Gestión de la Seguridad de TI
República Dominicana UNIVERSIDAD AUTÓNOMA DE SANTO DOMINGO
UASDRecinto Universitario San Francisco De Macorís
FACULTAD DE CIENCIASUNIDAD DE POSTGRADO Y EDUCACIÓN PERMANENTE
TemaAnálisis de la Gestión de la Seguridad de TI en las Medianas y Pequeñas Empresas, en San
Francisco de Macorís, República Dominicana, año 2014.
Sustentantes
Mariano Rosario FríasRamón Alexander Paula Reynoso
AsesorEddy Brito
Noviembre 2015.
Contenido:CONTEXTO DEL ESTUDIO1
FORMULACION DEL PROBLEMA2
ALCANCE3
IMPORTANCIA DE LA INVESTIGACION4
OBJETIVOS5
MARCO CONCEPTUAL6
METODOLOGIA7
RESULTADOS8
RECOMENDACIONES10
RECOMENDACIONES FUTURAS11
CONCLUSIONES9
Contexto del Estudio
Esta investigación se realizó en el municipio de San Francisco de Macorís, que es la principal ciudad la Región Nordeste o Cibao Oriental de la República Dominicana, también capital de la Provincia Duarte.
Formulación del Problema.
La seguridad de la información se ha convertido en un aspecto crítico
para los negocios, en especial las Pymes, debido a que en la actualidad,
la información de la empresa es considerada como uno de los activos
más valiosos. La organización debe contar con un sistema de gestión
de seguridad de TI que le permita la confidencialidad, integridad y
disponibilidad de la información mediante la salvaguarda de sus
activos de TI a través de la implementación de políticas,
procedimientos, controles y metodologías de análisis de riesgos.
Dada esta realidad analizar la gestión de la seguridad de TI en las
medianas y pequeñas empresas de San Francisco de Macorís, para así
poder comprobar que tan seguros están los activos de información de
estas entidades comerciales, resulta muy importante porque ayudaría a
que esas entidades hagan una revisión a sus políticas de seguridad de la
información y así puedan mejorar los procesos y controles necesarios
para garantizar una mejor integridad, confidencialidad y disponibilidad
de su información.
Preguntas de la Investigación:
1. ¿Cuáles son las necesidades de protección de datos de las PyMES
de San Francisco de Macorís?
2. ¿Cuáles son las técnicas y procedimientos que utilizan las pymes
de San Francisco de Macorís para llevar a cabo la gestión de la
seguridad de TI en sus negocios?
3. ¿Qué tan importante es para las pymes de San Francisco de
Macorís las inversiones en la seguridad de TI de sus negocios?
4. ¿Qué presupuesto dedican las PyMES de San Francisco de
Macorís para los aspectos relacionados con la gestión de seguridad
en TI?
5. ¿Cuáles medidas sobre el manejo de contingencias están siendo
usadas por las PyMES de San Francisco de Macorís en sus
negocios?
Alcance:Esta investigación se centró en el estudio de 11 empresas
Pymes de San Francisco de Macorís, a las cuales se le aplico a
sus ejecutivos del área de cómputos un cuestionario donde
logramos obtener como dichas empresas gestionan la seguridad
de TI de sus instalaciones tecnológicas.
Importancia:La seguridad de la información se ha convertido en un aspecto crítico
para los negocios debido a que en la actualidad, la información de la
empresa es considerada como uno de sus activos más valiosos.
Pérdidas de datos importantes, robo de contraseñas o desvío de
información personal y privada, son sólo algunas de las consecuencias
que pueden darse si una empresa no tiene al día sus sistemas de
seguridad.
Las organizaciones deben contar con un sistema de Gestión de Seguridad de TI que le permita
garantizar la confidencialidad, integridad y disponibilidad de la información mediante la
salvaguarda de sus activos de TI a través de la implementación de políticas, procedimientos,
controles y metodologías de análisis de riesgos. En tal sentido analizar la gestión de la seguridad
de TI en las medianas y pequeñas empresas de San Francisco de Macorís, para poder verificar qué
tan seguros están los activos de información de estas entidades comerciales, resulta muy
importante porque ayudaría a que esas entidades hagan una revisión a sus políticas de seguridad de
la información y así puedan mejorar los procesos y controles necesarios para garantizar mejor la
integridad, confidencialidad y disponibilidad de su información.
Objetivos:1. Determinar las necesidades de protección de datos de las PyMES de San
Francisco de Macorís.
2. Verificar las técnicas y procedimientos que utilizan las pymes de San Francisco de
Macorís para llevar a cabo la gestión de la seguridad de TI en sus negocios.
3. Indagar la importancia que dan las PyMES de San Francisco de Macorís a las
inversiones en la seguridad de TI.
