de 80% de dichas entidades comerciales. Conociendo estos datos
el estudio también dio a conocer que estas empresas han tenido eventos de seguridad de la
información, lo que indica que no utilizan los procedimientos correctos para proteger sus activos
de información.
En esa misma dirección y a fin de tener informaciones de primera mano, este estudio
contempló entrevistas a varias empresas tipos PYMES. De este modo, con los resultados
obtenidos, se espera que los mismos puedan contribuir a efectuar un correcto análisis de la
gestión de la seguridad de TI en las medianas y pequeñas empresas, en San Francisco de Macorís,
República Dominicana.
Este estudio se desarrolló bajo el enfoque cuantitativo. La muestra seleccionada fueron
100 empresas tipo PYMES de San Francisco de Macorís, de las cuales 20 cumplían con los
requisitos para realizarle el estudio, y solo 11 empresas de las escogidas proporcionaron las
informaciones solicitadas.
Se utilizó la técnica de cuestionarios tipo entrevista, para poder efectuar el análisis de la
gestión de seguridad de tecnología de la información TI. Las preguntas del cuestionario están
relacionadas con los objetivos de esta investigación.
1
Capítulo I: Introducción y Trasfondo
Este primer capítulo está constituido por los antecedentes, formulación del
problema y preguntas de investigación, objetivos de la investigación, contexto de la
investigación, y por último la importancia de la investigación.
1.1 Antecedentes
La seguridad de las tecnologías de la información (TI) se ha convertido en una de
las principales inquietudes de las empresas hoy en día. Por un lado es más amplio el uso
de las tecnologías de la información, con lo que los activos a salvaguardar y las
vulnerabilidades aumentan; y los ciberataques son más frecuentes y complejos, llegando a
tener unas consecuencias devastadoras como la revelación de información confidencial de
la entidad o la usurpación financiera. En este contexto, las empresas deben disponer de
controles en seguridad de TI que puedan proteger más adecuadamente los activos de
información que poseen.
En tal sentido un estudio realizado por Gálvez (2014), sobre la tecnologías de
información y comunicación (TIC), e innovación en las micro, pequeñas, y medianas
empresas (MIPYMES) de Colombia, llegó a la conclusión que a pesar que muchas de las
MIPYMES colombianas tienen un uso aceptable de estas tecnologías. Además el estudio
desarrollado por Gálvez, al encontrar estudios teóricos y empíricos previos, ha permitido
constatar que aumenta el interés mundial por el uso de las TIC, y el impacto de ello sobre
los diferentes factores organizacionales. Además, porque en el intento de mejorar la
competitividad de su país, el cambio de paradigmas culturales y tecnológicos por parte de
sus empresarios se ha convertido en un objetivo prioritario para el gobierno de Colombia.
2
En los hallazgos de la investigación realizada por Gálvez, se tienen implicaciones
para empresarios y gerentes por que les permite evidenciar que las inversiones que hagan
en TIC van a generar efectos positivos en la innovación de sus empresas, lo que
seguramente redundará en su mejora competitiva. Este estudio realizado por Gálvez,
evidencia la importancia de implementar el uso de las tecnologías de la información (TI)
las pequeñas y medianas empresas, ya que los beneficios son muy favorables para estas
entidades.
Un estudio de tesis realizado por Octavio Domínguez Salgado (2014), para obtener
el título de Ingeniero en Computación en la Universidad Nacional Autónoma de México
(UNAM), con el título de la investigación Evaluación de Seguridad Informática en las
PYME’S, este estudio demostró que es necesario que las PYMES refuercen su seguridad
informática por medio de auditorías a sus sistemas informáticos, pruebas de penetración,
herramientas de software y buenas prácticas, sin embargo un problema que pueden
encontrar al acudir a estas soluciones son los altos costos que presentan. En dicha
investigación se pudo comprobar vulnerabilidades, malas configuraciones en dispositivos
de red, de análisis de tráfico, personal no capacitado adecuadamente en lo referente a la
seguridad informática y la no actualización del software, que se encontraron en las PYMES
Mexicanas a las cuales el investigador le realizó el estudio.
Dado que los costos para mitigar esos problemas presentados en esas entidades
comerciales, el investigador propone a las PYMES recurrir a una alternativa más
económica, que la empresa evalúe, con herramientas gratuitas algunos puntos estratégicos
donde comúnmente existen vulnerabilidades.
3
En una investigación realizada en España por Luis Enrique Sánchez Crespo (2009),
con el título de Metodología para la Gestión de la Seguridad y su Madurez en las PYMES;
la investigación determinó la importancia de tratar con exclusiva atención la gestión de la
seguridad en las PYMES, y que ésta radica en varios aspectos: por un lado, son las
empresas que han sido competentes de evolucionar desde el estatus de MicroPYMES,
demostrando una intención de continuidad y Seriedad, Así mismo, este tipo de empresas
acaparan la mayor parte del trabajo de las grandes empresas mediante subcontratas, por lo
que las faltas de seguridad se trasladan a las grandes compañías. Por último, un porcentaje
pequeño de este tipo de compañías son las que en el futuro evolucionarán al nivel de
grandes compañías, y gran parte de los compromisos de esta evolución recae sobre la
seguridad y estabilidad de su sistema de información.
En tal sentido la investigación demostró también que la aplicación de normativas
de seguridad en las PYMES cuenta con el problema de no poseer recursos suficientes para
implementar la gestión. Por consecuencia inmediata de estas problemáticas, es que la
cultura de la seguridad es prácticamente nula en las pequeñas y medianas empresas. Todo
esto ha llevado a que la mayor parte de las PYMES no posean sistemas de gestión de la
seguridad de la información adecuados.
En este orden, la empresa Dell Inc., una de las entidades líderes en la creación y
ventas de equipos tecnológicos en el mundo, en una publicación en su portal web de notas
técnicas sobre la seguridad de clase empresarial adaptada a las pequeñas y medianas
empresas, año 2012, plantean que la seguridad no discrimina según el tamaño de las
empresas, las pequeñas y medianas empresas (PYMES) enfrentan un reto angustioso
cuando se trata de seguridad de TI; ya que están sujetas a la misma gama de amenazas, que
4
están cambiando constantemente y que afectan de esa misma forma a las empresas grandes,
pero tienen menos cantidad de recursos para tratar esa problemática en sus negocios.
De igual modo, en la misma nota técnica, Oltsik, quien es el analista principal de
seguridad de la información de Enterprise Strategy Group, empresa especialista en TI,
indica que las pequeñas y medianas empresas se enfrentan con los mismos tipos de riesgos
que las empresas más grandes, pero no poseen la habilidad, el presupuesto ni la libertad de
contar con muchas contramedidas novedosas. Lo que las pequeñas y medianas empresas
necesitan, revela Oltsik, es un enfoque simple en cuanto a la provisión del tipo de estrategia
de seguridad por niveles que durante mucho tiempo ha sido un tema principal en el ámbito
empresarial.
Según afirma Cristina Molina (2009), en su artículo sobre las necesidades de
seguridad de TI de las PYMES, publicado en el portal web de BNAmericas que es
especializado en inteligencias de negocio; nos dice que a pesar del progresivo interés de
las empresas de TI por penetrar en el segmento PYMES muy relevante en Latinoamérica
por su cantidad de empresas de este tipo, el principal objetivo de las compañías ha sido
lograr que las PYMES adquieran soluciones de gestión de seguridad empresarial u otras
tecnologías relacionadas. Sin embargo, el nivel de adopción de las soluciones de seguridad
en el área de las PYMES para proteger su información y procesos sigue estando
peligrosamente bajo.
En este mismo orden, Molina presenta un estudio realizado por Symantec, empresa
que provee una amplia gama de contenido, soluciones de software y aplicaciones de
seguridad de redes para empresas, particulares y proveedores de servicios; en dicho estudio
se analizaron 300 PYMES de Argentina, Brasil, Colombia y México, donde se demostró
5
que a pesar de que la mayoría de estas empresas están consciente de la importancia de
invertir en soluciones en seguridad de tecnologías de la información, el 29% de las PYMES
en Latinoamericanas no tienen soluciones antivirus implementadas en sus negocios, el 36%
no tiene software antispam y el 52% no ha implementado una aplicación de punto final. El
estudio revela que una de cada tres empresas PYMES han sufrido eventos de seguridad,
causando la perdida, robo o consultas no autorizadas de las informaciones que ellos
manejan.
La empresa Consultores en Seguridad Tecnológica e Informática (CSTISA),
entidad residente en República Dominicana, afirman que hoy en día la mayoría de las
empresas, especialmente aquellas dentro del sector de la Pequeña y Mediana Empresa
(PYMES), carecen de recursos Humanos y Tecnológicos especializados, particularmente
dentro del área de Seguridad Tecnológica y de Informática. Por este motivo, no solamente
las grandes empresas necesitan considerar las medidas de seguridad informática dentro de
sus planes, sino también las pequeñas y medianas empresas deben hacerlo.
Obviamente, las pequeñas y medianas empresas tienen la gran ventaja de poder
utilizar su tamaño como punto diferencial, que les permite hacer más con menos recursos.
Esto es algo que las pequeñas empresas aprendieron a utilizar bien en los aspectos
de marketing, fidelización de clientes y ventas, pero que también puede ser llevado
perfectamente a la seguridad informática.
6
1.2 Formulación del Problema
La seguridad de la información se ha transformado en un aspecto crítico para los
negocios, en especial las PYMES debido a que en la actualidad, la información de la
empresa es calificada como uno de los activos más valiosos. La organización debe poseer
un sistema de gestión de seguridad de TI que le permita la confidencialidad, integridad y
disponibilidad de la información mediante la salvaguarda de sus activos de TI, a través de
la implementación de políticas, procedimientos, controles y metodologías de análisis de
riesgos.
Según una encuesta de Symantec (2009), sobre la seguridad y almacenamiento en
las PYMES, la encuesta revela que aproximadamente el 33% de empresas en América
Latina ha enfrentado problemas de seguridad, lo que da a conocer que información
importante o confidencial de la compañía se perdió, fue robada o consultada sin ninguna
autorización. A lo que, dependiendo del tipo de información, el impacto de estos eventos
puede costar desde miles hasta millones de pesos.
De acuerdo a publicaciones realizada por Rojas (2012), Sophos una compañía de
seguridad TI y protección de datos con su sede principal en Estados Unidos, han hecho
públicos los resultados de una encuesta realizada a 571 responsables y directores de TI de
América del Norte, Europa y Australia. La encuesta ha dado a conocer, entre otras
cuestiones, que las PYMES tienen dificultades para mantener sus infraestructuras de TI
actualizadas, con las actuales prácticas de trabajo y las amenazas más avanzadas.
Concretamente, y según el estudio, el 93% de las PYMES está integrando políticas de
trabajo remoto dentro de su estrategia de seguridad. En este sentido, más de la mitad de los
7
encuestados (52%) espera mejorar las medidas de seguridad para mitigar los riesgos
adicionales que plantea el trabajo a distancia.
Esta realidad también se ve reflejada en nuestro país República Dominicana, en tal
sentido Goujon (2012), quien es el especialista en seguridad informática de la empresa
ESET Latinoamérica advirtió a las pequeñas y medianas empresas dominicanas sobre la
necesidad de proteger los datos e invertir en la educación tecnológica de sus empleados
para evitar daños de códigos maliciosos a sus negocios. Goujon también puso de manifiesto
que las PYMES al tener un presupuesto más ajustado que otras empresas grandes suelen
no considerar la seguridad de la información o si lo hacen no invierten lo suficiente en este
tema. Y sostiene que independientemente del tamaño de la empresa, la información es uno
de los activos más importante de toda compañía. En tal sentido, propuso a las PYMES que
se focalicen en todo lo que tiene que ver con la seguridad de la información y consideren
aspectos primordiales para la protección de los datos como son la tecnología que permita
detectar códigos maliciosos para que el computador no sea vea afectado por este tipo de
amenaza.
Tomando en cuenta que en nuestro país también existe esta misma realidad por
parte de las PYMES, optamos por analizar la gestión de la seguridad de TI en las medianas
y pequeñas empresas de San Francisco de Macorís, para así comprobar que tan seguros
están los activos de información de estas entidades comerciales, y resulta muy importante
porque ayudaría a que estas entidades hagan una revisión a sus políticas de seguridad de la
información y así puedan mejorar los procesos y controles necesarios para garantizar una
mejor integridad, confidencialidad y disponibilidad de su información. Partiendo de esta
8
realidad se considera relevante realizar un estudio que permita dar respuesta a las
siguientes interrogantes:
1. ¿Cuáles son las necesidades de protección de datos de las Pymes de San Francisco de
Macorís?
2. ¿Cuáles son las técnicas y procedimientos que utilizan las PYMES de San Francisco de
Macorís para llevar a cabo la gestión de la seguridad de TI en sus negocios?
3. ¿Qué tan importante es para las PYMES de San Francisco de Macorís las inversiones en
la seguridad de TI de sus negocios?
