DEPARTAMENTO DE

HUMANIDADES

METODOLOGÍA DE LA INVESTIGACIÓN
CURSO VIRTUAL

Diseño e implementación de un plan de políticas de seguridad

informática para minimizar los riesgos de intrusión en la aplicación web

de la empresa Inmuebles Coronado S.A.C

Autores: ARMAS PIMENTEL, Julio Cesar; 76776

GRANDA CASTAÑEDA, Santiago Genaro; 65447
VÁSQUEZ BLAS, Leopoldo Delver; 69713

PROFESOR WILFREDO VALVERDE GERARDO RODRIGUEZ.

1
 Diseño e implementación de un plan de políticas de seguridad informática

para minimizar los riesgos de intrusión en la aplicación web de la empresa

Inmuebles Coronado S.A.C

Introducción

En estos últimos años, los ataques informáticos a las aplicaciones web de las
diferentes organizaciones del mundo han ido en aumento. Estos ataques son
realizados por piratas informáticos, los cuales aprovechan diferentes
vulnerabilidades para lograr realizar la intrusión de dichos sistemas.

(Alonso Cebián, 2017), nos comenta que con respecto a la seguridad informática,
el estar seguros no es una meta realista. Este mismo año Telefónica de España
sufre un ataque de ransomware, en la cual para evitar la propagación del malware,
decidieron desconectar los posibles equipos infectados. Cebian también afirma que
ninguna empresa puede garantizar que no vaya a afectarle un malware u otro, los
que afirman que si se puede hacer esto, en realidad no saben nada de seguridad
informática.
Con respecto al informe que presentó la empresa ESET Smart Security (ESET,
2017) concluye que el 49% de las empresas en Latinoamérica fueron víctimas de
algún tipo de malware. Siendo este tipo de ataque el más común para las pequeñas
empresas. En el caso del Perú (ESS, 2016), el 39.9 por ciento de las empresas
sufrieron una infección de malware.

En la publicación de la página de kaspersky Lab (Kaspersky Lab, 2017), en agosto

de este mismo año, los hackers LulzSec, logran vulnerar las defensas de las
páginas del gobierno peruano, entre ellas la del Ministerio de Educación y Perú
Compras (Kaspersky Lab, 2017). Esto demuestra que cualquier organización puede
ser víctima de un ataque.

2
Por otra, la aplicación de políticas de seguridad, dependiendo de la envergadura,
necesitan una fuerte inversión de dinero para implementación de una infraestructura
adecuada. En las empresas grandes, en las cuales la información y prestigio es de
vital importancia para el core del negocio, esto no implica un gasto, sino un costo,
porque trae consigo la reducción de costos en el caso que se presente algún
incidente en la empresa, con respecto a la seguridad de los sistemas de
información. En el caso de las pymes (ESET, 2017), estas no cuentan con
presupuesto dedica a la seguridad o es muy escaso, no tienen tiempo para dedicarle
al monitoreo de la seguridad, no están seguros de lo que deben hacer y/o no tienen
personal calificado.

Domínguez (2014) citado por Paula & Rosario (2014) considera que es necesario
que las PYMES refuercen su seguridad informática a través de auditorías, buenas
prácticas, software especializado y pruebas de hacking ético. El también afirma que
las brechas de seguridad se deben a la mala configuración de los dispositivos,
personal no capacitado con respecto a la seguridad informática y la no actualización
de software. Además (Paula Reynoso & Rosario Frias, 2014) en su trabajo de
investigación concluyen que las PYMES si tienen la necesidad de aplicar políticas
de seguridad, debido a que el 100 por ciento de las empresas entrevistadas tienen
su información vinculada a recursos tecnológicos.

Robayo & Rodríguez (2015), en su trabajo de investigación concluyen que es

importante la implementación de políticas de seguridad y la capacitación de
personal para mitigar los ataques informáticos. Además brindan algunas
recomendaciones que se pueden aplicar en el presente trabajo de investigación.

Como podemos observar, los ataques informáticos a empresas son muy comunes.
En el caso de las PYMES, las cuales no cuentan con los recursos necesarios para
implementar sofisticadas políticas de seguridad informática, son blancos fáciles
para los piratas informáticos, los cuales buscan adquirir algún beneficio de manera
directa o indirectamente.

