CAPITULO I V 4. PRESENTACION, ANALISIS E INTERPRETACION DE LOS DATOS. Objetivo: Determinar de que manera las empresas están utilizando procedimientos

Transcripción

1 CAPITULO I V 4. PRESENTACION, ANALISIS E INTERPRETACION DE LOS DATOS X1: EVALUCION DE NIVEL RIESGOS X1-1: SEGURIDAD LOGICA Objetivo: Determinar de que manera las empresas están utilizando procedimientos que resguardan apropiadamente sus datos dentro de la red. Preguntas: 7. Tiene acceso a Internet? 8. Que proveedor de acceso tiene? 11. Tiene dirección de correo electrónico? 12. Poseen un DNS propio? 13. Están alojadas en un servidor propio o en un proveedor de servicios? 10. La empresa cuenta con software de seguridad? (si su respuestas es si especifíque que tipos de software utiliza) (firewalls, antivirus, etc.) 20. La empresa ha sufrido algún ataque por parte de hackers, virus, fraudes o robos? Análisis: Los resultados demuestran que las empresas poseen servicio de Internet, como instrumento de comunicación y canal de gestión de datos internos; aprovechando este medio para la realización de negocios y la posibilidad de mejorar relaciones comerciales; inclinándose al servicio que ofrece el proveedor más confiable para ellos en consideración a otras empresas que ofrecen este mismo

2 servicio en el país, por lo tanto estas empresas poseen un uso de correos electrónicos internos para sus transacciones. Las empresas manifiestan que carecen de DNS propios, pero existen otras que si emplean este servicio; confiando a terceros la manipulación de sus activos informáticos (proveedores de servicios) y no apuestan a la inversión del uso de servidores dedicados para almacenar su DNS propio. Las empresas cuentan solamente con elementos de software de seguridad que limitan la confiabilidad de los activos informáticos, aumentando el nivel de riesgos en el uso de la red

3 RESULTADOS DE LA INVESTIGACION SEGURIDAD LOGICA 7. Tiene acceso a Internet? Si % No % 8. Que proveedor de acceso tiene?: Integra % Telecom % Intercom % Telemóvil % No contestaron % 10. La empresa cuenta con software de seguridad? (si su respuestas es si especifique que tipos de software utiliza) (firewalls, antivirus, etc.) Si % No % 11. Tiene dirección de correo electrónico? Si % No % 12. Poseen un DNS propio? Si % No %

4 13 Están alojadas en un servidor propio o en un proveedor de servicios?: Servidor Propio % Proveedor de servicios % No sabe % No contestaron % 20. La empresa á sufrido algún ataque por parte de hackers, virus, fraudes o robos? Si % No % No contestaron %

5 X1-2: SEGURIDAD FISICA Objetivo: Determinar el conocimiento sobre las características físicas de la red de la empresa. Preguntas: 2. Qué tipo de servidor tienen en la empresa? 3. Con qué tipo de cableado cuenta la red? 4. Qué tipo de normativa de cableado poseen? 9. Cuentan con un Router? 24. Se cuenta con copias de los archivos en lugar distinto de la computadora? 25. Explique la forma en que están protegidas físicamente estas copias (Bóveda, cajas de seguridad, etc.) que garantice su integridad en caso de incendios, inundaciones, terremoto, etc. Análisis: Las empresas cuentan con equipos poco idóneos para la realización de las actividades dejando sus activos expuestos a riesgos inminentes; utilizando normativas y estándares adecuados pero el tipo cableado empleado es de bajo presupuesto el cual no proporciona una confiabilidad adecuada a las necesidades de la empresa. Las empresas no poseen un Router para el manejo en la comunicación de paquetes de información en la red. Las empresas si poseen copias de la información que manejan, almacenándolas en lugares distintos de la computadora; pero no en los lugares

6 idóneos; dejando a un lado la importancia necesaria que deberían poseer sus activos. RESULTADOS DE LA INVESTIGACION SEGURIDAD FISICA 2. Qué tipo de servidor tienen en la empresa? Hewlett Packard % Compaq % IBM % Apple 0 0 % Sony 0 0 % Otros % No contestaron % 3. Con qué tipo de cableado cuenta la red? Par trenzado % Coaxial % Fibra óptica % Inalámbrica % otros % No contestaron % 4. Qué tipo de normativa de cableado poseen? Cat. 568 A % Cat. 568 B % Cat %