4. ¿Qué porcentaje de los activos generales de la empresa corresponde a infraestructura
tecnológica y cuál es la evaluación de los costos de los recursos de seguridad de estos
activos?
5. ¿Cuáles medidas sobre el manejo de contingencias están siendo usadas por las PYMES
de San Francisco de Macorís en sus negocios?
1.3 Objetivo general
Analizar la Gestión de la Seguridad de Tecnologías de la Información (TI), en las
Medianas y Pequeñas Empresas, en San Francisco de Macorís, República Dominicana,
durante el año 2014.
1.3.1 Objetivos específicos
1. Determinar las necesidades de protección de datos de las PYMES de San Francisco de
Macorís.
2. Verificar las técnicas y procedimientos que utilizan las PYMES de San Francisco de
Macorís para llevar a cabo la gestión de la seguridad de TI en sus negocios.
9
3. Determinar la importancia que dan las PYMES de San Francisco de Macorís a las
inversiones en la seguridad de TI.
4. Conocer el porcentaje de los activos generales de la empresa que corresponde a
infraestructura tecnológica y la evaluación de los costos de los recursos de seguridad de
estos activos.
5. Identificar las medidas sobre el manejo de contingencias que están siendo usadas por
las PYMES de San Francisco de Macorís en sus negocios.
1.4 Contexto de la Investigación
Esta investigación se realizó en el municipio de San Francisco de Macorís, que es
la principal ciudad la Región Nordeste o Cibao Oriental de la República Dominicana,
también capital de la Provincia Duarte. San Francisco de Macorís es la segunda ciudad más
importante de la Región Norte o Cibao y la tercera ciudad más importante de la República
Dominicana, después de Santiago de los Caballeros y de Santo Domingo.
Esta ciudad ha tenido un papel muy activo en la historia dominicana, siendo una de
las ciudades más activas en el país en el ámbito económico y social. San Francisco de
Macorís posee en la actualidad más de 600 medianas y pequeñas empresas, según datos de
la Dirección General de Impuestos Internos DGII administración local de San Francisco
de Macorís y de la Cámara de Comercio y Producción de la Provincia Duarte, Inc.
1.5 Justificación
La seguridad de la información se ha convertido en un aspecto crítico para los
negocios debido a que en la actualidad, la información de la empresa es considerada como
uno de sus activos más valiosos. Pérdidas de datos importantes, robo de contraseñas o
desvío de información personal y privada, son sólo algunas de las consecuencias que
10
pueden darse si una empresa no tiene al día sus sistemas de seguridad. Las organizaciones
deben contar con un sistema de Gestión de Seguridad de TI que le permita garantizar la
confidencialidad, integridad y disponibilidad de la información mediante la salvaguarda de
sus activos de TI a través de la implementación de políticas, procedimientos, controles y
metodologías de análisis de riesgos.
Esta investigación es de gran utilidad porque permitirá mostrarle a las pequeñas y
medianas empresas PYMES que tan seguros están sus activos de información, para que de
esta manera desarrollen oportunidades que puedan generar en estas entidades comerciales
una capacidad analítica crítica y reflexiva constituyéndose un beneficio para estas,
mejorando la calidad de las políticas orientadas a salvaguardar sus activos de información.
El proyecto a desarrollar es factible ya que puede contribuir a que las PYMES mejoren su
gestión de seguridad de TI.
Finalmente, este estudio se considera relevante por los grandes aportes que puede
propiciar en el comercio de nuestra República Dominicana y de manera particular a las
pequeñas y medianas empresas de San Francisco de Macorís, ya que, busca analizar la
gestión en la seguridad de la tecnologías de información implementadas por las PYMES,
y de esta forma motivar a estas entidades hacer mejoras en la calidad de los procedimientos
que implementan para proteger sus activos de información.
1.6 Definición de Términos
1.6.1 Técnicas
Según el diccionario informático en la web alegsa.com.ar (2012), las técnicas (del
griego téchne, que significa arte). Son un conjunto de saberes prácticos o procedimientos
para obtener el resultado deseado. Una técnica puede ser aplicada en cualquier ámbito
11
humano: ciencias, arte, educación etc. Aunque no es privativa del hombre, sus técnicas
suelen ser más complejas que la de los animales, que sólo responden a su necesidad de
supervivencia.
1.6.2 Procedimientos
Según el diccionario web Definición ABC (2012), El término procedimientos
corresponde al plural de la palabra procedimiento, en tanto, por la misma se refiere a la
acción, modo de proceder o método que se implementa para llevar a cabo ciertas cosas o
tareas. Básicamente, un procedimiento consiste de una serie de pasos bien definidos que
permitirán y facilitarán la realización de un trabajo de la manera más correcta y exitosa
posible.
1.6.3 Gestión de la seguridad de TI
Según la Biblioteca de Infraestructura de Tecnologías de Información (ITIL) que
es un conjunto de conceptos y buenas prácticas para la gestión de servicios de tecnologías
de la información y de todas las operaciones relacionadas con la misma; en su portal web
indican que la gestión de la seguridad de TI, busca asegurar la confidencialidad, la
integridad y la disponibilidad de las informaciones, datos y servicios de TI de una
organización. Normalmente, la Gestión de la Seguridad de TI forma parte del acercamiento
de una organización a la gestión de seguridad, cuyo alcance es más amplio que el del
proveedor de Servicios de TI (ITIL V3, 2011).
1.6.4 Medidas sobre el manejo de contingencias
Según Aguilera (2010), el plan de contingencias es un instrumento de gestión que
contiene medidas (tecnológicas, humanas y de organización) que garanticen la continuidad
12
del negocio protegiendo el sistema de información de los peligros que lo amenazan o
recuperándolo tras un impacto.
Aguilera afirma que el plan de contingencias consta de tres subplanes
independientes, como el plan de respaldo que ante una amenaza, se aplican medidas
preventivas para evitar que se produzca un daño. El Plan de emergencia el cual contempla
qué medidas tomar cuando se está materializando una amenaza o cuando acaba de
producirse y el plan de recuperación el que indica las medidas que se aplicarán cuando se
haya producido un desastre. El objetivo de este plan es evaluar el impacto y regresar lo
antes posible a un estado normal de funcionamiento del sistema y de la organización.
1.6.5 Protección de datos
Según el portal web definicion.de (2012), nos indican que la protección de datos,
es el sistema legal o informático que garantiza la confidencialidad de los datos personales
cuando éstos están en manos de organizaciones, empresas o administraciones públicas, o
cuando circulan a través de Internet.
1.6.6 Análisis
Es un estudio, mediante técnicas informáticas, de los límites, características y
posibles soluciones de un problema al que se aplica un tratamiento por ordenador (Real
Academia Española, 2012).
1.6.7 Gestión
En una publicación del portal web definicion.de (2012), logramos conocer que el
termino gestión proviene del latín gestĭo, y el concepto de gestión hace referencia a la
acción y a la consecuencia de administrar o gestionar algo. Al respecto, hay que decir que
gestionar es llevar a cabo diligencias que hacen posible la realización de una operación
13
comercial o de un anhelo cualquiera. Administrar, por otra parte, abarca las ideas de
gobernar, disponer dirigir, ordenar u organizar una determinada cosa o situación.
1.6.8 Seguridad
Una de las acepciones de la Real Academia Española (REA) para el término seguro,
y la cual aplica a esta investigación, es la de estar libre y exento de todo peligro, daño o
riesgo. Todo esto tiene el mismo sentido aplicado a los sistemas de información y sistemas
informáticos. (Aguilera, 2010).
1.6.9 TI: Tecnologías de Información
El conjunto de procesos y productos derivados de las nuevas herramientas
(hardware y software), soportes de la información y canales de comunicación relacionados
con el almacenamiento, procesamiento y transmisión digitalizados de la información
(González, 2007).
1.6.10 PYMES: Pequeñas y Medianas Empresas.
El portal de internet definicion.de, define PYMES como el acrónimo de pequeña y
mediana empresa. Se trata de la empresa mercantil, industrial o de otro tipo que tiene un
número reducido de trabajadores y que registra ingresos moderados.
Informaciones obtenidas en el portal web solucionaintegral.do, la Pequeña Empresa
es un negocio formal o informal que tiene un número de 16 a 60 trabajadores y un activo
de RD$3,000,000.01 (tres millones un centavo) a RD$12,000,000.00 (doce millones de
pesos) y que genere ingresos brutos o facturación anual de RD$6,000,000.01 (seis millones
un centavo) a RD$40,000,000.00 (cuarenta millones de pesos). Indexado anualmente por
la inflación.
14
En ese mismo orden obtuvimos informaciones sobre las medianas empresas, que
son un negocio formal o informal que tiene un número de 61 a 200 trabajadores y un activo
de RD$12,000,000.01 (doce millones un centavo) a RD$40,000,000.00 (cuarenta millones
de pesos) y que genere ingresos brutos o facturación anual de RD$40,000,000.01 (cuarenta
millones un centavo) a RD$150,000,000.00 (ciento cincuenta millones de pesos). Indexado
anualmente por la inflación. Todos estos datos están amparados por la Ley No. 488-08 que
trata sobre las micros, pequeñas y medianas empresas de la República Dominicana.
1.6.11 Activo de información
Son los recursos que pertenecen al propio sistema de información o que están
relacionados con este. La presencia de los activos facilita el funcionamiento de la empresa
u organización y la consecución de sus objetivos. Al hacer un estudio de los activos
existentes hay que tener en cuenta la relación que guardan entre ellos y la influencia que
ejercen: cómo afectaría en uno de ellos un daño ocurrido a otro (Aguilera, 2010).
1.6.12 Amenazas
Según Aguilera (2010), en sistemas de información se entiende por amenaza la
presencia de uno o más factores de diversa índole (personas, máquinas o sucesos) que de
tener la oportunidad atacarían al sistema produciéndole daños aprovechándose de su nivel
de vulnerabilidad. Hay diferentes tipos de amenazas de las que hay que proteger al sistema,
desde las físicas como cortes eléctricos, fallos del hardware o riesgos ambientales hasta los
errores intencionados o no de los usuarios, la entrada de software malicioso (virus,
troyanos, gusanos) o el robo, destrucción o modificación de la información.
15
1.6.13 Riesgo
Un riesgo es la posibilidad de que se produzca un impacto negativo para la empresa
aprovechando algunas de sus vulnerabilidades (Seoane, 2010).
1.6.14 Plan de tratamiento de riesgos
El estándar ISO/IEC 27001 para la seguridad de la información, define al plan de
tratamiento de riesgo como el documento de gestión que puntualiza las acciones para
reducir, prevenir, transferir o asumir los riesgos de seguridad de la información
inaceptables e implantar los controles necesarios para proteger la misma (ISO/IEC
27001:2005).
1.6.15 Vulnerabilidad
Según Areitio (2008), una vulnerabilidad puede entenderse también como la
potencialidad o posibilidad de ocurrencia de la materialización de una amenaza sobre dicho
activo. Las vulnerabilidades asociadas a los activos, incluyen las debilidades en el nivel
físico sobre la organización, los procedimientos, el personal, la gestión, la administración,
los equipos, el software o la información.
1.6.16 Ataques
Se dice que se ha producido un ataque accidental o deliberado contra el sistema
cuando se ha materializado una amenaza. (Aguilera, 2010).
Aguilera (2010) afirma: En función del impacto causado a los activos atacados, los
ataques se clasifican en: Activos. Si modifican, dañan, suprimen o agregan información, o
bien bloquean o saturan los canales de comunicación. Pasivos. Solamente acceden sin
autorización a los datos contenidos en el sistema. Son los más difíciles de detectar.
16
Un ataque puede ser directo o indirecto, si se produce desde el atacante al elemento
«Victima» directamente, o a través de recursos o personas intermediarias (Aguilera, 2010).
1.6.17 Impacto
Según Areitio (2008), el impacto es la consecuencia de la materialización de una
amenaza sobre un activo, como la destrucción de ciertos activos, el peligro de integridad
del sistema de información, la pérdida de autenticidad, de confidencialidad o de
disponibilidad.
1.6.18 Mecanismos de seguridad
Los mecanismos físicos y lógicos de seguridad tienen como misión prevenir,
detectar o corregir ataques al sistema, asegurando que los servicios queden cubiertos
(Aguilera, 2010).
1.6.19 Control
Según el estándar ISO/IEC 27001 para la seguridad de la información, define el
control como las políticas, los procedimientos, las prácticas y las estructuras organizativas
concebidas para mantener los riesgos de seguridad de la información por debajo del nivel
de riesgo asumido. (Nota: Control es también utilizado como sinónimo de salvaguarda o
contramedida), (ISO/IEC 27001:2005).
Existen varios tipos de controles, según el estándar antes mencionado tenemos el
control correctivo que corrige un riesgo, error, omisión o acto deliberado antes de que
produzca pérdidas, supone que la amenaza ya se ha materializado pero que se corrige. El
control detectivo que detecta la aparición de un riesgo, error, omisión o acto deliberado.