3
Por tanto el problema planteado es el diseño e implementación de políticas de
seguridad informática minimizar el riesgo de intrusión en la aplicación web de la
empresa Inmuebles Coronado S.A.C de la ciudad de Trujillo en el año 2017 y el
objetivo que se ha planteado en el presente trabajo es el de analizar y diseñar un
plan de políticas de seguridad informáticas, y como hipótesis tenemos que el diseño
y la implementación de políticas de seguridad informática permitirá minimizar los
riesgos de intrusión en el sistema web de la empresa inmuebles coronado S.A.C.

Entre los antecedentes que se encontró tenemos el trabajo realizado por Bermúdez
& Sánchez (2016), en el cual hace uso de la norma ISO/IEC 27001. En dicha
investigación resaltan que no es posible garantizar una seguridad total. Aquí
también obtuvieron como resultado la identificación de vulnerabilidades y
amenazas. Mientras tanto Espinoza (2013) también hace mención de esta norma
para diseñar un sistema de gestión de seguridad de información, en dicha
investigación concluye que la seguridad de la información debe estar incluido en la
cultura organizacional de la empresa. Por otro lado Arias, Gabriela, Almeida &
Noriega (2013), obtuvieron como resultado que en la empresa en donde realizaron
la investigación no mantienen normas de seguridad de la información.

Hasta el momento se observa que se toma como base la norma ISO/IEC 27001
para el diseño de planes o políticas de seguridad con respecto a la información.
Guachi (2012), también hace uso de esta norma con el objetivo de mejorar la
confidencialidad, integridad y la disponibilidad de los sistemas de información.
Mientras tanto Moposita (2112), menciona el desarrollo de un manual de medidas
para la protección informática que evite el robo de identidad provocado por el ataque
de Phishing, el cual es otro punto importante a tomar en cuenta para las
organizaciones. Crillo (2017), tiene como objetivo el análisis y la implantación de la
misma norma. Como observamos, la norma 27001 es una tendencia, la cual se toma
como base para el análisis y la implementación de políticas de seguridad en las
instituciones.

4
Aguirre (2014), concluye que es necesario difundir las normas de seguridad
existentes (si es que las hubiera) y establecer charlas de capacitación y
concientización en toda la empresa. Si bien es cierto en la actualidad en la empresa
en estudio no tienen definidas normas de seguridad de información e informática, al
realizar la implantación de debe tomar este punto en cuenta.

El análisis de riesgos es otro factor importante, al no tener un presupuesto abultado,

las organizaciones deben de priorizar en donde aplicar las medidas correctivas para
minimizar riesgos de algún incidente con respecto a la seguridad de la información.
Perafan & Cacedo (2014) en su trabajo realizaron un análisis de riesgos asociados
a las vulnerabilidades ya amenazas, en donde nuevamente se denota el alto riesgo
a ser atacado. Por otro lado Barrantes & Hugo (2012), buscan reducir y mitigar los
riesgos activos de información implementando políticas de seguridad y que los
colaboradores las conozcan.

Como se puede observar no basta solo con aplicar las políticas, sino que las
personas conozcan dichas políticas. También cabe recalcar que se busca minimizar
y no eliminar el riesgo o problema, dado que este objetivo no sería algo realizable.
Garcés (2015) en su trabajo propone documentar las reglas y derechos de acceso
a los recursos del sistema de información y comunicación para su posterior
implementación. En otros trabajos como es el caso de Nuela(2015), busca realizar
una auditoría para detectar vulnerabilidades, esto es una buena práctica para
realizar mejoras en los sistemas informáticos. Acosta (2016), también tiene el mismo
objetivo, el de auditar y realizar un mejora.

Otro aspecto a destacar es la información, la empresa en estudio toma como

referencia los datos obtenidos a través del sistema web de la empresa. Chagcha(
2016), afirma que la aplicación de BI para la toma de decisiones ayuda al manejo
de la información para la toma de decisiones del nivel estratégico. Si bien el
presente trabajo habla sobre la seguridad informática, también tiene un nexo directo

5
con la información del sistema, dado que para que la empresa tome decisiones
controladas, es necesario que la información suministrada sea integra y esté
disponible. Si la empresa deseara en el futuro implementar un sistema de BI en
base al sistema actual y este no tuviera la seguridad adecuada que garantice su
seguridad y disponibilidad, las decisiones tomadas en base a la información
suministrada podrían llevar a la empresa a la quiebra.