7 No sabe % No contestaron % Total % 9. Cuentan con un Router? Si % No % No contestaron % 24. Se cuenta con copias de los archivos en lugar distinto de la computadora? Si % No % 25. Explique la forma en que están protegidas físicamente estas copias (Bóveda, cajas de seguridad, etc.) que garantice su integridad en caso de incendios, inundaciones, terremoto, etc. Bóveda % Caja de Seguridad % Fuera de la empresa % Discos Duros, CD s ó 9 10 % DVD No contestaron %

8 X1-3: CONFIDENCIALIDAD Objetivo: Identificar como las empresas manejan la seguridad de los archivos de vital importancia para ellos. Preguntas: 15. Existe una persona responsable de la seguridad? Análisis: Las empresas poseen una persona responsable de velar por la seguridad que se le brinda a la información confidencial que se maneja en la empresa; pero el cumplimento a las políticas administrativas no se les da la importancia necesaria para alcanzar una mayor seguridad de sus activos informáticos. RESULTADOS DE LA INVESTIGACION CONFIDENCIALIDAD 15. Existe una persona responsable de la seguridad? Si % No % No contestaron %

9 X2: MONITOREO DE ACTIVIDADES DE USUARIOS Y SISTEMAS. X2-1: PLANIFICACION DE PROCESOS Objetivo: Identificar la importancia que las empresas le dan a la planificación de los procesos de seguridad. Preguntas: 21. Se registra cada violación a los procedimientos con el fin de llevar estadísticas y frenar las tendencias mayores? Análisis: Por los resultados se demuestra que en las empresas el proceso de planificación es poco utilizado en cuanto al desarrollo del monitoreo de actividades. RESULTADOS DE LA INVESTIGACION PLANEACION DE PROCESOS 21. Se registra cada violación a los procedimientos con el fin de llevar estadísticas y frenar las tendencias mayores? Si % No % No contestaron %

10 X2-2: GESTION Y MONITORIZACION DE ACTIVIDADES DE LOS USUARIOS EN LA RED. Objetivo: Determinar la importancia y clasificación para lograr una monitorización de las actividades de los usuarios en la red. Preguntas: 17. Se registran las acciones de los operadores para evitar que realicen alguna actividad que pueda dañar el sistema? 22. Se registra el acceso al cuarto de personas ajenas a la dirección de informática? 23. Se verifica identificación al entrar a la red? Análisis: Las empresas manifiestan que descartan el cumplimiento de las políticas de seguridad administrativas ya establecidas dentro de la empresa, dando como resultado una irregularidad en la seguridad de sus activos informáticos

11 RESULTADOS DE LA INVESTIGACION GESTION Y MONITORIZACION DE ACTIVIDADES DE LOS USUARIOS EN LA RED 17. Se registran las acciones de los operadores para evitar que realicen alguna actividad que pueda dañar el sistema? Si % No % No contestaron % 22. Se registra el acceso al cuarto de personas ajenas a la dirección de informática? Si % No % No contestaron % 23. Se verifica identificación al entrar a la red? Terminal % Usuario % No tiene identificación % No contestaron %

12 X2-3: MANIPULACION DE DISPOSITIVOS Objetivo: Determinar si existen restricciones para la manipulación de los dispositivos. Preguntas: 1. Existe en la empresa un servidor por medio del cual se monitoreé la red? 18. Se permite el acceso a los archivos y programas a los programadores, analistas y operadores? Análisis: Los resultados muestran que las empresas poseen un servidor para el monitoreo de la red; pero frecuentemente es el inadecuado. Las empresas demuestran que el acceso a los archivos esta limitado de acuerdo a los privilegios otorgados por el administrador de la red

13 RESULTADOS DE LA INVESTIGACION MANIPULACION DE DISPOSITIVOS 1. Existe en la empresa un servidor por medio del cual se monitoreé la red? Si % No % 18. Se permite el acceso a los archivos y programas a los programadores, analistas y operadores? Si % No % No contestaron %