Supone que la amenaza ya se ha materializado, pero por sí mismo no la corrige. Control
disuasorio que reduce la posibilidad de materialización de una amenaza, p.ej., por medio
17
de avisos disuasorios y por último la norma plantea el control preventivo que evita que se
produzca un riesgo, error, omisión o acto deliberado. Impide que una amenaza llegue
siquiera a materializarse (ISO/IEC 27001:2005).
1.6.20 Control interno informático
Es un sistema integrado al proceso administrativo, en la planeación, organización,
dirección y control de las operaciones con el objeto de asegurar la protección de todos los
recursos informáticos y mejorar los índices de economía, eficiencia y efectividad de los
procesos operativos automatizados (Pinilla, 2001).
1.6.21 Análisis de riesgo
Según Aguilera (2010), el análisis de riesgo consiste en analizar los riesgos de un
sistema de información requiere un proceso secuencial de análisis de activos, sus
vulnerabilidades, amenazas que existen, medidas de seguridad existentes, impacto que
causaría un determinado ataque sobre cualquiera de los activos, objetivos de seguridad de
la empresa y selección de medidas de protección que cubran los objetivos.
Según Areitio (2008), el proceso de análisis de riesgo es el que permite la
identificación de las amenazas que acechan a los activos, para determinar la vulnerabilidad
del sistema ante ellas y para estimar el impacto o grado de perjuicio que una seguridad
insuficiente puede tener para la organización, obteniendo cierto conocimiento del riesgo
que se corre.
1.6.22 Políticas de Seguridad de la información
Según Portantier (2011), es el documento que muestra el interés de la gerencia por
la seguridad de la información de su empresa. Debe estar redactado en conjunto con la
gerencia o, por lo menos, avalado por la misma, y explicar cómo la seguridad informática
18
se alinea con los objetivos de la organización. No tiene que ser un documento extenso, pero
sí debe explicar, a grandes rasgos, qué es lo que la empresa espera de la seguridad de su
información y cuáles son los datos más importantes a proteger. Por ejemplo: datos de
clientes, proveedores, empleados, etc.
1.6.23 Auditoria
Es un examen crítico que se realiza con objeto de evaluar la eficiencia y la eficacia
de una sección o de un organismo, y determinar cursos alternativos de acción para mejorar
la organización, y lograr los objetivos propuestos (Echenique, 2001).
1.6.24 Auditoria de Sistema
Según Aguilera (2010), es un análisis pormenorizado de un sistema de información
que permite descubrir, identificar y corregir vulnerabilidades en los activos que lo
componen y en los procesos que se realizan. Su finalidad es verificar que se cumplen los
objetivos de la política de seguridad de la organización. Proporciona una imagen real y
actual del estado de la seguridad de un sistema de información.
1.6.25 Auditoria de seguridad de sistemas de información
Según Costas (2011), una auditoria de seguridad informática o auditoria de
seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión
de sistema para identificar y posteriormente corregir las diversas vulnerabilidades que
pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de
comunicaciones o servidores.
1.6.26 Gestión de riesgo
Gestionar riesgos consiste principalmente en tomar decisiones con respecto a los
distintos riesgos de acuerdo con la estrategia de la organización. (ISO/IEC 27001:2005).
19
1.6.27 El Plan de gestión de riesgos
Según el estándar ISO/IEC 27001, es un documento que define claramente cómo
se va a actuar en el control de los riesgos. Para ello deberemos conocer los recursos
necesarios para establecer los controles seleccionados y determinar cómo se va a medir su
eficacia. Este plan establece claramente los recursos, las responsabilidades y las prioridades
establecidas derivadas de la evaluación de riesgos (ISO/IEC 27001:2005).
1.6.28 Gestión de la seguridad
Según la Biblioteca de Infraestructura de Tecnologías de Información (ITIL), la
gestión de la Seguridad debe, por tanto, velar por que la información sea correcta y
completa, que esté siempre a disposición del negocio y sea utilizada sólo por aquellos que
tienen autorización para hacerlo. (ITIL V3, 2011).
1.6.29 Gestión de la seguridad de TI
Asegurar la confidencialidad, la integridad y la disponibilidad de las informaciones,
datos y servicios de TI de una organización. Normalmente, la Gestión de la Seguridad de
TI forma parte del acercamiento de una organización a la gestión de seguridad, cuyo
alcance es más amplio que el del proveedor de Servicios de TI. (ITIL V3, 2011).
1.6.30 Sistema de gestión de la seguridad de la información
Según el marco de buenas practica ISO/IEC 27001, el propósito de un sistema de
gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la
seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la
organización de una forma documentada, sistemática, estructurada, repetible, eficiente y
adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.
(ISO/IEC 27001:2005).
20
1.6.31 Modelo de seguridad
Según Aguilera (2010), un modelo de seguridad es la expresión formal de una
política de seguridad y se utiliza como directriz para evaluar los sistemas de información.
Al decir formal queremos expresar que estará redactado fundamentalmente en términos
técnicos y matemáticos.
21
CAPÍTULO II. Revisión de Literatura
En este capítulo se presentan las informaciones bibliográficas que sustentan la
investigación, partiendo desde los aspectos fundamentales de la seguridad en tecnología de
la información, hasta llegar a descubrir los elementos más importantes del estudio. Este
capítulo se inicia comentando, según expertos en el área de lo que son las técnicas y
procedimientos favorables para una buena gestión de seguridad de tecnologías de la
información, entre otras importantes revisiones que fueron de gran utilidad en el desarrollo
de la investigación.
2.1 Técnicas y procedimientos favorables para una buena gestión de seguridad de TI
de las PYMES
Según Micolau (2005), si bien nadie puede afirmar que su empresa es cien por ciento
segura, hay dos tareas básicas para resguardar razonablemente los datos de la empresa, las
aplicaciones de software y las operaciones del día a día, y con ellas, la reputación del negocio.
La primera es establecer una política de seguridad apropiada para la empresa. La segunda
consiste en asegurar que esta política se aplique de forma práctica a través de un programa
de gestión de seguridad integral que pueda cambiar y evolucionar simplemente para proteger
el negocio ante las nuevas amenazas.
Micolau propone un diseño de una política de seguridad que establezca el marco para
un completo programa de prevención, detección y respuesta ante las amenazas para su
negocio. Esta política contendrá la seguridad física y lógica, la privacidad y confidencialidad
y los requisitos de cumplimiento de regulaciones legales de la entidad. También establecerá
los roles y responsabilidades de los administradores, usuarios y proveedores de servicio e
incorporará un componente de ejecución que determinará los comportamientos que infringen
la política y las acciones disciplinarias que la compañía tomará en caso de violación.
22
Para Micolau hay cinco acciones básicas que hay que tener en cuenta a la hora de establecer
una política de seguridad efectiva:
1. Llevar a cabo un inventario de la(s) red(es) de la entidad y de todos los activos
vinculados a ella (estaciones de trabajo, aplicaciones, datos y bases de datos, sistemas
y servidores, unidades de almacenamiento, periféricos e instalaciones de servicio)
junto con otros sistemas independientes utilizados por la empresa.
2. Documentar el papel de cada uno de estos activos de información, recalcando
aquéllos que son críticos para la supervivencia de la empresa, e incluyendo los
procesos de negocio que éstos ejecutan y soportan, así como la gente que los utiliza.
Asimismo, hay que tomar nota de los recursos físicos que protegen estos activos de
información.
3. Analizar de forma individual y conjunta todos estos activos y redes para
identificar riesgos y vulnerabilidades potenciales.
4. Ponderar los riesgos y vulnerabilidades identificados según la importancia del
recurso vulnerable. Esto ayudará a decidir cuánto tiempo y dinero se debe invertir
para proteger cada recurso.
5. Priorizar las amenazas en función de la evaluación de los riesgos y utilizar
estas prioridades para desarrollar una política de seguridad que incluya normas de
protección, procedimientos y herramientas, así como documentación disciplinaria u
otras medidas para ser implementadas si hay alguna fisura en dicha política.
Entre otras acciones, la política de seguridad debería contemplar: El uso apropiado
del correo electrónico y los sistemas de mensajería instantánea de la entidad. Medidas para
23
la protección de datos operacionales (como la información sobre los empleados, clientes o la
contabilidad), así como otra información sensible. Procedimientos para responder a las
amenazas de seguridad, intentos de intrusión, pérdida de datos y fallos en el sistema o la red.
El adecuado cuidado y uso de los protocolos y sistemas de autenticación (nombres de
usuarios y contraseñas).
Finalmente, para mantener la política de seguridad actualizada, es una buena acción
incluir una función de auditoría o revisión, de tal forma que la política evolucione de manera
continua para reflejar los cambios en el ambiente de la compañía y del negocio.
Según Hamel (2012), iniciar y manejar un pequeño negocio es una práctica
inherentemente riesgosa, porque no hay garantía de que una nueva empresa alcanzará
rentabilidad. Eventos imprevistos o desastres logran ser especialmente perjudiciales para una
empresa. Por ejemplo, un incendio, terremoto o inundación puede hacer que sea imposible
seguir operando un negocio con normalidad. Un plan de contingencia es un documento
comercial que viene a establecer el curso de acción que una entidad va a tomar en respuesta
a eventos futuros.
Para Hamel el propósito de un plan de contingencia para una empresa es contar con
un conjunto determinado de instrucciones en su lugar si ocurren ciertos eventos que pueden
obstaculizar las operaciones comerciales normales. Por ejemplo, un negocio de masajes
podría estar pensando en trasladar las operaciones a un lugar diferente si su ubicación
principal está dañada por un desastre natural. Del mismo modo, una pizzería podría estar
pensando en iniciar una campaña de publicidad agresiva si otra pizzería abre una competencia
cercana.
24
Según Córdoba (2008), hay que romper con la idea trasnochada de que los Planes de
Continuidad de Negocio (BCP), son exclusivamente necesarios y están sólo al nivel de las
grandes compañías. Los expertos opinan y la experiencia también manifiesta que todas las
empresas, sea cual sea su tamaño, tienen que contar con un BCP. Las amenazas están
siempre, están ahí y no excluyen entre grandes compañías o pequeñas y medianas empresas.
Todas las organizaciones, con independencia de su tamaño, se enfrentan no sólo al riesgo de
las grandes catástrofes que todos podemos tener en mente (atentados terroristas, tornados,
terremotos, inundaciones, tsunamis, etc.), sino también a los más cotidianos y frecuentes
cortes de suministro eléctrico, virus informáticos, phising, sabotajes intencionados, piratas
informáticos, empleados y colaboradores descontentos, problemas de hardware o software o
los inevitables errores humanos.
Córdoba afirma que, al día de hoy, todavía son muchas las PYMES que se
encomiendan a su al divino Dios en lugar de poner manos a la obra y prepararse para afrontar
la amplia gama de problemas que potencialmente podrían encontrarse en su camino
definiendo y poniendo en marcha un Plan de Continuidad de Negocio. En definitiva, un Plan
de Continuidad de Negocio podría referirse como el ‘salvavidas’ que permite a una
institución seguir ofreciendo sus productos y/o servicios a clientes, proveedores, socios de
negocio y empleados cuando lo peor ha sucedido.
2.2 Las PYMES y el presupuesto dedicado a la Gestión de Seguridad de TI
Afirma el director de Canal para América Latina de Symantec, Wallace (2009), que
las PYMES comprenden la importancia de proteger su información, pero no están preparadas
para hacerlo ni asignan recursos suficientes para ello.
Para Wallace las fallas de seguridad en las pequeñas y medianas empresas generan
una peligrosa exposición de información confidencial que podría acabar con la reputación
25
de las PYMES y hacerle perder mucho dinero. Según Wallace lo importante es que las
PYMES comprendan que es más caro no protegerse, y que el dinero asignado a soluciones
de seguridad cibernética es una inversión, no un gasto.
Según Delgado (2012), la aceptación de soluciones tecnológicas para aumentar la
productividad y acelerar sus procesos es una de las principales inquietudes en las pequeñas
y medianas empresas (PYMES). El contar con nuevas herramientas involucra también
invertir en seguridad para proteger los activos e información de la entidad. En este sentido,
uno de los retos más grandes que enfrentan las PYMES es asumir los costos de la ejecución
y aprender a medir el nivel de riesgo que representa no invertir en soluciones completas de
seguridad.
2.3 Seguridad y protección de TI y su importancia para las PYMES
Según Symantec Inc. (2010), la seguridad de la información se está convirtiendo en
la mayor prioridad dentro de las tecnologías de la información TI para las empresas de entre
diez y 499 empleados, (PYMES), esto se pone de manifiesto en el estudio 2010 SMB
Information Protection Survey (Encuesta de Protección de Datos), realizado por dicha
entidad fundamentándose en una encuesta realizada en mayo de ese año a 2,152 ejecutivos
PYMES y a personal encargado de tomar decisiones en las TI de 28 países.