Este proyecto de investigación nace por la necesidad de minimizar los riesgos de

intrusión del sistema web de la empresa inmueble coronado S.A.C de la ciudad de
Trujillo, ya que esta ha sido vulnerada y sigue siendo atacada por piratas
informáticos. El core del negocio de esta empresa es el alquiler y venta de
inmuebles, los cuales se dan a conocer a través del sistema web. Es por esto que
la empresa necesita brindar seguridad y mantener una buena imagen hacia sus
clientes y potenciales clientes. También servirá como base para futuras
implementaciones de políticas de seguridad para aplicaciones web pertenecientes
a la pequeña y micro empresa, las cuales no cuentan con grandes recursos para
implementaciones de estándares de seguridad informática

Materiales y métodos
Recopilación y análisis de la información
Los empleados del área de TI de la empresa inmuebles coronado S.A.C, con
un total de 3 personas, el jefe del área de TI y dos desarrolladores externos.
En este caso la población es pequeña, por eso se consideró a toda la
población como muestra.

Se hizo entrevistas personales al personal del área de TI presencialmente y

vía web en fases periódicas, en las cuales se recogió la información. Además
se realizó una búsqueda de bibliografía sobre seguridad informática y pymes.
Se buscó información en internet a cerca de buenas prácticas para la
administración de seguridad en wordpress. Se buscó incidentes similares a
los que sufrió la empresa para poder obtener una lista de posibles soluciones

6
la mitigar el problema. Además se recopilo información a través de la
observación, con lo cual se pudo detectar el modo de operar de los piratas
informáticos.
Se realiza un cuadro comparativo entre las soluciones propuestas para
wordpress para mitigar el riesgo de intrusión
Para la redacción del presente trabajo, se usó el manual de redacción
academica UPN 2016.

Método:
El método que se utilizo es el la investigación documental – bibliográfica, que
consiste realizar una investigación sobre normas y buenas practicas con
respecto a la políticas de seguridad informática y de la información.

Proceso de elaboración de la pregunta

Definición de seguridad informática:
Perez & Merino (2008), definen que es una disciplina que se encarga
de proteger la integridad y la privacidad de la información almacenada
en un sistema informático.

Definición de políticas de seguridad:

Según el laboratorio de redes y seguridad de la UNAM es un conjunto
de leyes, reglas y prácticas que regulan la manera de dirigir, proteger
y distribuir recursos en una organización para llevar a cabo los
objetivos de seguridad informática dentro de la misma.

Nexo lógico de las variables

Al aplicación de políticas de seguridad informática tiene efecto positivo
en la mitigación de riesgos de intrusión en el sistema (aplicación) web.

El tema de investigación en el presente trabajo es el de documentar

buenas prácticas para su posterior implementación o aplicación en la

7
 empresa inmuebles coronado S.A.C. y lograr mitigar el riesgo de
intrusión de piratas informáticos.

Artículos de
Año de
Titulo Autores investigación
publicación
o tesis
Análisis en seguridad
informática y seguridad de
la información basado en la Bermúdez Molina,
norma ISO/IEC 27001- Kelly Gabriela
2016 tesis
sistemas de gestión de Bailón Sánchez
seguridad de la información Edber Rafael
dirigida a una empresa de
servicios financieros.
Análisis y diseño de un
sistema de gestión de
seguridad de información
basado en la norma Espinoza
ISO/IEC 27001:2005 para Aguinaga, Hans 2013 tesis
una empresa de producción Ryan
y comercialización de
productos de consumo
masivo.
Análisis y solución de las Arias Buenaño,
vulnerabilidades de la Gabriela
seguridad informática y Merizalde Almeida,
2013 tesis
seguridad de la información Nelson
de un medio de Noriega García,
comunicación audio-visual. Natasha
Norma de seguridad
informática ISO 27001 para
mejorar la confidencialidad,
integridad y disponibilidad
de los sistemas de Guachi Aucapiña,
2012 tesis
información y comunicación Tania Verónica
en el departamento de
sistemas de la Cooperativa
de Ahorro y Crédito San
Francisco Ltda.
Medidas de protección
informática para evitar el
Moposita
robo de identidad
Guangashi, Paul 2012 tesis
provocado por el ataque
Fernando
phishing “The Tabnabbing
Attack" para la facultad de