14 X3: PLAN DE CONTINGENCIA X3-1: CORRECTA INTERPRETACION DE ESTADOS Y DESEMPEÑO DE LOS DISPOSITIVOS EN LA RED Objetivo: Determinar la importancia de las herramientas administrativas en la gestión de las redes informáticas. Preguntas: 14. Conoce el término de auditoría informática? 27. Se han realizado auditorías informáticas en la empresa? 28. Con que frecuencia? Análisis: Las empresas manifiestan desconocer la herramienta administrativa de auditoría informática por lo que carecen de herramientas de control para la medición de interpretación del estado y desempeño de los dispositivos en la red

15 RESULTADOS DE LA INVESTIGACION CORRECTA INTERPRETACION DE ESTADO Y DESEMPEÑO DE LOS DISPOSITIVOS EN LA RED 14. Conoce el término de auditoría informática? Si % No % No contestaron % 27. Se han realizado auditorias informáticas en la empresa? Si % No % No contestaron % 28. Con que frecuencia? Seis meses % 1 año % Otra % No contestaron %

16 X3-2: SOLUCIONES INFORMATICAS. Objetivo: Determinar la importancia que las empresas dan a las soluciones informáticas y a los dispositivos de la red. Preguntas: 5. Cuentan con algún dispositivo de almacenamiento en la red? Análisis: Las empresas manifestaron no poseer dispositivos de almacenamiento que apoyen una estrategia de solución informática en la seguridad de la red. RESULTADOS DE LA INVESTIGACION SOLUCIONES INFORMATICAS 5. Cuentan con algún dispositivo de almacenamiento en la red? Si % No % No contestaron %

17 X3-3: ACTUALIZACIONES PERIODICAS Objetivo: Determinar la importancia con que las empresas estimulan el desarrollo de sus empleados para el manejo eficiente de activos informáticos. Preguntas: 19. Se ha instruido a estas personas sobre que medidas tomar en caso de que alguien pretenda entrar sin autorización? Análisis: Los resultados muestran que las empresas carecen de capacitaciones frecuentes al personal sobre medidas a tomar, en caso de que alguna persona ajena a la empresa pretenda ingresar sin autorización a la red o al área informática de la empresa. RESULTADOS DE LA INVESTIGACION ACTUALIZACIONES PERIODICAS 19. Se ha instruido a estas personas sobre que medidas tomar en caso de que alguien pretenda entrar sin autorización? Si % No % No contestaron %

18 CONCLUSIONES En base a la información obtenida mediante encuestas realizadas a las empresas privadas de la cuidad de San Miguel que poseen una red local; se puede concluir que: - Existen empresas que cuentan con elementos de software de seguridad los cuales son limitados, además de carecer de planes de contingencia que minimicen los aspectos negativos. - Las empresas limitan la protección física de sus activos informáticos a medios poco fiables. - Las empresas manifestaron desconocer la importancia y uso de la auditoría informática en función del propósito administrativo en la gestión de los activos informáticos. - Las empresas carecen de un departamento que analice, diseñe y ejecute los requerimientos de los sistemas informáticos. - Las empresas carecen de un programa de desarrollo profesional, para los responsables de las redes informáticas; lo cual incrementa el nivel de riesgo y limita la cantidad de soluciones

19 RECOMENDACIONES A raíz de las conclusiones anteriormente expuestas se recomienda: - Las empresas deben de informarse sobre los modelos de manipulación, gestión y desarrollo de activos informáticos vigentes. - Las empresas deberían establecer los criterios óptimos para el respaldo de sus activos informáticos ejercitando el uso de las buenas prácticas en el manejo del software. - Las empresas deben actualizarse en cuanto al uso de herramientas informáticas de acuerdo a los estándares internacionales. - Las empresas deben implementar de acuerdo al carácter crítico de su activo informático un departamento que les permita analizar, diseñar y ejecutar las acciones pertinentes a sus sistemas informáticos. - Las empresas deben promover el programa de desarrollo profesional de los empleados intervinientes como operadores técnicos o usuarios finales a fin de lograr eficiencia y eficacia en el desempeño. - Las empresas deben de promover el uso oportuno de la auditoría informática para lograr las metas institucionales; para lo cual se puede valer de la guía y metodología de ejecución dada en nuestra propuesta