Este cambio tiene significado, ya que las PYMES se encuentran sujetas a una mayor
cantidad de amenazas por ciberataques, pérdida de dispositivos, datos confidenciales o
propietarios.
Según Muñoz (2010), la información confidencial de las PYMES entre la que abarca
números de cuentas bancarias, información de tarjetas de crédito y los historiales de clientes
y empleados, se está enfrentando a grandes riesgos ya sea por ataques de malware, fallos en
26
el servidor o pérdida de información confidencial, la pérdida de datos puede causar grandes
daños y puede tener graves consecuencias para las PYMES.
Dice Muñoz que en una encuesta de Symantec realizada en unos años atrás, el
resultado indicó que estas entidades comerciales no estaban haciendo lo suficiente para
cuidar su información. Expresa el analista que resulta muy interesante ver que las PYMES
saben de los riesgos que les afectan y, para ello, están acogiendo las medidas necesarias para
proteger su información de una forma más completa.
2.4 Importancia de la seguridad
La seguridad ha pasado de utilizarse para salvaguardar los datos clasificados del
gobierno en cuestiones militares o diplomáticas, a tener una aplicación de extensiones
inimaginables y crecientes que incluye transacciones financieras, acuerdos contractuales,
información personal, archivos médicos, comercio y negocios por internet, demótica,
inteligencia ambiental y computación ubicua. Por ello, se hace indispensable que las
necesidades de la seguridad potenciales sean tenidas en cuenta y se determinen para todo tipo
de aplicaciones (Areitio, 2008).
2.5 Tipos de seguridad
Aguilera (2010) afirma, que existen dos tipos de seguridad que son la activa y la
pasiva. Seguridad activa que comprende el conjunto de defensas o medidas cuyo propósito
es evitar o reducir los riesgos que amenazan al sistema. Seguridad pasiva que está formada
por las medidas que se establecen para, una vez producido el incidente de seguridad,
minimizar su consecuencia y facilitar la recuperación del sistema; por ejemplo, teniendo al
día copias de seguridad de los datos del sistema de información.
27
2.6 Objetivos generales de la seguridad
Areitio (2008) afirma que la seguridad de los sistemas de información es una
disciplina en continua evolución. La meta final de la seguridad es lograr que una institución
cumpla con todos sus objetivo de negocio o misión, implementando sistemas que tengan un
especial cuidado y comedimiento hacia los riesgos relativos a las TIC de la organización, a
sus socios comerciales, clientes, administración pública, suministradores.
Según Areitio (2008), los objetivos generales de la seguridad son:
1. Disponibilidad y accesibilidad de los sistemas y datos, solo para su uso autorizado.
Es un requisito necesario para garantizar que el sistema trabaje puntualmente, con
prontitud y que no se deniegue el servicio a ningún usuario autorizado.
2. Integridad que se encarga de garantizar que la información del sistema no haya sido
modificada por usuarios no autorizados, evitando la pérdida de consistencia. La
integridad presenta dos facetas:
Integridad de datos, donde la propiedad de que los datos no hayan sido
alterados de forma no autorizada, mientras se almacenan, procesan o
transmiten.
Integridad del sistema, que es la cualidad que posee un sistema cuando realiza
la función deseada, de manera no deteriorada y libre de manipulación no
autorizada.
3. Confidencialidad de los datos y de la información del sistema. Es el requisito que
intenta que la información privada o secreta no se revele a individuos no autorizados.
La protección de la confidencialidad se aplica a los datos almacenados durante su
procesamiento, mientras se transmiten y se encuentran en tránsito.
28
4. Responsabilidad a nivel individual (registros de auditoría). Es el requisito que permite
que puedan trazarse las acciones de una entidad de forma única.
5. Confiabilidad (aseguramiento). Es la garantía en que los cuatro objetivos anteriores
se han cumplido adecuadamente. Es la base de la confianza en que las medidas de
seguridad, tanto técnicas, como operacionales, funcionan tal y como se idearon para
proteger el sistema y la información que procesa.
2.7 Seguridad informática
Según Aguilera (2010), es la disciplina que se ocupa de diseñar las normas,
procedimientos, métodos y técnicas destinados a lograr que un sistema de información sea
seguro y confiable.
2.8 Clasificación de la seguridad según C. Seoane (2010)
2.8.1 Seguridad física
Es aquella que trata de proteger el hardware (los equipos informáticos, el cableado...)
de los potenciales desastres naturales (terremotos, ciclones...), de incendios, inundaciones,
sobrecargas eléctricas, de robos y un sinfín de más amenazas (C. Seoane, 2010).
2.8.2 Seguridad lógica
La seguridad lógica complementa a las seguridad física, cuidando el software de los
equipos informáticos, es decir, las aplicaciones y los datos de usuario, de robos, de pérdida
de datos, entrada de virus informáticos, modificaciones no autorizadas de los datos, ataques
desde la red, etc. (C. Seoane, 2010).
2.9 Servicios de seguridad
Según Areitio (2008), los servicios de seguridad permiten implementar la política de
seguridad de una organización. Se establecen en los sistemas de información formados por
29
redes, computadoras, personas, etc. con objeto de dar protección a todas las entidades
identificables.
2.10 Seguridad de la información
Según la norma ISO/IEC 27002:2005, es la conservación de la confidencialidad,
integridad y disponibilidad de la información; además, otras propiedades como autenticidad,
responsabilidad, no repudio y fiabilidad pueden ser también consideradas.
2.11 Alta disponibilidad
La alta disponibilidad (High Availability) se describe como la capacidad de que
aplicaciones y datos se encuentren operativos para los usuarios autorizados en todo momento
y sin interrupciones, debido principalmente a su carácter crítico. El objetivo de la misma es
mantener nuestros sistemas funcionando las 24 hora del día, 7 días a la semana, 365 días al
año, manteniéndolos a salvo de interrupciones (Costas, 2011).
2.11.1 Costas afirma, que existen dos tipos de interrupciones:
Las interrupciones previstas, que se ejecutan cuando paralizamos el sistema para
ejecutar cambios o mejoras en nuestro hardware o software. Las interrupciones inesperadas,
que suceden por acontecimientos imprevistos (como un apagón, un error en el hardware o el
software, problemas de seguridad, un desastre natural, virus, accidentes, caídas involuntarias
del sistema), (Costas, 2011).
2.12 Plan de tratamiento de riesgos
Según la norma de seguridad de la información ISO 27001, es el documento de
gestión que define las acciones para reducir, prevenir, transferir o asumir los riesgos de
seguridad de la información inaceptables e implantar los controles adecuados para proteger
la misma (ISO/IEC 27001:2005).
30
2.13 Tipos de controles según la norma ISO/IEC 27001:2005
Control correctivo el cual corrige un riesgo, error, omisión o acto deliberado antes de
que produzca pérdidas. Supone que la amenaza ya se ha materializado pero que se corrige.
Control detectivo el que detecta la aparición de un riesgo, error, omisión o acto
deliberado. Supone que la amenaza ya se ha materializado, pero por sí mismo no la corrige.
Control disuasorio el cual reduce la posibilidad de materialización de una amenaza,
p.ej., por medio de avisos disuasorios.
Control preventivo el que evita que se produzca un riesgo, error, omisión o acto
deliberado. Impide que una amenaza llegue siquiera a materializarse. (ISO/IEC 27001:2005).
2.14 Control Interno Informático
Es un sistema integrado al proceso administrativo, en la planeación, organización,
dirección y control de las operaciones con el propósito de asegurar la protección de todos los
recursos informáticos y mejorar los índices de economía, eficiencia y efectividad de los
procesos operativos automatizados (J. Pinilla, 2001).
2.15 Análisis de Riesgo
Según Aguilera (2010), analizar los riesgos de un sistema de información requiere un
proceso secuencial de análisis de activos, sus vulnerabilidades, amenazas que existen,
medidas de seguridad existentes, impacto que causaría un determinado ataque sobre
cualquiera de los activos, objetivos de seguridad de la empresa y selección de medidas de
protección que cubran los objetivos.
Areitio (2008), afirma que el proceso de análisis de riesgo es el que permite la
identificación de las amenazas que acechan a los activos, para establecer la vulnerabilidad
del sistema ante ellas y para estimar el impacto o grado de perjuicio que una seguridad
31
insuficiente puede tener para la organización, obteniendo cierto conocimiento del riesgo que
se corre.
2.16 Políticas de seguridad de la información
Según Portantier (2011), es el documento que muestra el interés de la gerencia por la
seguridad de la información de su empresa. Debe estar escrito en conjunto con la gerencia o,
por lo menos, confirmado por la misma, y explicar cómo la seguridad informática se alinea
con los objetivos de la institución. No tiene que ser un documento amplio, pero sí debe
explicar, a grandes rasgos, qué es lo que la empresa espera de la seguridad de su información
y cuáles son los datos más importantes a proteger. Por ejemplo: datos de clientes,
proveedores, empleados, etc.
2.17 Sistema de gestión de la seguridad de la información
Según la norma ISO 27001, el objetivo de un sistema de gestión de la seguridad de la
información es, por tanto, garantizar que los riesgos de la seguridad de la información sean
conocidos, asumidos, gestionados y minimizados por la institución de una forma
documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se
produzcan en los riesgos, el entorno y las tecnologías (ISO/IEC 27001:2005).
2.18 Modelo de seguridad
Un modelo de seguridad es la expresión formal de una política de seguridad y se
utiliza como directriz para evaluar los sistemas de información. Al decir formal queremos
expresar que estará redactado primordialmente en términos técnicos y matemáticos
(Aguilera, 2010).
32
2.19 Gestión de la seguridad de TI
Según ITIL, marco de trabajo de las buenas prácticas destinadas a facilitar la entrega
de servicios de tecnologías de la información (TI), la gestión de la seguridad de TI es asegurar
la confidencialidad, la integridad y la disponibilidad de las informaciones, datos y servicios
de TI de una organización. Regularmente, la Gestión de la Seguridad de TI forma parte del
acercamiento de una organización a la gestión de seguridad, cuyo alcance es más amplio que
el del proveedor de Servicios de TI.
33
CAPÍTULO III: Metodología
En este capítulo se exponen los elementos que componen esta investigación, entre los
que están: diseño de la investigación, población y muestra, técnicas e instrumentos utilizados,
validación de los instrumentos y limitaciones del estudio.
3.1 Metodología
Debido a que los datos que se recolectaron durante la investigación y se buscaron de
manera que puedan ser medibles, los resultados fueron expuestos en forma numérica ya que
así se pudo llevar a cabo el análisis estadístico, el enfoque utilizado en nuestra investigación
fue el cuantitativo, según Sampieri, (2006) el enfoque cuantitativo parte de una visión
objetiva del fenómeno a estudiar, en dónde no se toma en cuenta la manera de pensar del
investigador, para éste se toman en cuanta estudios estadísticos hechos con anterioridad.
3.2 Tipo de investigación
Esta investigación es del tipo descriptiva y analítica, ya que pretende analizar la
Gestión de la Seguridad de TI en las Medianas y Pequeñas Empresas, en San Francisco de
Macorís, República Dominicana. De modo que, se describió si las PYMES de ésta ciudad
llevan una razonable gestión de la seguridad de TI en sus negocios. Según Sampieri, (2006)
muy frecuentemente en el tipo descriptivo el propósito del investigador es describir
situaciones y eventos. Esto es, decir cómo es y se manifiesta determinado fenómeno. Los
estudios descriptivos buscan detallar las propiedades de importancia de personas, grupos,
comunidades o cualquier otro fenómeno que sea sujeto a análisis.
3.3 Población
Según Tamayo, (2004) “la población es la totalidad de un fenómeno de estudio,
incluye la totalidad de las unidades de análisis o entidades de población que integran dicho
fenómeno y que deben cuantificarse para un determinado estudio, integrando un con conjunto
34
N de entidades que participan de una determinada característica, y se le denomina población
por constituir la totalidad del fenómeno adscrito a un estudio o investigación. La población
de este estudio la constituyen 700 empresas tipo PYMES registradas en San Francisco de
Macorís, de acuerdo a datos suministrados por la administración local de la Dirección
General de Impuestos Internos (DGII) en la Provincia Duarte, en el año 2014.
3.4 Muestra
Según Tamayo, (2004), la muestra se obtiene a partir de la población cuantificada
para una investigación. La muestra para este estudio se obtendrá de la lista suministrada por
la Dirección General de Impuestos Internos DGII, de la administración de San Francisco de
Macorís en el año 2014. Para su cálculo se utilizará la fórmula para poblaciones finitas de
Fisher y Navarro (1994): n =(N Z²pq) / [e²(N-1) + Z²pq]
NZ 2 p (1-p)n = ______________________________
(N-1) e2 + Z2 p (1-p)
Donde
n= es la muestra
N= es la población
Z =es el parámetro de la distribución normal estándar: valor correspondiente al nivel
de confiabilidad para un 97% su valor es = 2.17
e= margen de error permitido = 10% = 0.1
p= Probabilidad de éxito (O proporción de elementos que, en la población, poseen la
característica considerada) = desviación estándar………0.5
q= probabilidad de fracaso (1-p) = 0.5
(700) (2.17)2 0.5 (1-0.5)n = __________________________________________ n = 824.0575 / 8.1672 = 101
(700-1) (0.1)2 + (2.17)2 0.5 (1-0.5)La muestra de este estudio es de 101 empresas PYMES de San Francisco de
Macorís.
