1

• Introducción
• Marco teórico
• Descripción de la metodología
• Plan de seguridad informática
Agenda • Resultados
• Conclusiones
• Recomendaciones

Plan de Seguridad Informática

2
Introducción

El crecimiento tecnológico implica gran

debilidad de los sistemas informáticos, al volverse
más complejos, apareciendo más elementos
vulnerables referente a la seguridad de la
información; lo que conlleva a la necesidad de
una adecuada implementación de un plan de
seguridad informática que permita a la institución
proteger en forma correcta y oportuna su
información.

En esta perspectiva, la Escuela de

Postgrado de la Universidad Nacional Federico
Villarreal, ha ido creciendo a través del tiempo
disponiendo de recursos informáticos, una red
local, acceso a internet, por lo tanto, su
información no deja de ser ajena a las amenazas
informáticas tanto externas como internas; he ahí
la importancia y trascendencia del estudio que
motiva la presente tesis.

3
Objetivos

El objetivo general de la investigación es probar la eficiencia de un plan de

seguridad informática propuesto para la EUPG-UNFV, la misma se logrará con
los siguientes objetivos específicos:

• Hacer el diagnóstico del sistema de seguridad informática actual.

• Elaborar un plan de seguridad informática sobre la base del
diagnóstico de la situación actual.
• Probar la eficiencia del plan de seguridad informática propuesto.

Plan de Seguridad Informática

4
Marco teórico

Joyanes L. (1997), “el

impacto social de las
tecnologías de la
información y de la
sociedad informatizada,
es vulnerable”.

Marcelo J.
(1999), considera
que la “seguridad
informática es un
proceso
continuo, no un
producto”. Ribagorda M. (1994), “la
informática es una
herramienta que implica
riesgos cada vez más
crecientes, a veces mal
conocidos y poco
Es conjunto de sistemas, procedimientos, combatidos”.
métodos y herramientas destinados a proteger
la información.

5
Propiedades de la seguridad informática

Lardent A. (2001), manifiesta que el objetivo de la seguridad informática “es

mantener la confidencialidad, integridad y la disponibilidad de la información”.

Confidencialidad
Integridad Disponibilidad

Se refiere que a los

Los componentes del Los usuarios deben tener
componentes del sistema,
sistema sólo pueden ser disponibles todos los
serán accedidos sólo por
creados y modificados por componentes del sistema
aquellos usuarios
los usuarios autorizados. cuando así lo deseen.
autorizados.

Plan de Seguridad Informática

6
Las amenazas informáticas

Externas

Internas

Modificación Interrupción
Interceptación
Trata de cambiar en todo o en Se considera como temporal o
Ocurre cuando una persona no
parte el funcionamiento del permanente, lo cual puede
autorizada accede a una parte
sistema, con la finalidad de ocasionar un daño, pérdida o
del sistema haciendo uso de
obtener beneficios personales. deja de funcionar un punto del
privilegios no adquiridos.
sistema.
Modificación de base de datos.
Copias ilícitas de programas.
Modificación de elementos del Destrucción del hardware.
Escucha en línea de datos.
hardware. Borrado de programas, datos.
Fallas en el sistema operativo.

Generación
Se refiere a la creación de
nuevos objetos dentro del
sistema.

Añadir transacciones en red.

Añadir registros en base de
datos.

7
Debilidades de los sistemas informáticos (DSI)

Hardware

Usuarios Software

DSI

Memoria Datos

Plan de Seguridad Informática

8
Estándar de seguridad informática

Política de
seguridad
Organización
de la
Conformidad
Seguridad de
la Información

Gestión de la
continuidad de
Gestión de
las
Activos
operaciones
de la empresa

ISO 27001 /
ISO 17799:
2005 Seguridad de
Gestión de
los recursos
Incidencias
humanos

Adquisición,
desarrollo y Seguridad
mantenimiento física y
de los medioambient
sistemas de al
Información

Gestión de las
Control de telecomunicaci
accesos a los ones y
datos operaciones
9
 Descripción de la metodología del desarrollo

PROBLEMA OBJETIVOS HIPÓTESIS VARIABLES TIPO DE DISEÑO RESULTADOS

ESTUDIO
No existe Objetivo principal Se logrará mejorar Variable Descriptiva Transversal Se realizó el
sistema de la seguridad independiente comparativa diagnóstico de la
seguridad informática en la Recolectaremos seguridad informática
informática en la Probar la eficiencia de un EUPG-UNFV, actual en la EUPG-
Plan de Porque los los datos en un
EUPG-UNFV. plan de seguridad mediante la UNFV
seguridad resultados de momento dado
informática propuesto en formulación informática una primera por única vez.
la EUPG-UNFV. adecuada de un propuesto. fase, serán Se elaboró un plan
plan de seguridad comparados No Experimental seguridad informática
Objetivos específicos informática. con los para EUPG-UNFV
Variable
dependiente resultados de Porque implica la
Hacer el diagnóstico del una segunda Se probó la eficiencia
observación de
sistema de seguridad fase del plan de seguridad
Seguridad las situaciones en
informática actual de la informática elaborado
informática su condición
EUPG-UNFV
natural sin
intervención de
Elaborar un plan de los
seguridad informática investigadores.
sobre la base del
diagnóstico de la
situación actual.