4. Determinar el presupuesto dedican las PyMES de San Francisco de
Macorís para los aspectos relacionados con la gestión de seguridad en TI.
5. Verificar las medidas sobre el manejo de contingencias que están siendo
usadas por las PyMES de San Francisco de Macorís en sus negocios.
Marco Conceptual:Gestión de la seguridad de TI
Asegurar la confidencialidad, la integridad y la disponibilidad de las
informaciones, datos y servicios de TI de una organización. Normalmente,
la Gestión de la Seguridad de TI forma parte del acercamiento de una
organización a la gestión de seguridad, cuyo alcance es más amplio que el
del proveedor de Servicios de TI. (ITIL V3, 2011).
TI: Tecnologías de Información
El conjunto de procesos y productos derivados de las nuevas
herramientas (hardware y software), soportes de la información y
canales de comunicación relacionados con el almacenamiento,
procesamiento y transmisión digitalizados de la información.
(González, 2007)
PyMES: Pequeñas y Medianas Empresas
El portal de internet Definicion.de, define las PyMES como el
acrónimo de pequeña y mediana empresa. Se trata de la empresa
mercantil, industrial o de otro tipo que tiene un número reducido
de trabajadores y que registra ingresos moderados.
En República Dominicana las pequeñas empresas que poseen de
10-50 empleados y sus ventas anuales desde 1,000,000 de pesos
hasta los 7,000,000 de pesos.
Políticas de Seguridad de la información
Según Portantier (2011), es el documento que muestra el interés de la
gerencia por la seguridad de la información de su empresa. Debe estar
redactado en conjunto con la gerencia o, por lo menos, avalado por la
misma, y explicar cómo la seguridad informática se alinea con los
objetivos de la organización. No tiene que ser un documento extenso,
pero sí debe explicar, a grandes rasgos, qué es lo que la empresa espera
de la seguridad de su información y cuáles son los datos más importantes
a proteger. Por ejemplo: datos de clientes, proveedores, empleados, etc.
Análisis de Riesgo
Según Aguilera (2010), es analizar los riesgos de un sistema de
información requiere un proceso secuencial de análisis de activos,
sus vulnerabilidades, amenazas que existen, medidas de seguridad
existentes, impacto que causaría un determinado ataque sobre
cualquiera de los activos, objetivos de seguridad de la empresa y
selección de medidas de protección que cubran los objetivos.
El Plan de Gestión de Riesgos, según ISO/IEC 27001:2005.
Es un documento que define claramente cómo se va a actuar en el
control de los riesgos. Para ello deberemos identificar los recursos
necesarios para implantar los controles seleccionados y determinar
cómo se va a medir su eficacia. Este plan establece claramente los
recursos, las responsabilidades y las prioridades establecidas derivadas
de la evaluación de riesgos (ISO/IEC 27001:2005).
Auditoria de Seguridad de Sistemas de Información
Según Costas (2011), una auditoria de seguridad informática o
auditoria de seguridad de sistemas de información (SI) es el estudio
que comprende el análisis y gestión de sistema para identificar y
posteriormente corregir las diversas vulnerabilidades que pudieran
presentarse en una revisión exhaustiva de las estaciones de trabajo,
redes de comunicaciones o servidores.
MetodologíaDebido a que los datos que se recolectaron durante la investigación y se buscaron
de manera que puedan ser medibles, los resultados fueron expuestos en forma
numérica ya que así se pudo llevar a cabo el análisis estadístico, el enfoque
utilizado en nuestra investigación fue el cuantitativo, según Sampieri, (2006) el
enfoque cuantitativo parte de una visión objetiva del fenómeno a estudiar, en
dónde no se toma en cuenta la manera de pensar del investigador, para éste se
toman en cuanta estudios estadísticos hechos con anterioridad.
POBLACION Y MUESTRA
La población de este estudio la constituyen 703 empresas Pymes registradas en San
Francisco de Macorís, de acuerdo a datos suministrados por la administración local de la
Dirección General de Impuestos Internos (DGII) en la Provincia Duarte. Del total de
empresas Pymes de San Francisco de Macorís que cumplían con los requisitos para la
investigación se tomó como muestra unas 11 empresas, a las cuales se le aplicó el
instrumento de investigación, estas fueron las siguientes: 2 Supermercados, 1 Ferreterías, 2
Centros de Salud Privados, 2 entidades de Ahorros y Préstamos, 1 empresa Servicio de
Televisión por Cable, 1 empresa dedicada al desarrollo de Soluciones Informáticas, 1
empresa de Distribución de artículos al por mayor, 1 empresa destinada a la
comercialización y distribución de empaques flexibles.