35
Luego de calculada la muestra con un total de 101 empresas tipo PYMES, de ese total
de empresas y tomando como parámetro la lista de cotejo del anexo B en la cual están las
principales actividades ligadas con tecnología que deben de tener estas entidades comerciales
para poder ser utilizadas para la aplicación del instrumento de investigación del anexo A, el
cual permitió analizar la gestión de la seguridad de TI que utilizan estas empresas; al aplicar
la lista de cotejo sólo 20 empresas tipo PYMES de la ciudad de San Francisco de Macorís
lograron cumplir todos los puntos de la lista con las actividades relacionadas con el uso de
las TI en los procesos que realizan estas empresas, las cuales fueron seleccionadas para el
estudio de este proyecto de investigación.
En ese mismo orden, estas 20 PYMES fueron visitadas y a sus ejecutivos principales
tanto de la alta gerencia y el departamento de tecnología de la información se les solicitó la
colaboración de ellos, les fueron entregados a estos ejecutivos el cuestionario del anexo A
con las preguntas adecuadas para lograr realizar el análisis a la gestión de la seguridad de TI
en dichas instituciones, pero del total antes mencionado solo 11 empresas entregaron el
cuestionario con las respuestas a las preguntas que componen el mismo, el resto de las 9
empresas faltantes no colaboraron al llenado del cuestionario antes mencionado.
De estas 11 pequeñas y medianas empresas que colaboraron con el llenado del
instrumento de investigación se encuentran: 2 Supermercados, 1 Ferreterías, 2 Centros de
Salud Privados, 2 entidades de Ahorros y Préstamos, 1 empresa Servicio de Televisión por
Cable, 1 empresa dedicada al desarrollo de Soluciones Informáticas, 1 empresa de
Distribución de artículos al por mayor, 1 empresa destinada a la comercialización y
distribución de empaques flexibles.
36
3.5 Técnicas e instrumentos a utilizar
Para la recolección de las informaciones se utilizó un cuestionario. Según Landeau R,
(2007), el cuestionario es un instrumento formado por un conjunto de preguntas específicas
que deben ser contestadas por escrito o verbalmente con el propósito de obtener datos sobre
los elementos a estudiar. En esta investigación se utilizó un instrumento (ver Anexo A) para
la gestión de seguridad de tecnología de la información (TI). El cuestionario está compuesto
de veintiuna (21) preguntas abiertas y de selección múltiples que pretende determinar cómo
las PYMES de San Francisco de Macorís gestionan la seguridad de la tecnología de la
información (TI) en sus negocios. Estas preguntas están relacionadas con los objetivos de esta
investigación.
3.6 Validación de los instrumentos y confiabilidad.
Luego de elaborado los instrumentos, se procedió a solicitar la consulta de dos
expertos, uno en el área de seguridad de tecnología de información y otro en el aspecto
metodológico, con la finalidad de ser revisados y después validados. Entonces se procedió a
solicitar a nuestro asesor la revisión del instrumento luego de las opiniones de los expertos,
más adelante se procedió a aplicarlo para determinar si el cuestionario recogía las
informaciones y cumplía con los objetivos de la investigación. Para esta investigación no se
aplicó prueba piloto, debido a que a las empresas elegidas para dicha prueba no quisieron
darnos informaciones para tales fines y de las que se seleccionaron para la muestra no se
podían utilizar en dicha prueba.
37
3.7 Limitaciones de la investigación
Poca diversidad de empresas tipo PYMES que cumplían con las condiciones
necesarias para poder ser usadas en el estudio, esto se pudo comprobar a la hora de aplicar la
lista de cotejo del anexo B, donde solo 20 empresas de 101 de la muestra cumplieron con
todos los puntos de la lista de cotejo. Escasas facilidades para recolectar informaciones de
algunas de las empresas utilizadas en la investigación.
38
CAPÍTULO IV: Presentación de los Resultados
En este capítulo se presentarán los resultados obtenidos en la aplicación del
cuestionario, para evaluar la Gestión de la Seguridad de TI en las Medianas y Pequeñas
Empresas, en San Francisco de Macorís, año 2014. Estos resultados se presentan a través de
tablas y gráficas, mediante los cuales se pueden observar los porcentajes y las respuestas
gráficamente.
Tabla No. 1
1 – Frecuencia y porcentaje del tipo de empresa.
Opciones Frecuencia Porcentaje
Supermercados 2 18%
Ferreterías 1 9%
Centros de Salud Privado 2 18%
Financieras, Ahorros y Préstamos 2 18%
Servicio TV por Cable 1 9%
Soluciones Informáticas 1 9%
Distribuidoras de Artículos 1 9%
Productos Desechables 1 9%
Total 11 100%
Fuente: cuestionario aplicado a las medianas y pequeñas empresas de San Francisco de Macorís sobreel Análisis de la Gestión de la Seguridad de TI, durante el año 2014.
En la tabla No.1, el 18% de las empresas entrevistadas pertenecen a supermercados,
el 9% a ferreterías, el 18% a empresas de centro de salud privados, el 18% a empresas
financieras de ahorros y préstamos, el 9% a empresas de servicio de TV por cable, el 9% a
empresas de desarrollo de soluciones informáticas, el 9% a empresas distribuidoras de
artículos masivos y el 9% a empresas de productos desechables.
39
Gráfico 1
Tabla No. 2
2– Frecuencia y porcentaje de la vinculación de los recursos tecnológicos disponibles con
las operaciones del negocio.
Opciones Frecuencia Porcentaje
Ninguna 0 0%
Poca Vinculación 0 0%
Total Vinculación 11 100%
Total 11 100%
Fuente: cuestionario aplicado a las Medianas y Pequeñas empresas de San Francisco de Macorís sobreel Análisis de la Gestión de la Seguridad de TI, durante el año 2014.
En la tabla No. 2, el 100% de las empresas entrevistadas consideran que existe una
total vinculación de los recursos tecnológicos con las operaciones del negocio.
Supermercados
Ferreterias
Centros de SaludPrivado
Financieras, Ahorros yPrestamos
Servicio TV por Cable
Soluciones Informaticas
40
Gráfico 2
Tabla No. 3
3– Frecuencia y porcentaje de la administración y soporte de los recursos tecnológicos
(Personal Profesional de TI Interno o Externos).
Opciones Frecuencia Porcentaje
Personal Interno 4 36%
Personal Externo 1 9%
Personal Mixto 6 55%
Ninguno 0 0%
Total 11 100%
Fuente: cuestionario aplicado a las Medianas y Pequeñas empresas de San Francisco de Macorís sobreel Análisis de la Gestión de la Seguridad de TI, durante el año 2014.
Ninguna
Poca Vinculación
Total Vinculación
41
En la tabla No. 3, el 36% de las empresas entrevistadas expresan que quienes
administran y soportan los recursos tecnológicos que ellos poseen es un personal interno, el
9% usan personal externo y el 55% usan personal mixto.
Gráfico 3
Tabla No. 4
4– Frecuencia y porcentaje de la dependencia de las empresas de los recursos tecnológicos.
Opciones Frecuencia Porcentaje
No depende 0 0%
Poca Dependencia 0 0%
40 a 60% Dependencia 2 18%
Muy Dependiente 4 36%
Total Dependencia 5 45%
Total 11 100%
Fuente: cuestionario aplicado a las Medianas y Pequeñas empresas de San Francisco de Macoríssobre el Análisis de la Gestión de la Seguridad de TI, durante el año 2014.
Personal Interno
Personal Externo
Personal Mixto
Ninguno
42
En la tabla No. 4, el 18% de las empresas entrevistadas consideran que tienen una
dependencia de 40% a 60% de los recursos tecnológicos, el 36% la consideran muy
dependiente y el 45% la consideran en total dependencia.
Gráfico 4
Tabla No. 5
5– Frecuencia y porcentaje de la relación con los activos generales de la empresa, el
porcentaje correspondiente a la infraestructura tecnológica.
Opciones Frecuencia Porcentaje
Menos de 10% 1 9
10% a 30% 2 18
31% a 50% 3 27
51% a 70% 4 36
Más de un 70% 1 9
Total 11 100
Fuente: cuestionario aplicado a las Medianas y Pequeñas empresas de San Francisco de Macoríssobre el Análisis de la Gestión de la Seguridad de TI, durante el año 2014.
No depende
Poca Dependencia
40 a 60% Dependencia
Muy Dependiente
Total Dependencia
43
En la tabla No. 5, el 9% de las empresas entrevistadas consideran que con relación a
sus activos generales, menos de un 10% corresponde a infraestructura tecnológica, el 18%
que están entre un 10% a 30%, el 27% entre un 31% a 50%, el 36% entre un 51% a 70% y el
9% que es más de un 70%.
Gráfico 5
Tabla No. 6
6– Frecuencia y porcentaje de los planes de inversión en infraestructura tecnológica que tiene
la empresa.
Opciones Frecuencia Porcentaje
Si 10 91%
No 1 9%
Total 11 100%
Fuente: cuestionario aplicado a las Medianas y Pequeñas empresas de San Francisco de Macoríssobre el Análisis de la Gestión de la Seguridad de TI, durante el año 2014.
En la tabla No. 6, el 91% de las empresas entrevistadas consideran que si tienen planes
de inversión de infraestructura tecnológica y el 9% no consideran hacer inversión en
infraestructura tecnológica.
Menos de 10%10% a 30%
31% a 50%51% a 70%
Más de un 70%
44
Gráfico 6
Tabla No. 7
7– Frecuencia y porcentaje de la importancia que le da la alta gerencia a los recursos de
infraestructura tecnológica.
Opciones Frecuencia Porcentaje
Ninguna 0 0%
Poca Importancia 0 0%
Importante 1 9%
Muy Importante 4 36%
Total Importancia 6 55%
Total 11 100%
Fuente: cuestionario aplicado a las Medianas y Pequeñas empresas de San Francisco de Macorís sobreel Análisis de la Gestión de la Seguridad de TI, durante el año 2014.
En la tabla No. 7, el 9% de la alta gerencia de las empresas entrevistadas considera
que son importantes los recursos de infraestructura tecnológica, el 36% considera que es muy
importante y el 55% considera que tienen una total importancia.
Si
No
45
Gráfico 7
Tabla No. 8
8– Frecuencia y porcentaje de la importancia que le da la alta gerencia a los recursos de
humanos de TI.
Opciones Frecuencia Porcentaje
Ninguna 0 0%
Poca Importancia 0 0%
Importante 3 27%
Muy Importante 4 36%
Total Importancia 4 36%
Total 11 100%
Fuente: cuestionario aplicado a las medianas y pequeñas empresas de San Francisco de Macoríssobre el Análisis de la Gestión de la Seguridad de TI, durante el año 2014.
En la tabla No. 8, el 27% de la alta gerencia de las empresas entrevistadas considera
que son importantes los recursos humanos de TI, el 36% considera que son muy importante
y el 36% considera que tienen una total importancia.
Ninguna
Poca Importancia
Importante
Muy Importante
Total Importancia
46
Gráfico 8
Tabla No. 9
9– Frecuencia y porcentaje sobre el tipo de información manejada por los recursos
tecnológicos de la empresa.
Opciones Frecuencia Porcentaje
Nada Importante 0 0%
Poco Importante 0 0%
Importante 0 0%
Muy Importante 2 18%
De Alta Importancia 9 82%
Total 11 100%
Fuente: cuestionario aplicado a las Medianas y Pequeñas empresas de San Francisco de Macoríssobre el Análisis de la Gestión de la Seguridad de TI, durante el año 2014.
En la tabla No. 9, el 18% de las empresas entrevistadas aseguran que el tipo de
información que manejan sus recursos tecnológicos es muy importante y el 82% la
consideran de alta importancia.
Ninguna PocaImportancia
Importante MuyImportante
TotalImportancia
47
Gráfico 9
Tabla No. 10
10– Frecuencia y porcentaje de la inversión de la seguridad general de la empresa.
Opciones Frecuencia Porcentaje
Si 11 100%
No 0 0%
Total 11 100%
Fuente: cuestionario aplicado a las Medianas y Pequeñas empresas de San Francisco de Macorís sobreel Análisis de la Gestión de la Seguridad de TI, durante el año 2014.
En la tabla No. 10, el 100% de las empresas entrevistadas expresaron que si invierten
en seguridad en sentido general.