Probar la eficiencia del

plan propuesto.

El que nunca nada

hace
nunca se equivoca.
Anónimo
Plan de Seguridad Informática

10
Desarrollo del plan de seguridad informática en la EUPG-UNFV

Análisis del sistema Formulación del Prueba de la

de seguridad plan de seguridad eficiencia del plan
informática actual informática propuesto
• Generación de las encuestas • En base a los resultados del análisis • Generación de una
• Análisis de fuentes de datos y • ISO 27001/17799:2005 encuesta acerca la
recopilación de información. • NTP:17799:2007 Código de buenas eficiencia del plan
• Recolección de documentos prácticas para la gestión de la propuesto
referente a la seguridad informática. seguridad informática
• Reconocimiento del ambiente de • El plan consiste en 7 factores
trabajo
• Identificación de los factores de
riesgo

Plan de Seguridad Informática

11
 Plan de seguridad informática propuesto

Plan de seguridad informática

propuesto en la EUPG-UNFV

Consiste en

Seguridad Seguridad en las Seguridad en las Seguridad Administración del centro Auditorías y Plan de
lógica comunicaciones aplicaciones física de procesamiento de datos revisiones contingencia

Agrupa los Agrupa los Agrupa los Agrupa los Agrupa los Agrupa los Agrupa los
siguientes siguientes siguientes siguientes siguientes siguientes siguientes
aspectos aspectos aspectos aspectos aspectos aspectos aspectos

Identificación Topología de la Software Equipamiento Administración Revisión del sistema Plan de administración
de usuarios red del área de de incidentes
informática
Conexiones Seguridad de la base Control de acceso Responsabilidades de
Autenticación
externas de datos físico al área de los encargados de Backup de
informática Capacitación seguridad equipamiento
Configuración
Gestión del
lógica de la red Control de Control de acceso a Auditoría de control
password
aplicaciones en las equipos Backup de acceso a los Estrategias de
computadoras sistemas recuperación de
Correo
Segregación desastres
electrónico Documentación
de funciones Control de datos en Dispositivos de Auditoría de redes
las aplicaciones soporte
Antivirus

Ciclo de vida de las Estructura del

Firewall aplicaciones edificio

Ataques de la red Cableado

estructurado
12
Resultados de la investigación

En primer lugar se presentan, los resultados del diagnóstico del

sistema de seguridad informática que existía antes de formular
el plan de seguridad.

En segundo lugar se presentan los resultados estadísticos que

prueban la eficiencia del plan propuesto, finalmente se presenta
la contrastación de la hipótesis planteada

Plan de Seguridad Informática

13
Diagnóstico de la seguridad informática antes de la
formulación del plan

El etapa diagnóstico implica una exploración sobre cuánto conocen los

empleados en la EUPG-UNFV, acerca de los temas relacionados con los
sistemas de información que se emplean con mayor frecuencia, y al riesgo que
puedan estar expuestos cuando no están protegidas apropiadamente.

Plan de Seguridad Informática

14
Promedio global de los resultados por factores, de la seguridad
informática actual

Producto de la evaluación de la seguridad informática actual, se desarrolló la media aritmética

de los resultados obtenidos por factores, de tal modo, los resultados globales muestran una
tendencia similar a las evaluadas por factores.

Respuestas
Resultados

Muy Mala Mala Regular Buena Excelente

6,0 45,0 34,0 10,0 5,0

En el cuadro, apreciamos que sólo el 15 % de los usuarios considera que la seguridad

informática en la EUPG–UNFV es buena y excelente, la tercera parte de ellos cree que la
seguridad actual es regular y, más de la mitad cree que es mala y muy mala.

15
Análisis de la eficiencia del plan de seguridad informática
propuesto

Una vez elaborado el plan de seguridad

informática con las previsiones teóricas y previo
análisis exhaustivo es preciso probar el
funcionamiento de este plan; para ello
recurrimos a una prueba de eficiencia del plan
propuesto, desde el punto de vista de las
opiniones de los expertos en informática quienes
están involucrados directa e indirectamente de
manera permanente con los sistemas de
información.

16
Promedio global de los resultados por factores, del plan
propuesto
Con la metodología similar a la de anterior, se desarrolló la media aritmética de los resultados
obtenidos por factores, lo que, implica conocer la eficiencia del plan, en opinión de los
usuarios expertos en informática.