TECNICAS E INSTRUMENTOS
La técnica utilizada en esta investigación fue el cuestionario tipo entrevista. El
cuestionario está compuesto de veintiuna (21) preguntas abiertas y de
selección múltiples que pretende determinar cómo las Pymes de San
Francisco de Macorís gestionan la seguridad de la tecnología de la
información (TI) en sus negocios. Estas preguntas están relacionadas con los
objetivos de esta investigación.
LIMITACIONES
Pocas facilidades para recolectar informaciones de algunas de
las empresas utilizadas al principio de la investigación.
DESCRIPCIÓN Y ANÁLISIS DE LOS RESULTADOS
En esta parte se presentaran los resultados obtenidos en la aplicación del cuestionario, para
evaluar la Gestión de la Seguridad de TI en las Medianas y Pequeñas Empresas, en San
Francisco de Macorís, periodo 2014. Estos resultados se presentan a través de tablas y graficas,
mediante el cual se puede observar el porcentaje y las respuestas gráficamente.
Se les preguntó a las Pymes a que se dedica la empresa, y estos fueron los resultados obtenidos:
Opciones Frecuencia Porcentaje
Supermercados 2 18%
Ferreterías 1 9%
Centros de Salud Privado 2 18%
Financieras, Ahorros y Prestamos 2 18%
Servicio TV por Cable 1 9%
Soluciones Informáticas 1 9%
Distribuidoras de Artículos 1 9%
Productos Desechables 1 9%
Total 11 100%
En la tabla anterior, el 18% de las empresas entrevistadas pertenece a supermercados,
el 9% pertenece a ferreterías, el 18% a empresas de centro de salud privados, el 18% a
empresas financieras y de ahorros y préstamos, el 9% a empresa de servicio de TV por
cable, el 9% a empresa de desarrollo de soluciones informáticas, el 9% a empresa
distribuidora de artículos masivos y el 9% a empresas de productos desechables.
Se les preguntó a las personas encargadas del área de tecnología de las Pymes como se vinculan los Recursos Tecnológicos Disponibles con las Operaciones del Negocio.
Opciones Frecuencia Porcentaje
Ninguna 0 0%
Poca Vinculación 0 0%
Total Vinculación 11 100%
Total 11 100%
En la tabla anterior, el 100% de las empresas entrevistadas consideran que existe una total
vinculación de los recursos tecnológicos con las operaciones del negocio.
Se cuestiono sobre quienes Administran y Soportan los Recursos Tecnológicos (Personal Profesional de TI Interno o Externos).
Opciones Frecuencia Porcentaje
Personal Interno 4 36%
Personal Externo 1 9%
Personal Mixto 6 55%
Ninguno 0 0%
Total 11 100%
En la tabla no. 3, el 36% de las empresas entrevistadas expresan que quienes administran y
soportan los recursos tecnológicos que ellos poseen es un personal interno, el 9% usan personal
externo y el 55% usan personal mixto.
Gráfico de quienes Administran y Soportan los Recursos Tecnológicos (Personal Profesional de TI Interno o Externos).
Se interrogo a los encargados del área de tecnología sobre la Dependencia que tiene la Empresa
de los Recursos Tecnológicos.
Opciones Frecuencia Porcentaje
No depende 0 0%
Poca Dependencia 0 0%
40 a 60% Dependencia 2 18%
Muy Dependiente 4 36%
Total Dependencia 5 45%
Total 11 100%
En la tabla anterior, el 18% de las empresas entrevistadas consideran que tienen una dependencia de 40% a
60% de los recursos tecnológicos, el 36% la consideran muy dependiente y el 45% la consideran en total
dependencia.
Se les cuestiono a las Pymes con Relación a los Activos Generales de la Empresa, Qué porcentaje corresponde a Infraestructura Tecnológica.
Opciones Frecuencia Porcentaje
Menos de 10% 1 9%
10% a 30% 2 18%
31% a 50% 3 27%
51% a 70% 4 36%
Más de un 70% 1 9%
Total 11 100%
En la tabla anterior, el 9% de las empresas entrevistadas consideran que con relación a sus activos generales
menos de un 10% corresponde a infraestructura tecnológica, el 18% consideran que están entre un 10% a 30%,
el 27% consideran que están entre un 31% a 50%, el 36% consideran que están entre un 51% a 70% y el 9%
consideran que es mas de un 70%.
Indagamos sobre si tiene o no la Empresa Planes de Inversión en Infraestructura Tecnológica,
los resultados fueron los siguientes:
Opciones Frecuencia Porcentaje
Si 10 91%
No 1 9%
Total 11 100%
La tabla refleja que el 91% de las empresas entrevistadas consideran que si tienen planes de
inversión de infraestructura tecnológica y el 9% no consideran hacer inversión en infraestructura
tecnológica.