Nada Importante
Poco Importante
Importante
Muy Importante
De Alta Importancia
48
Gráfico 10
Tabla No. 11
11– Frecuencia y porcentaje de la inversión en la seguridad de la información la empresa.
Opciones Frecuencia Porcentaje
Si 9 82%
No 2 18%
Total 11 100%
Fuente: cuestionario aplicado a las Medianas y Pequeñas empresas de San Francisco de Macorís sobreel Análisis de la Gestión de la Seguridad de TI, durante el año 2014.
En la tabla No. 11, el 82% de las empresas entrevistadas expresaron que si invierten
en seguridad de la información y el 18% no invierten.
Si
No
49
Gráfico 11
Tabla No. 12
12– Frecuencia y porcentaje de la evaluación de la empresa en los costos de los recursos de
seguridad.
Opciones Frecuencia Porcentaje
Gastos 0 0%
Inversión 10 91%
No Contestaron 1 9%
Total 11 100%
Fuente: cuestionario aplicado a las Medianas y Pequeñas empresas de San Francisco de Macorís sobreel Análisis de la Gestión de la Seguridad de TI, durante el año 2014.
En la tabla No. 12, el 91% de las empresas entrevistadas expresaron que evalúan los
costos de la seguridad como inversión y el 9% no contestaron la pregunta.
Si
No
50
Gráfico 12
Tabla No. 13
13– Frecuencia y porcentaje de las ideas del nivel de riesgo tecnológico al que se han
expuesto las empresas.
Opciones Frecuencia Porcentaje
Si 10 91%
No 1 9%
Total 11 100%
Fuente: cuestionario aplicado a las Medianas y Pequeñas empresas de San Francisco de Macorís sobreel Análisis de la Gestión de la Seguridad de TI, durante el año 2014.
En la tabla No. 13, el 91% de las empresas entrevistadas afirmaron que si tienen ideas
del nivel de riesgo tecnológico al que están expuestas y el 9% no tiene ideas del nivel de
riesgo tecnológico al que están expuestas.
GastosInversion
No Contestaron
51
Gráfico 13
Tabla No. 14
14– Frecuencia y porcentaje del estimado o identificado posible impacto ante la ocurrencia
de un evento de seguridad de la información.
Opciones Frecuencia Porcentaje
Si 6 55%
No 5 45%
Total 11 100%
Fuente: cuestionario aplicado a las Medianas y Pequeñas empresas de San Francisco de Macorís sobreel Análisis de la Gestión de la Seguridad de TI, durante el año 2014.
En la tabla No. 14, el 55% de las empresas entrevistadas si tienen estimado o
identificado el posible impacto ante la ocurrencia de un evento de la seguridad de la
información y el 45% no tiene nada estimado ni identificado.
Si
No
52
Gráfico 14
Tabla No. 15
15– Frecuencia y porcentaje de los eventos de seguridad de la información.
Opciones Frecuencia Porcentaje
Si 6 55%
No 4 36%
No Contestaron 1 9%
Total 11 100%
Fuente: cuestionario aplicado a las Medianas y Pequeñas empresas de San Francisco de Macorís sobreel Análisis de la Gestión de la Seguridad de TI, durante el año 2014.
En la tabla No. 15, el 55% de las empresas entrevistadas si han tenido eventos de
seguridad de la información, el 36% no ha tenido ningún evento y el 9% no contestaron la
pregunta.
Si
No
54
CAPÍTULO V: Discusión.
En el presente capitulo se expone de manera detallada las conclusiones y
recomendaciones dada por el estudio, donde se tomó como punto de partida las variables,
indicadores y objetivos. En este capítulo se podrá distinguir cuáles fueron los resultados que
se obtuvieron en el cuestionario aplicado a las empresas PYMES, se describen las
interrogantes planteadas al inicio de la investigación.
5.1 Análisis de los resultados
En el cuestionario que se les aplicó a las empresas PYMES de la ciudad de San
Francisco de Macorís, se puede notar que el 45% de estas entidades comerciales tienen una
total dependencia de los recursos tecnológicos de información, en ese mismo orden,
González (2007), afirma que las tecnologías de información son un conjunto de procesos y
productos derivados de las nuevas herramientas (hardware y software) que soportan la
información y canales de comunicación relacionados con el almacenamiento, procesamiento
y transmisión digitalizados de la información. Esto indica que estas entidades comerciales
aprovechan esta ventaja que ofrecen los recursos tecnológicos para poder automatizar sus
procesos y brindar así un mejor servicios a la población, a la cual están orientadas sus labores
en el comercio.
En los resultados obtenidos en el cuestionario, el 91% de las empresas PYMES
entrevistadas consideran que si tienen planes de inversión, de infraestructura tecnológica, lo
que demuestra que para estas entidades los activos de información son herramientas vitales
para el desarrollo de sus actividades, Aguilera (2010), afirma que los activos de información
son los recursos que pertenecen al propio sistema de información o que están relacionados
con este. La presencia de los activos facilita el funcionamiento de la empresa u organización
y la consecución de sus objetivos. En ese mismo orden, el 55% de la alta gerencia de las
55
empresas PYMES entrevistadas consideran de total importancia los recursos de
infraestructura tecnológica con los que cuentan sus empresas.
El cuestionario aplicado a las medianas y pequeñas empresas de San Francisco de
Macorís también demostró que el 82% de estas entidades comerciales consideran que el tipo
de información que manejan sus recursos tecnológicos es de alta importancia. Respecto a las
inversiones en seguridad general el 100% de las empresas entrevistadas expresaron que si
invierten en seguridad, en sentido general, lo que indica que hacen lo más adecuado posible
para proteger sus instalaciones y recursos humanos que laboran dentro de ellas.
En tal sentido, solo el 82% de las empresas entrevistadas expresaron que si invierten
en seguridad de la información, lo que demuestra que la gran parte de las PYMES
entrevistadas gestionan la seguridad de las tecnologías de la información TI que están siendo
usadas en sus empresas, según la Biblioteca de Infraestructura de Tecnologías de Información
(ITIL V3, 2011) la gestión de la seguridad de TI es un conjunto de conceptos y buenas
prácticas para la gestión de servicios de tecnologías de la información y de todas las
operaciones relacionadas con la misma; la gestión de la seguridad de TI, busca asegurar la
confidencialidad, la integridad y la disponibilidad de las informaciones, datos y servicios de
TI de una organización.
El 55% de las empresas PYMES usan personal mixto para administrar y darle soporte
a los recursos tecnológicos que son usados en las actividades que realizan estas entidades,
este personal debe de aplicar mecanismos de seguridad razonables para salvaguardar la
información, Aguilera (2010), afirma que los mecanismos de seguridad tanto físicos o lógicos
tienen como misión prevenir, detectar o corregir ataques al sistema, asegurando que los
servicios queden cubiertos.
56
5.2 Conclusiones
Al finalizar esta investigación donde se analizó la gestión de la seguridad de TI en las
pequeñas y medianas empresas de la ciudad de San Francisco de Macorís en el año 2014 se
llegó a las siguientes conclusiones:
Objetivo 1: Determinar las necesidades de protección de datos de las PYMES de San
Francisco de Macorís, en la investigación se encontró que las empresas si tienen necesidades
de protección de sus datos, ya que el 100% de las empresas entrevistadas consideran que
existe una total vinculación de los recursos tecnológicos con las operaciones de su negocio,
lo que indica que estos recursos son herramientas vitales para que estas pequeñas y medianas
empresas puedan lograr sus metas, por tal motivo deben de protegerlos.
Objetivo 2: Verificar las técnicas y procedimientos que utilizan las PYMES de San
Francisco de Macorís para llevar a cabo la gestión de la seguridad de TI en sus negocios. El
estudio dio a conocer que estas entidades comerciales hacen uso de varias técnicas y
procedimientos para evitar o prevenir eventos de seguridad de la información, entre estas
tenemos que una de las empresas del sector ferretero para evitar o prevenir eventos de
seguridad de la información restringe el acceso físico al servidor donde almacenan sus datos,
y controlan el acceso de los usuarios a estos datos. Otra empresa del sector supermercados
informó que sólo aplica backup (copias de seguridad) diarios. También el estudio dio a
conocer que otra de las empresas que participaron en el estudio realiza backup regularmente
en discos externos y en la nube como únicas medidas para evitar o prevenir eventos de
seguridad de la información.
57
En ese mismo orden, otra de las entidades comerciales entrevistadas del área de
supermercados aplica un control de redes segmentadas, control exhaustivo de los accesos
concedidos y habilitación/inhabilitación de cuentas de usuarios web o del sistema. Otra
empresa PYMES informó que almacena sus informaciones de forma automatizada en la
nube, en dispositivos periféricos y en discos fuera de la empresa. Se observó también que
hay PYMES que toman medidas con software antivirus para mitigar los problemas que los
virus puedan causar.
Otra de las empresas entrevistadas informó que está estableciendo medidas que vayan
orientadas a salvaguardar la información. Como son resguardar periódicamente la
información, instalar software antivirus, mantener el software actualizado, definir políticas
de acceso a la información. En tal sentido, se pudo comprobar que varias de las empresas
solo aplican medidas mediante software antivirus y seguridad física de los activos de
información.
En ese orden, según Micolau (2005), si bien nadie puede afirmar que su empresa es
cien por ciento segura, hay dos tareas básicas para resguardar razonablemente los datos de la
empresa: las aplicaciones de software y las operaciones del día a día, y con ellas, la reputación
del negocio. La primera es establecer una política de seguridad apropiada para la empresa.
La segunda consiste en asegurar que esta política se aplique de forma práctica a través de un
programa de gestión de seguridad integral que pueda cambiar y evolucionar simplemente
para proteger el negocio ante las nuevas amenazas.
Objetivo 3: Determinar la importancia que dan las PYMES de San Francisco de
Macorís a las inversiones en la seguridad de TI. El estudio demostró que el 9% de las altas
gerencia de las empresas entrevistadas consideran que son importantes los recursos de
infraestructura tecnológica, el 36% consideran que son muy importante y el 55% consideran
58
que tienen una total importancia. En tal sentido, el cuestionario dio a conocer que el 82% de
las empresas entrevistadas expresaron que si invierten en seguridad de la información y el
18% no invierten, dada esta situación se observa que para la gran mayoría de estas entidades
comerciales es importante invertir en la seguridad de los recursos de tecnología de
información que utilizan en sus instalaciones.
En tal sentido, según Areitio (2008), la seguridad ha pasado de utilizarse para
salvaguardar los datos clasificados del gobierno en cuestiones militares o diplomáticas, a
tener una aplicación de extensiones inimaginables y crecientes que incluye transacciones
financieras, acuerdos contractuales, información personal, archivos médicos, comercio y
negocios por internet, demótica, inteligencia ambiental y computación ubicua. Por ello, se
hace indispensable que las necesidades de la seguridad potenciales sean tenidas en cuenta y
se determinen para todo tipo de aplicaciones.
Objetivo 4: Conocer el porcentaje de los activos generales de la empresa que
corresponde a infraestructura tecnológica y la evaluación de los costos de los recursos de
seguridad de estos activos. La aplicación del cuestionario encontró que las empresas
entrevistadas manejan una infraestructura tecnológica acorde a sus necesidades, ya que, el
9% de las empresas entrevistadas con relación a sus activos generales menos de un 10%
corresponde a infraestructura tecnológica, el 18% están entre un 10% a 30%, el 27% están
entre un 31% a 50%, el 36% entre un 51% a 70% y el 9% que es más de un 70%. En tal
sentido, se encontró que el 91% de las empresas entrevistadas expresaron que evalúan los
costos de la seguridad como inversión y un 9% no contestaron la pregunta.
Esto demuestra que al tener esos activos de información deben dedicar un presupuesto
razonable para la gestión de la seguridad de dicha infraestructura tecnológica. El estudio
pudo comprobar que respecto a esta realidad las empresas PYMES tienen planes de invertir
59
más en la gestión de la seguridad de TI, ya que, una de estas empresas tiene como nuevos
retos para seguir mejorando la seguridad, la implementación del marco de buenas prácticas
COBIT, y la reestructuración de la estructura de la Red informática que ellos poseen.
En tal sentido, afirma el director de canal para América Latina de Symantec, Wallace
(2009), que las PYMES comprenden la importancia de proteger su información, pero no están
preparadas para hacerlo, ni asignan recursos suficientes para ello.
Para Wallace las fallas de seguridad en las pequeñas y medianas empresas generan
una peligrosa exposición de información confidencial que podría acabar con la reputación de
las PYMES y hacerle perder mucho dinero. Según Wallace lo importante es que las PYMES
comprendan que es más caro no protegerse, y que el dinero asignado a soluciones de
seguridad cibernética es una inversión, no un gasto.