8
ingeniería en sistemas,
electrónica e industrial.
Diseño de un sistema de
Aguirre
gestión de seguridad de
Mollehuanca, David 2014 tesis
información para servicios
Arturo
postales del Perú s.a.
Análisis de Riesgos de la
Seguridad de la
Perafán Ruiz, John
Información para la 2014 tesis
Jairo
Institución Universitaria
Colegio Mayor del Cauca
Diseño e implementación de Barrantes Porras,
un sistema de gestión de Carlos Eduardo
2012 tesis
seguridad de información en Hugo Herrera,
procesos tecnológicos. Javier Roberto
Seguridad informática para
la red de datos en la Garcés Ulloa,
2015 tesis
Cooperativa de Ahorro y Silvana Judith
Crédito Unión Popular Ltda.
Auditoría de la seguridad
informática para el
honorable gobierno
provincial de Tungurahua Nuela Guananga,
2015 tesis
mediante la metodología Byron Danilo
Open Source Security
Testing Methodology
manual
Auditoría informática para
la optimización del
funcionamiento de los
Acosta Jordán,
sistemas y equipos 2016 tesis
Mayra Gabriela
informáticos de la facultad
de ingeniería en sistemas,
electrónica e industrial.
Herramienta informática de
Chagcha
business intelligence para
Guamanquispe, 2016 tesis
el departamento de ventas
Luis Fabricio
en la empresa Mascorona.
Sistema web para la
potenciación de la oferta
laboral de graduados en la Ramón Santana,
2016 tesis
facultad de ingeniería en Eduardo Danilo
sistemas, electrónica e
industrial
Sistema informático para Pazmiño Garcés,
2017 tesis
control y monitoreo basado Ricardo José

9
en el sistema de control
Andon para mejorar el
desempeño de procesos y
control de recursos en la
manufactura de calzado de
cuero.
Análisis e Implantación de
la norma ISO/IEC
27002:2013 para el
Criollo Tasinchana,
departamento informático 2017 tesis
Sandra Maribel
del Gobierno Autónomo
Descentralizado Municipal
del Cantón Salcedo

Se realizó una matriz por cada antecedente encontrado en la revisión de

información realizada por el grupo de investigación, en la cual se toma en
cuenta las siguientes caracterizas para su documentación. El título de la
investigación, un resumen, la dirección referencia desde donde se tomó la
tesis, la introducción, la cual tiene como sub componentes la realidad
problemática, el problema de la investigación, el objetivo general. Luego el
apartado de Desarrollo, en el cual se describió el sustento teórico del trabajo
de investigación, la hipótesis, el diseño de la investigación, la población y
muestra del trabajo de la investigación, los resultados y el finalmente el
análisis de los resultados.

Perez & Merino (2008)

En el caso de la matriz número 2 se realizó un cruce de información de los

diversos trabajos encontrados en base a la matriz número 1. En esta matriz
se tomó en cuenta el problema, el objetivo general y la hipótesis. Se contrastó
cada ítem de la matriz, es decir, se comparó cada ítem de cada trabajo de
investigación (problema con problema, objetivo con objetivo) para obtener
una visión clara del enfoque de los diferentes trabajos realizados que tienen
relación con el presenta trabajo de investigación.

10
 En cada uno de nuestros artículos trabajamos con el siguiente aspecto; el
diseño de la investigación, ya que esta se relaciona con nuestra pregunta
planteada porque en algunos de los artículos especifican que su diseño de
investigación les ayudo a obtener información y así obtener mejores
resultados para el desarrollo e implementación de sistemas de la información
o dar alternativas de solución en base a software para proteger la información
de las empresas y por ello se relaciona con nuestro problema que es ¿De
qué manera el diseño e implementación de políticas de seguridad informática
para minimizara el riesgo de intrusión en la aplicación web de la empresa
Inmuebles Coronado S.A.C de la ciudad de Trujillo en el año 2017?.