Excelente Buena Regular Mala Muy Mala

Resultados

31,06 55,33 12,20 1,00 1.00

Los resultados obtenidos por cada factor del plan de seguridad informática propuesto, son
contundentes y se relacionan con los resultados globales. El 86.40 % considera que el plan, de
aplicarse, estaría considerado entre bueno y excelente, el 12,20 % de los usuarios considera que
el plan sería regular si se aplicase, y sólo 2.00 % considera que el plan sería desfavorable.

17
Prueba de la eficiencia del plan de seguridad informática
propuesto

Se compara los resultados obtenidos sobre la percepción de los usuarios respecto a la

protección o plan de seguridad informática en la EUPG–UNFV. (Antes de la implementación
del plan) al que hemos denominado diagnóstico, con los resultados de la percepción después
de la formulación del plan, a esto último lo denominamos eficiencia probada del plan
propuesto.

Para demostrar la eficiencia del plan propuesto es necesario contrastar la hipótesis

planteada, a continuación presentamos la demostración de la misma.

Plan de Seguridad Informática

18
Prueba de la eficiencia del plan de seguridad informática
propuesto – Contrastación de la hipótesis
En el siguiente cuadro presentamos las respuestas en porcentajes de los usuarios antes de la
formulación del plan versos. Las respuestas después de la prueba de la eficiencia del plan
propuesto.

Respuestas Total

Momento evaluación Muy mala Mala Regular Bueno Excelente

Antes Recuento
6 45 34 10 5 100
Frecuencia esperada
3,5 23 23 32,5 18 100
Residuo
2,5 22 11 -22,5 -13
Residuos tipificados
1,3 4,6 2,3 -3,9 -3,1
Después Recuento
1 1 12 55 31 100
Frecuencia esperada
3,5 23 23 32,5 18 100
Residuo
-2,5 -22 -11 22,5 13
Residuos tipificados
-1,3 -4,6 -2,3 3,9 3,1
Total Recuento
7 46 46 65 36 200
Frecuencia Esperado 7 46 46 65 36 200

Con los resultados de los residuos tipificados, tenemos: Las respuestas respecto a la protección con que
cuenta la información de la EUPG–UNFV en la fase de diagnóstico, se encuentran entre regular, mala y
muy mala (2.3, 4.6 y 1.3) respectivamente; en cambio; las respuestas sobre la formulación del plan de
seguridad informática propuesto se encuentra entre bueno y excelente (3.9 y 3.1) respectivamente. De
manera visual estos resultados apreciamos también en el siguiente gráfico,

19
Eficiencia del plan de seguridad informática
propuesto

60
55%

50
45%

40

34%
Muy mala
31%
Recuento

Mala
30
Regular

Bueno

20 Excelente

12%
10%
10
6% 5%

1% 1%
-
Antes Despues
Momento de Evaluación

20
Conclusiones

Luego de recopilar, analizar, contrastar la información, en este estudio se llegó a las

siguientes conclusiones:

Sin la aplicación del plan de seguridad informática, se

demostró que el estado actual de la seguridad
informática en la EUPG–UNFV, es deficiente para las
necesidades del complejo de información que maneja.

Luego de recopilar,
analizar, contrastar la
información, Luego
en este
de someter el plan propuesto al juicio de los
estudio se llegó a las
expertos en informática de la EUPG-UNFV, se aprecia
siguientes conclusiones
una mejora sustancial en la seguridad informática

La mejora en la percepción de la seguridad informática,

demuestra la eficiencia del plan propuesto en la EUPG-
UNFV

21
Recomendaciones

Muchas de las amenazas informáticas, están relacionadas por factores

externas e internas, por otro lado derivan por el mal uso de las
tecnologías de la información, por lo que se sugiere realizar campañas
de capacitación a todo el personal, las mismas que tendrían que estar
orientadas bajo los conceptos básicos de seguridad y a grupos
específicos con temas correspondientes a sus responsabilidades.

Sería interesante realizar un análisis del costo y tiempo como

consecuencias de la falta de prevención de los sistemas de
información, esto puede concientizar a la institución a analizar la
probabilidad de que ocurran ciertos sucesos, para lo cual, la alta
gerencia debe determinar las consecuencias que traería el costo y
productividad por la pérdida de información, clientes, confianza de los
usuarios y costos asociados con las soluciones de seguridad
informática.

Finalmente se recomienda considerar las sugerencias en el plan

propuesto, para minimizar las amenazas tanto externas como internas,
a fin de proteger la información de valía para la EUPG–UNFV.

22
 “El único sistema seguro es
aquél que está apagado en el
interior de un bloque de
hormigón protegido en una
habitación sellada rodeada por
guardias armados”
Gene Spafford

Gracias
23