Objetivo 5: Identificar las medidas sobre el manejo de contingencias que están siendo
usadas por las PYMES de San Francisco de Macorís en sus negocios. Reveló el estudio que
las entidades comerciales entrevistadas en un 91% afirmaron que si tienen ideas del nivel de
riesgo tecnológico al que están expuestas y el 9% no tiene ideas del nivel de riesgo
tecnológico al que están expuestas. En tal sentido, sobre si tienen o no estimado, o
identificado el posible impacto ante la ocurrencia de un evento de seguridad de la
información el 55% de las empresas entrevistadas si tienen estimado o identificado el posible
impacto ante la ocurrencia de un evento de la seguridad de la información y el 45% no tiene
nada estimado ni identificado.
Dada la realidad anterior y observando que el 55% de las empresas entrevistadas si
han tenido eventos de seguridad de la información, el 36% no ha tenido ningún evento y un
9% no contestaron la pregunta del cuestionario aplicado, se pudo observar que las medidas
usadas por las PYMES para el manejo de contingencias como son la realización de backup,
60
almacenar información en la nube y en discos externos concluimos que no son las únicas
herramientas que deben usar para estos fines.
Según Hamel (2012), el propósito de un plan de contingencia para una empresa es
contar con un conjunto determinado de instrucciones en su lugar si ocurren ciertos eventos
que pueden obstaculizar las operaciones comerciales normales. Por ejemplo, un negocio de
masajes podría estar pensando en trasladar las operaciones a un lugar diferente si su ubicación
principal está dañada por un desastre natural. Del mismo modo, una pizzería podría estar
pensando en iniciar una campaña de publicidad agresiva si otra pizzería abre una competencia
cercana.
Observando los datos antes descritos que se obtuvieron luego de aplicado el
cuestionario, llegamos a la conclusión: que gran parte de las empresas no están bien claras
en lo que tiene que ver con la seguridad de la información, ya que implementar procesos y
medidas de protección, para garantizar la seguridad, no es una cosa que se hace una vez y
después se olvide, sino, requiere un control continuo de cumplimiento, funcionalidad y una
adaptación periódica, de las medidas de protección implementadas, y como observamos, que
las empresas sólo se enfocan en medidas orientadas a mitigar ataques como virus y robo por
personas físicas de la información, olvidando que no sólo estos eventos pueden causar
impactos negativos en su productividad.
En este sentido, todas estas circunstancias juntas, concluyen en la triste realidad, que
la seguridad de la información en particular, no recibe la atención apropiada. Unos de los
errores que más cometen las entidades entrevistadas que han tenido eventos de seguridad de
la información es que no se implementa medidas de protección, hasta después del desastre,
y las excusas o razones del por qué no se implementó antes, está en la falta de orientación y
concientización respecto al tema que se está tratando, en cuanto a las responsabilidades de la
61
seguridad de la información la gran mayoría tienen deficiencias en este sentido, ya que,
muchos tienen personal externo para los servicios de su infraestructura tecnológica, pero no
tienen políticas claras en lo que concierne a la responsabilidad de la seguridad de TI, no se
debe externalizar, puesto que, es un tema que se debe tratar de forma interna en sus
organizaciones. Sobre como tratan las comunicaciones internas en los aspectos de seguridad
fue notorio que poco se aplica, siendo un gran error el no trabajar esto dentro de sus
organizaciones.
5.3 Recomendaciones
5.3.1 Recomendaciones a las PYMES
Con el objetivo de proporcionar alternativas que ayuden a las empresas tipo PYMES
de la ciudad de San Francisco de Macorís a superar las debilidades en la gestión de la
seguridad de TI que ellas utilizan para proteger su infraestructura tecnológica, se presentan
las siguientes recomendaciones:
Las empresas tipo PYMES a la hora de determinar las necesidades de protección de
datos deben establecer requisitos de seguridad para la empresa, desarrollando un conjunto de
principios y reglas que resuman como se gestionará la protección de la información del
negocio. Se debe desarrollar una política de seguridad que deberá tener unos objetivos
básicos que principalmente serán los encargados de garantizar la confidencialidad, integridad
y disponibilidad de los datos. Al crear esta política se estarán estableciendo las bases para
una correcta gestión de la seguridad de la información en su infraestructura tecnológica,
teniendo en cuenta de no sólo crear indicaciones técnicas, sino también organizativas,
relacionadas con recursos humanos o incluso con la seguridad física de sus instalaciones.
62
En este mismo orden, se debe clasificar la información sensible. No se debe poner al
alcance de todo el personal la información sensible de la empresa. Hay que clasificarla,
separarla y asegurarla, implementando carpetas protegidas con contraseña, así como también
perfiles de usuario diferentes para cada empleado que labore en la entidad, esto así para, que
cada uno sólo tenga acceso a la información que le corresponde, de acuerdo a su labor en la
empresa.
Las pequeñas y medianas empresas a la hora de aplicar técnicas y procedimientos
para llevar a cabo la gestión de la seguridad de la tecnología de la información que utilizan
en sus negocios, deben de asesorarse con entidades expertas en el tema de gestión de la
seguridad de TI que los oriente de una manera adecuada, de cómo lograr implementar una
razonable gestión de la seguridad de TI en sus negocios; ya que no importa el tamaño del
negocio en el mundo de la seguridad de las tecnologías de la información, existen propuestas
de gestión de seguridad de TI que pueden ser aplicada al tipo de entidad que la está
solicitando.
En ese mismo orden, en lo referente a los eventos de la seguridad de la información
y el posible impacto de los mismos en las operaciones de sus negocios se recomienda hacer
un análisis de riesgo informático, el cual va ayudar a la identificación de los activos
informáticos, las vulnerabilidades y amenazas a los que se encuentran expuestos, así como
también la probabilidad de ocurrencia y el impacto de las mismas, con el propósito de
establecer los controles apropiados para aceptar, disminuir, transferir o evitar la ocurrencia
del riesgo. Estos controles tienen que ser seguros para que puedan preservar las propiedades
de confidencialidad, integridad y disponibilidad de la información que poseen los recursos
tecnológicos expuestos al riesgo.
63
Recomendamos a las pequeñas y medianas empresas instalar un buen software
antivirus. Deben optar por pagar una buena licencia de software antivirus, hablando de que
se trata de una empresa, se debe elegir un plan para una compañía como tal. Las mejores
soluciones de software antivirus se actualizan constantemente sobre las firmas de nuevas
amenazas de virus y variantes de estos, monitorean los procesos que se ejecutan en el sistema
y disponen de buenos firewalls (cortafuegos), entre otras más funcionalidades que ayudaran
a mantener los sistemas salvaguardados. En el mercado existen soluciones adecuadas al
sector de las PYMES que pueden ser aprovechadas por estas entidades para poder
implementar un antivirus de calidad.
Las empresas PYMES al momento de determinar la importancia en las inversiones
en la seguridad de TI deben de tener en cuenta medir y analizar en la seguridad de la
información los incidentes, es decir, los eventos no deseados que se detecten en su
infraestructura tecnológica y puedan poner en peligro las operaciones vitales de sus negocios.
Estos eventos deben ser registrados y calificados para luego determinar cómo reaccionar ante
cada uno de ellos. El poder tener bien claro cuáles son los acontecimientos más comunes que
pueden ocurrir en la empresa, les va a permitir orientar mejor las inversiones en seguridad
hacia las brechas que mayor impacto puedan generar en caso que un evento se materialice y
llegue a perjudicar al negocio.
Las PYMES deben pensar en el futuro. Es importante determinar cuáles serán las
necesidades de seguridad y tecnologías que estarán disponibles y cuáles podrían aplicarse al
ambiente de su empresa, para así saber cuál solución de seguridad será la más adecuada para
seguir salvaguardando sus activos de información.
64
Recomendamos a las empresas tipo PYMES pensar en la más adecuada capacitación
de sus empleados sobre la seguridad de las tecnologías de la información y del buen uso de
estas tecnologías. Se deben educar y enseñarles a ellos sobre las buenas prácticas que deben
seguir, tales como evitar los virus y la manera de cómo estos atacan a los software de las
computadoras, sobre el phishing (suplantación de identidad), entre otros puntos de suma
importancia a la hora de proteger los activos de información de las empresas.
En lo referente al porcentaje de los activos generales de la empresa que corresponde
a infraestructura tecnológica de sus organizaciones, independientemente del contexto
económico general en el que se encuentren sumergidas las empresas, la inversión constante
en tecnología es un punto clave para el crecimiento de las instituciones de cualquier tamaño.
Sin embargo, para una gran parte de las PYMES la pregunta sería si vale la pena invertir en
nuevas infraestructuras tecnológicas. Las empresas tipo PYMES, aunque en menor medida,
poseen necesidades tecnológicas como las grandes empresas. Hoy en día, no poseer una
infraestructura tecnológica eficiente no sólo perjudica a la productividad del negocio, sino
también a la relación que existe con los clientes. El despliegue tecnológico es un camino más
en el desarrollo e impulso para lograr la competitividad de las empresas PYMES. Por eso, es
ineludible la concienciación sobre la mejora que supone poseer una infraestructura
tecnológica adecuada a las necesidades del negocio. Pero, sobre todo, hay que aprender a
delegar aquellas necesidades diarias que no contribuyen ningún valor estratégico a la empresa
y que alejan a las PYMES de la entrada en el mundo digital.
En lo referente a la evaluación de los costos de los recursos de seguridad de estos
activos, deben tener bien pendiente que la seguridad no es un gasto, si no, una inversión, la
cual va a generar valor a sus empresas y que va a controlar y prevenir varios tipos de riesgos.
Para la seguridad de la información deben contar con un presupuesto razonable para costear
65
los proyectos de seguridad asociados sus negocios, la alta gerencia debe de dedicar los
recursos necesarios para que dicha gestión sea viable para proteger su información.
En tal sentido, con este presupuesto se deberá lograr una estrategia de seguridad que
permita alinearse con los objetivos del negocio y que garantice la protección de la
infraestructura tecnológica de información usada en sus actividades comerciales. Tiene que
ser un presupuesto que ofrezca recursos razonables hacia soluciones que puedan proteger a
la entidad contra amenazas futuras, que permita abordar mayores riesgos cibernéticos.
Teniendo en cuenta que para las pequeñas organizaciones también existen soluciones de
protección acorde al presupuesto que ellos manejan, no pensar que sólo para las grandes
organizaciones se crean herramientas de seguridad de la información. Deben tener claro que
un presupuesto poco eficiente es el gran obstáculo para crear un ambiente más seguro.
Las pequeñas y medianas empresas al momento de elegir e implementar medidas
sobre el manejo de contingencias que serán usadas en sus negocios, deben estar conscientes
que existen acontecimientos que prueban que las instituciones no pueden estar preparadas
para todos y cada uno de los eventos que pueden sucederles y que logren impactar las
actividades de sus negocios. Es lamentable que los planes que garantizan la continuidad del
negocio en las empresas PYMES suelen brillar por su ausencia en la mayoría de los casos.
Acontecimientos como enfermedades del personal que labora en la organización, accidentes,
siniestros, entre otros más, son de las principales amenazas para las empresas PYMES.
También si la gestión de la seguridad se concentra en una sola persona hay más
probabilidades de que esos acontecimientos produzcan más daños al negocio.
66
En tal sentido, tener un plan “B” que tenga soluciones para cada caso es lo más
adecuado para las empresas PYMES. Se debe plantear cuales serían los principales riesgos
que afectan a las empresas y que soluciones se deben aplicar en cada caso, elaborando un
documento formal que contenga todas esas soluciones y asignar legalmente autoridad a una
persona que junto a un equipo de empleados puedan ejecutar esas soluciones. Los ejecutivos
de las PYMES deben tener claro que este plan no es un seguro que va a compensar si sucede
algún evento de los antes mencionado, si no, que serán soluciones que ayudaran a mantener
el negocio funcionando en caso de que se materialice un evento que paralice las actividades
vitales del negocio.
Implementar un correcto plan de continuidad de negocio les dará a las empresas
ventajas competitivas frente a otras instituciones, ya que le ayudará a mejorar la imagen
pública de su organización, también les permitirá emplear una gestión preventiva de los
riesgos que puedan impactar la organización, lograran prevenir o minimizar las pérdidas de
la institución en caso de desastres y podrá permitir una asignación más eficiente de las
inversiones de seguridad, pues todo plan de continuidad de negocio está planteado conforme
a un proceso previo de análisis de riesgos, el que permitirá priorizar los mismos, establecer
los esfuerzos y los presupuestos en las áreas más necesitadas de la organización.
5.3.2 Otras recomendaciones
Estudiar las formas en que los dueños de las empresas PYMES de nuestro país puedan
crear una organización de profesionales de seguridad y auditoria de tecnología de la
información, con fondos de tipo cooperativista entre las pequeñas y medianas empresas, con
el rol de educar, asesorar y monitorear o supervisar las medidas, política, procesos y controles
entorno a la seguridad de la información. La sociedad de seguridad de la Información para
las PYMES en la República Dominicana, si así le llamaría, deberá tener representación en
67
todo el territorio nacional y deberá contar con el apoyo de las universidades y las instituciones
del estado relacionadas con el tema.