Referencia Bibliográfica
Aguirre Mollehuanca, D. A. (2014). Diseño de un sistema de gestión de seguridad de información
para servicios postales del Perú. Tesis, Pontificia Universidad Católica del Perú, Lima.
Alonso Cebián, J. M. (13 de Mayo de 2017). Un informático en el lado del mal. Recuperado el 10 de

11
 Octubre de 2017, de Blog personal de Chema Alonso sobre sus cosas:
http://www.elladodelmal.com/2017/05/el-ataque-del-ransomware-wannacry.html
Arias Buenaño, Gabriela, Merizalde Almeida, N., & Noriega Garcia, N. (2013). Análisis y solución de
las vulnerabilidades de la seguridad informática y seguridad de la información de un medio
de comunicación audio-visual. Tesis, Universidad Politécnica Salesiana, Guayaquil.
Barrantes Porras, C. E., & Hugo Herrera, J. R. (2012). Diseño e implementación de un sistema de
gestión de seguridad de información en procesos tecnológicos. Tesis, Universidad San
Martín de Porras, Lima.
Bermudez Molina, K. G., & Bailon Sánchez, E. R. (2016). Análisis en seguridad informática y
seguridad de la información basado en la norma ISO/IEC 27001-sistemas de gestión de
seguridad de la información dirigida a una empresa de servicios financieros. Tesis,
Universidad Politécnica Salesiana, Guayaquil. Obtenido de
https://dspace.ups.edu.ec/bitstream/123456789/10372/1/UPS-GT001514.pdf
ESET. (5 de Octubre de 2017). Welivesecurity en Español. Recuperado el 12 de Octubre de 2017, de
https://www.welivesecurity.com/la-es/2017/10/05/madurez-de-la-seguridad-pymes/
ESET. (2017). Welivesecurity en Español. Recuperado el 11 de Octubre de 2017, de Noticias,
opiniones y analisis de la comunidad de seguridad de ESET:
https://www.welivesecurity.com/wp-content/uploads/2017/04/eset-security-report-
2017.pdf
Espinoza Aguinaga, H. R. (2013). Análisis y diseño de un sistema de gestión de seguridad de
información basado en la norma ISO/IEC 27001:2005 para una empresa de producción y
comercialización de productos de consumo masivo. Tesis, Pontificia Universidad Católica
del Perú, Lima.
Guachi Aucapiña, T. V. (2012). Norma de seguridad informática ISO 27001 para mejorar la
confidencialidad, integridad y disponibilidad de los sistemas de información y
comunicación en el departamento de sistemas de la Cooperativa de Ahorro y Crédito San
Francisco Ltda. Tesis, Universidad Técnica de Ambato, Ambato.
Kaspersky Lab. (21 de Agosto de 2017). Securelist. Recuperado el 11 de Octubre de 2017, de
https://securelist.lat/hackers-de-lulzsec-invaden-paginas-gubernamentales-de-
peru/85485/
Laboratorio de redes y seguridad UNAM. (2017). Universidad Nacional Autonoma de Mexico.
Recuperado el 10 de Noviembre de 2017, de http://redyseguridad.fi-
p.unam.mx/proyectos/seguridad/DefinicionPolitica.php
Moposita Guangashi, P. F. (2012). Norma de seguridad informática ISO 27001 para mejorar la
confidencialidad, integridad y disponibilidad de los sistemas de información y
comunicación en el departamento de sistemas de la Cooperativa de Ahorro y Crédito San
Francisco Ltda. Universidad Técnica de Ambato, Ambato.
Paula Reynoso, R. A., & Rosario Frias, M. (2014). Análisis de la gestión de la seguridad de
tecnologías de la información, en las pequeñas y medianas empresas de San Francisco de
Macorís. Republica Dominicana.
Perafán Ruiz, J. J., & Caicedo Cuchimba, M. (2014). Análisis de Riesgos de la Seguridad de la
Información para la Institución Universitaria Colegio Mayor del Cauca. Tesis, Universiad
Nacional Abierta y a Distancia, Popayán.
Perez Porto, J., & Merino, M. (2008). Definicion.de: Definición de seguridad informática. Obtenido
de https://definicion.de/seguridad-informatica/
Robayo López, J. H., & Rodríguez Rodríguez, R. M. (2015). Aseguramiento de los sistemas
computacionales de la empresa SITIOSDIMA.NET.
Sánchez, L. E., Villafranca, D., Fernández Medina, E., & Piattini, M. (s.f.). MGSM-PYME:

12
Metodología para la gestión de la seguridad y su madurez en las PYMES. En J. J. Ridrigo,
Tomelloso, & G. d. ALARCOS (Ed.), SICAMAN Nuevas Tecnologías. Ciudad Real, España:
Universidad de Castilla. Recuperado el 14 de Octubre de 2017, de
http://www.criptored.upm.es/cibsi/cibsi2009/docs/Papers/CIBSI-Dia2-Sesion3(3).pdf

13
 ANEXOS

Matriz 01. IDENTIFICACIÓN DE INFORMACIÓN POR COMPONENTE DEL ARTÍCULO DE INVESTIGACIÓN (AI).

Análisis en seguridad informática y seguridad de la información basado en la norma ISO/IEC 27001-sistemas

Título de AI
de gestión de seguridad de la información dirigida a una empresa de servicios financieros.
Referencia https://dspace.ups.edu.ec/bitstream/123456789/10372/1/UPS-GT001514.pdf
Resumen Conocer, analizar e identificar la situación actual sobre las vulnerabilidades de seguridad de la empresa.
Durante los últimos años se han presentado incidentes de seguridad que han generado molestias en los
La realidad problemática
funcionarios y han sido causas de interrupción de las actividades que se desarrollan dentro de la empresa.
¿Cómo se podría minimizar los riesgos de pérdida, daño o alteración de la información administrada dentro de
El problema
Introducción la empresa Credigestion?
Analizar los procesos críticos de Credigestion respecto a las gestiones de seguridad adecuados para garantizar
El objetivo general la confidencialidad, integridad y disponibilidad de la información, mediante la formulación recomendaciones de
seguridad y controles basados en la norma ISO/IEC 27001.
La información es parte de los activos más importantes en una empresa, y a su vez es uno de los recursos más
Sustento teórico
propensos a vulnerabilidades, siendo necesario protegerlo de amenazas internas y externas.
A través de controles de seguridad basados en la norma de ISO/IEC 27001 se establecen mecanismos
Hipótesis adecuados para mitigar riesgos que se puedan presentar en el uso de los sistemas de información y en el
manejo de información.
La investigación se realiza de forma coherente llevando un proceso coordinado, para que de esta forma se
Diseño de investigación
Desarrollo contribuya a la interpretación correcta de los resultados.
Población y muestra Empleados de la empresa, directivos y operarios.
Los resultados obtenidos en la evaluación del análisis de seguridad de la información y seguridad informática,
Resultados obtenidos ayudaran a credigestion en la implementación de buenas prácticas que mitigaran las vulnerabilidades y
amenazas que han sido identificadas.
Los resultados indicaron potenciales índices de riesgos lo cual expone a la información a daños, robos o
Análisis de resultados
modificaciones que pueden causar un impacto negativo para la empresa.
La seguridad total no existe, pero gestionar controles de seguridad en el proceso y manejo de información, se
Conclusiones vuelve un complemento esencial, pues le permite asegurar información valiosa no solo de la empresa sino
también de los clientes.