A las empresas entrevistadas cuestionamos sobre Qué Importancia le da la Alta Gerencia a los Recursos de Infraestructura Tecnológica, los resultados fueron los siguientes:
Opciones Frecuencia Porcentaje
Ninguna 0 0%
Poca Importancia 0 0%
Importante 1 9%
Muy Importante 4 36%
Total Importancia 6 55%
Total 11 100%
En la tabla podemos notar que el 9% de la alta gerencia de las empresas entrevistadas consideran que
es importante los recursos de infraestructura tecnológica, el 36% consideran que es muy importante y el
55% consideran que tienen una total importancia.
En las empresas Pymes entrevistadas indagamos sobre Qué Importancia le da la Alta Gerencia a los Recursos de Humanos de TI, y los resultados fueron los siguientes:
Opciones Frecuencia Porcentaje
Ninguna 0 0%
Poca Importancia 0 0%
Importante 3 27%
Muy Importante 4 36%
Total Importancia 4 36%
Total 11 100%
En la tabla se logra ver que el 27% de la alta gerencia de las empresas entrevistadas consideran que son
importantes los recursos humanos de TI, el 36% consideran que son muy importante y el 36% consideran que tienen
una total importancia.
Resultados obtenidos al aplicar la cuestionar a los ejecutivos de las Pymes sobre qué tipo de Información manejan los Recursos Tecnológicos de la Empresa.
Opciones Frecuencia Porcentaje
Nada Importante 0 0%
Poco Importante 0 0%
Importante 0 0%
Muy Importante 2 18%
De Alta Importancia 9 82%
Total 11 100%
En la tabla anterior, el 18% de las empresas entrevistadas aseguran que el tipo de información que manejan sus
recursos tecnológicos es muy importante y el 82% la consideran de alta importancia.
Preguntamos a los directivos de las Pymes de si Invierte o no en Seguridad General la Empresa, y los resultados fueron los siguientes:
Opciones Frecuencia Porcentaje
Si 11 100%
No 0 0%
Total 11 100%
En la tabla se observa que el 100% de las empresas entrevistadas expresaron que si invierten en seguridad en sentido general.
A continuación mostramos los resultados de la pregunta aplicada a los directivos de las Pymes de si Invierte o no en Seguridad de la Información la Empresa, estos fueron los siguientes:
Opciones Frecuencia Porcentaje
Si 9 82%
No 2 18%
Total 11 100%
La tabla muestra que el 82% de las empresas entrevistadas expresaron que si invierten en seguridad de la
información y el 18% no invierten.
En la entrevista a los ejecutivos de las Pymes preguntamos de cómo Evalúa la Empresa los costos de los Recursos de Seguridad [Gastos o Inversión], y obtuvimos los siguientes resultados:
Opciones Frecuencia Porcentaje
Gastos 0 0%
Inversión 10 91%
No Contestaron 1 9%
Total 11 100%
La tabla muestra que el 91% de las empresas entrevistadas expresaron que evalúan los costos de la seguridad como
inversión y el 9% no contestaron la pregunta.
Al indagar sobre si Tiene o no la Empresa Ideas del Nivel de Riesgo Tecnológico al que están expuestos, obtuvimos los siguientes resultados:
Opciones Frecuencia Porcentaje
Si 10 91%
No 1 9%
Total 11 100%
En la tabla se muestra que el 91% de las empresas entrevistadas afirmaron que si tienen ideas del nivel de
riesgo tecnológico al que están expuestas y el 9% no tiene ideas del nivel de riesgo tecnológico al que están
expuestas.
Al cuestionar a los ejecutivos de las Pymes sobre si Tienen o no Estimado o Identificado el posible Impacto ante la Ocurrencia de un Evento de Seguridad de la Información, obtuvimos los siguientes resultados:
Opciones Frecuencia Porcentaje
Si 6 55%
No 5 45%
Total 11 100%
En la tabla podemos observar que el 55% de las empresas entrevistadas si tienen estimado o identificado el posible
impacto ante la ocurrencia de un evento de la seguridad de la información y el 45% no tiene nada estimado ni
identificado.
En la investigación cuestionamos a los directivos de las Pymes sobre si Han Tenido o no Eventos de Seguridad de la Información, y los resultados fueron los siguientes:
Opciones Frecuencia Porcentaje
Si 6 55%
No 4 36%
No Contestaron 1 9%
Total 11 100%
La tabla refleja que el 55% de las empresas entrevistadas si han tenido eventos de seguridad de la información, el
36% no ha tenido ningún evento y el 9% no contestaron la pregunta.
CONCLUSIONES Y
RECOMENDACIONES
Top Related