Otra recomendación es, estudiar las formas en las que en nuestro país se pueda crear
un sindicato que regule los tipos de negocios en cuanto al uso de las tecnologías de la
información TI. SITECNINF serían sus siglas, el Sindicato de Tecnología de la Información,
es un proyecto con mucha visión de futuro, es un buen proyecto de sindicato. Este proyecto
sería una respuesta a las necesidades que existen de defender los derechos de las PYMES
para implementar una plataforma razonable de tecnología de la información y defender
también los derechos laborales del personal que maneja la infraestructura tecnológica de las
pequeñas y medianas empresas.
68
Referencias
Aceves A. (2 octubre, 2012). Seguridad en TI: Cuatro pasos para que las empresas evitenriesgos. Recuperado de http://blog.smartekh.com/seguridad-en-ti-cuatro-pasos-para-que-las-empresas-eviten-riesgos/
Areitio, J. (2008). Seguridad de la Información. Madrid, España: PARANINFO.
BNamericas.com (2012, 22 de noviembre). Necesidades de seguridad de TI de las PYMES.Recuperado de http://member.bnamericas.com/features/tecnologia/necesidades_de_seguridad_de_TI_de_las_pymes
Córdoba A. (15 Julio 2008). Las pymes también deben tener un Plan de Continuidad deNegocio. Recuperado de http://www.itcio.es/planes-contingencia/analisis/1005025016902/pymes-tambien-deben-tener-plan-continuidad-negocio.1.html
CSTISA (2013). Empresa Consultores en Seguridad Tecnológica e Informática (CSTISA)Recuperado de http://www.cstisa.com/es/component/content/?id=21&Itemid=162
Costas, J. (2011). Seguridad y Alta Disponibilidad. Madrid, España: Ra-Ma
Cruz L. (Octubre 15, 2012). La Detección de Incidentes de Seguridad. Recuperado dehttp://gestionyauditoriati.com/2012/10/15/la-deteccion-de-incidentes-de-seguridad/
Delgado M. (23 Abril 2012). Seguridad informática, reto para PYMES. Recuperado dehttp://elempresario.mx/actualidad/necesaria-cultura-inversion-seguridad-trend-micro
Dell.com (2012). Seguridad de clase empresarial adaptada a las pequeñas y medianasempresas. Recuperado de http://content.dell.com/ar/es/empresas/d/business~smb~sb360~es/documents~hnc-wp-enterprise-class-security.pdf.aspx
Diccionario de Informática Alegsa (2012). Diccionario de informática: Técnica.Recuperado de http://www.alegsa.com.ar/Dic/tecnica.php
Domínguez, O. (26 Noviembre 2014). Evaluación de Seguridad Informática en PYME´S.Recuperado de http://132.248.52.100:8080/xmlui/handle/132.248.52.100/5534?show=full
Duran, F. (2010). Seguridad Informática en la Empresa. Canadá. Recuperado dehttp://seguridadinformati.ca
Fisher, L. & Navarro, A. (1994). Introducción a la investigación de mercado (3ra. Ed.).México: Mc Graw Hill.
69
Gálvez, E. (2014). Tecnologías de información y comunicación, e innovación en lasMIPYMES de Colombia. Recuperado de http://cuadernosdeadministracion.univalle.edu.co/index.php/cuadernosadmin/article/view/2568/2779
Gartner Inc. (28 de noviembre, 2010). El Futuro de la Seguridad de TI. Recuperado dehttp://seguridad-zuccotti.blogspot.com/2010/11/futuro-de-la-seguridad-de-ti-segun.html
Gómez E. (Abril 2010). Encuesta de Symantec sobre Seguridad y Almacenamiento 2009.Recuperado de http://seguridadenamerica.com.mx/2010/04/seguridad-y-almacenamiento-en-las-pymes/
González G. (30 Abril 2007). TI: Tecnologías de Información. Recuperado dehttp://www.tecnologiahechapalabra.com/tecnologia/glosario_tecnico/articulo.asp?i=875
Goujon A. (2012). Sugieren a Pymes atender la seguridad informática. Recuperado dehttp://www.diariolibre.com/economia/2012/10/15/i355618_sugieren-pymes-atender-seguridad-informatica.html
Hamel G. (2012). Ejemplo de un plan de contingencia de negocios. Recuperado dehttp://pyme.lavoztx.com/ejemplo-de-un-plan-de-contingencia-de-negocios-5222.html
ISO/IEC 27001:2005. Sistemas de Gestión de la Seguridad de la Información. Recuperadode http://www.iso27000.es/glosario.html
IT PYMES.es (30 Agosto, 2012). Informe Symantec Intelligenc. Recuperado dehttp://www.itpymes.es/amenazas-vulnerabilidades/informes/1011401034403/informe-symantec-intelligence-seguridad-grandes-empresas-malware-dirige-pymes.1.html
ITIL V3, (2011). ITIL-Gestión de Servicios TI. Recuperado dehttp://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_seguridad/vision_general_gestion_de_la_seguridad/vision_general_gestion_de_la_seguridad.phphttp://www.enterate.unam.mx/Articulos/2006/abril/itil.htm
Javier J. (2012, Octubre 15). http://www.diariolibre.com. Recuperado dehttp://www.diariolibre.com/economia/2012/10/15/i355618_sugieren-pymes-atenderseguridad-informatica.html
Landeau R. (2007). Elaboración de trabajo de investigación. Recuperado dehttp://books.google.com.do/ books?id=M_N1CzTB2D4C&pg=PA85&lpg=PA85&dq=instrumentos+de+para+la+recoleccion+de+informacion+investigacion&source=bl&ots=83XjVOR8nZ&sig=POZQ7M18dN2tObetnbCRRRobdKI&hl=es&sa=X&ei=WBIkUPqxMqbk0QHBuYCgBw&ved=0CEgQ6AEwBA#v=onepage&q=instrumentos%20de%20para%20la%20recoleccion%20de%20informacion%20
70
investigacion&f=false
Mi Negocio DR (7 de Junio, 2006). Pequeñas y medianas empresas (PYMES) de laRepública Dominicana. Recuperado de http://minegociodr.blogspot.com/2006/06/clasificacin-de-las-empresas-en-la.html
Micolau J. (2005). Estrategias Para una Gestión de Seguridad de las TI Efectiva y Eficaz.Recuperado de http://www.borrmart.es/articulo_redseguridad.php?id=948&numero=21
Portantier, F. (2011). Seguridad Informática en las PYMES. Buenos Aires, Argentina.Recuperado de http://www.portantier.com/downloads/seginfo_pyme.pdf
Portantier, F. (2012). La seguridad Informática. Buenos Aires, Argentina. Recuperado dehttp://www.portantier.com/downloads/portantier-libro-cap1.pdf
Purificación, A. (2010). Seguridad Informática. Madrid, España: EDITEX.
Rojas E. (12 Junio, 2012). Las dificultades de las PYMES para mantener su seguridadactualizada. Recuperado de http://www.muycomputerpro.com/2012/06/12/dificultades-pymes-seguridad-actualizada/
Sampieri, R. H. (2006). Metodología de la Investigación. Mexico: McGraw-HillInteramericana.
Sánchez, L. (2009). Metodología para la gestión de la seguridad y su madurez en lasPYMES. Recuperado de https://ruidera.uclm.es/xmlui/handle/10578/2730
Seoane, C. (2010). Seguridad Informática. Madrid, España: Mc Graw Hill.
Soluciona Integral (2014). Clasificación de las PYMES en República Dominicana.Recuperado de http://www.solucionaintegral.do/clasificacion-de-las-pymes-en-republica-dominicana/
Tamayo, M. T. (2004). El Proceso de la Investigación Científica. Mexico: LIMUSA S.A.
Ugarte, J. (2008). Sistema de Gestión de Seguridad Norma ISO 27001 (CORPEI).Recuperado el 17 Diciembre 2012 de http://www.slideshare.net/gugarte/sistema-de-gestion-de-seguridad-it norma-iso-27001-corpei-presentation
Wallace D. (12 Junio 2009). Pymes olvidan seguridad en presupuesto. Recuperado dehttp://www.cnnexpansion.com/emprendedores/2009/06/12/pymes-olvidan-seguridad-en-presupuesto
Wallace D. (14 Junio 2009). PYMES destinan un presupuesto escaso a seguridadinformática. Recuperado de http://www.soyentrepreneur.com/pymes-destinan-un-presupuesto-escaso-a-seguridad-informatica.html
71
ANEXO A
Cuestionario Aplicado a las Pequeñas y Medianas Empresas de la Zona Urbana de San
Francisco de Macorís.
CUESTIONARIO SOBRE GESTION DE SEGURIDAD DE TECNOLOGIADE LA INFORMACION (TI)
¿A qué se dedica la empresa?
¿Cuáles son los recursos tecnológicos con los que cuenta la empresa?
¿Cómo se vinculan los recursos tecnológicos disponibles con las operaciones delnegocio?
¿Quienes administran y soportan los recursos tecnológicos (Personal profesional de TIinterno o externos)?
¿Qué dependencia tiene la empresa de los recursos tecnológicos?
[1- No depende, 2- Poca Dependencia, 3- 40 a 60% Dependencia, 4 – Muy Dependiente y 5-Total Dependencia]
Con relación a los activos generales de la empresa, ¿Qué porcentaje corresponde ainfraestructura tecnológica?
[1- Menos de 10%, 2- 10% a 30%, 3- 31% a 50%, 4- 51% a 70% y 5- Más de un 70%]
¿Tiene la empresa planes de inversión en infraestructura tecnológica?
¿Qué importancia le da la alta gerencia a los recursos de infraestructura tecnológica?
[1- Ninguna, 2- Poca Importancia, 3- Importante, 4- Muy Importante y 5- Total Importancia]
¿Qué importancia le da la alta gerencia a los recursos de humanos de ti?
[1- Ninguna, 2- Poca Importancia, 3- Importante, 4- Muy Importante y 5- Total Importancia]
72
¿Qué tipo de información manejan los recursos tecnológicos de la empresa?
[1- Nada Importante, 2- Poco Importante, 3- Importante, 4- Muy Importante y 5- De AltaImportancia]
¿Qué entiende por seguridad, en sentido general la empresa?
¿Invierte en seguridad general la empresa? [Para un SI, especificar]
¿Qué entiende por seguridad de la información la empresa?
¿Invierte en seguridad de la información la empresa? [Para un SI, especificar]
¿Cómo evalúa la empresa los costos de los recursos de seguridad [gastos o inversión]?
¿Cuál es el criterio de riesgo tecnológico que tiene la empresa?
¿Tiene la empresa ideas del nivel de riesgo tecnológico al que están expuestos?
¿Tienen estimado o identificado el posible impacto ante la ocurrencia de un evento deseguridad de la información?
¿Han tenido eventos de seguridad de la información? [Para un SI, especificar hastadonde sea posible]
¿Qué está haciendo la empresa para evitar o prevenir los eventos de seguridad de lainformación?
¿Cuáles son los retos de seguridad de la información que la empresa ve o tieneidentificado actuales y futuros?
73
INSTRUMENTO DE MEDICIÓN DEL NIVEL DE USO DE LAS TECNOLOGIASDE INFORMACION (TI) EN LAS PYMES DE LA CIUDAD DE
SAN FRANCISCO DE MACORIS, R.D. DURANTE EL AÑO 2014.
LISTA DE COTEJO
Si la actividad es aplicable a su empresa, marque con una X la casilla SI. En casocontrario marque la casilla NO.
No. ACTIVIDAD SI NO
1 La empresa utiliza en sus labores herramientas de tecnología deinformación
2 Es la tecnología de la información un factor básico de todas lasactividades que realiza la empresa.
3 Utilizan el teléfono y fax para sus actividades
4 Utilizan el correo electrónico para comunicarse con sus clientes yproveedores
5 Utilizan Internet para obtener información de sus clientes,proveedores y competidores.
6 Disponen de un sistema de información que automatiza y gestionatodas las labores importantes del negocio.
7 Cuentan con sistemas de información que emitenautomáticamente las facturas en el momento de la venta, a partirde la información almacenada sobre sus productos y clientes.
8 Disponen de bases de datos únicas de los productos y clientes,que permiten compartir la misma información en toda laorganización.
9 Disponen de computadoras con procesadores de texto y hojas decálculo.
10 Utilizan el correo electrónico para comunicarse dentro de laempresa.
11 La información de los empleados se encuentra en un sistemainterno que permite emitir automáticamente las planillas.
12 Comparten información entre empleados a través de una redinterna.
13 Disponen de aplicaciones informáticas de contabilidad.
14 Los movimientos que se producen en otras áreas (ventas,compras, almacén...) son contabilizados automáticamente.
15 Pueden acceder a los sistemas de información (contable, deventas, etc.) desde su red interna.
OBSERVACIONES
ANEXO B