14
 Análisis y diseño de un sistema de gestión de seguridad de información basado en la norma ISO/IEC 27001:2005 para
Título de AI
una empresa de producción y comercialización de productos de consumo masivo.
http://tesis.pucp.edu.pe:8080/repositorio/bitstream/handle/123456789/4957/ESPINOZA_HANS_ANALISIS_SISTEMA
Referencia _GESTION_SEGURIDAD_INFORMACION_ISO_IEC%2027001_2005_COMERCIALIZACION_PRODUCTOS_CONS
UMO_MASIVO.pdf
En los últimos 20 años la información se ha convertido en un activo muy importante y crucial dentro de las
Resumen organizaciones. Por esta razón la organización tiene la necesidad de protegerla si es que la información tiene relación
ya sea con el negocio o con sus clientes.
Las amenazas han aumentado considerablemente la variedad y cantidad de amenazas que podrían afectar la
La realidad problemática confidencialidad, disponibilidad, auditabilidad e integridad de la información vital para la organización, el negocio y los
clientes, lo que podría provocar graves pérdidas económicas, y de tiempo para la organización.
Introducción ¿Se podrá analizar y diseñar un sistema de gestión de seguridad de información, basado en la norma ISO/IEC
El problema
27001:2005 para una empresa dedicada a la producción y comercialización de alimentos de consumo masivo?
Analizar y diseñar un sistema de gestión de seguridad de información, basado en la norma ISO/IEC 27001:2005 para
El objetivo general
una empresa dedicada a la producción y comercialización de alimentos de consumo masivo.
Todas las organizaciones tienen diferentes activos críticos de información, dependiendo del impacto o perjuicio grave
Sustento teórico que podría tener para la empresa, el que una persona físico o jurídico pueda acceder/obtener/tratar/difundir la misma
fraudulentamente o ilícitamente.
Hipótesis La investigación no cuenta con hipótesis.
Para este proyecto y para el producto final del mismo, que es la implementación del SGSI, se usara la metodología
Diseño de investigación
Desarrollo del ciclo de Deming (Plan-Do-Check-Act).
Población y muestra Teórico.
Se obtuvo como resultado también que aún seguían predominando en el mercado, empresas y personas que no tenían
Resultados obtenidos
ningún tipo de certificación en seguridad de información.
En la actualidad no hay empresas en el país del rubro de producción de alimentos de consumo masivo que estén
Análisis de resultados
certificadas en la norma ISO/IEC 27001:2005, y por ende no cuenta con un correcto SGSI implantado.
La adecuada gestión de la seguridad de información es algo que debe estar ya incluido en la cultura organizacional
Conclusiones de las empresas; y en todas ellas esta adecuada gestión no se lograría sin el apoyo de la alta gerencia como
promotor activo de la seguridad en la empresa.

15
 ANÁLISIS Y SOLUCION DE LAS VULNERABILIDADES DE LA SEGURIDAD INFORMÁTICA Y SEGURIDAD
Título de AI
DE LA INFORMACIÓN DE UN MEDIO DE COMUNICACIÓN AUDIO-VISAL.
Referencia https://dspace.ups.edu.ec/bitstream/123456789/5386/1/UPS-GT000497.pdf
En este estudio se ha recomendado e implementado políticas de seguridad informática en la empresa, siguiendo
Resumen procedimientos estandarizados que permiten identificar y reducir a corto y mediano plazo los diferentes riesgos
informáticos.
La empresa “GNN7 TV” requiere una auditoria/consultoría informática ya que en su sistema de gestión de
seguridad de la información existen falencias ya identificadas como controles mal implementados y una mala
La realidad problemática
administración de la red, presentando pérdidas o fugas parciales de información de alta importancia para el
negocio.
Introducción
¿Cómo determinar que los procesos actuales de seguridad informática y de la información no son los adecuados
El problema
para la organización?
Identificar los procesos de seguridad informática y de seguridad de la información actualmente implementados
El objetivo general
en la empresa para así auditarlos, hacer recomendaciones e implementar controles según el caso.
La seguridad informática actualmente se ha vuelto un punto crítico por lo tanto la empresa requiere de un análisis
Sustento teórico
a cerca de su estado actual y lo recomendable es que sea efectuado por agentes externos.
La mala gestión de los mecanismos actualmente implementados en SGSI de empresa no permite cubrir las
Hipótesis
necesidades de protección contra amenazas internas y externas de seguridad.
Diseño de investigación La investigación se realizara utilizando métodos inductivo, deductivo y observativo.
Desarrollo Personal del departamento de TI los cuales conocen al detalle la situación actual del SGSI de la empresa; La
Población y muestra
totalidad del personal del TI.
Resultados obtenidos Se pudo comprobar que no mantienen normas de seguridad de la información en la empresa.
Sus procedimientos actuales carecen en su mayoría de controles que hagan viable una buena gestión de los
Análisis de resultados mismos, además es vulnerable a sufrir pérdida o robo de información ya que los controles actualmente
implementados no son del todo eficientes.
GNN7 TV ha implementado algunos de los controles propuestos llevándolo a corregir muchos de sus procesos
Conclusiones
actuales.

16
 NORMA DE SEGURIDAD INFORMÁTICA ISO 27001 PARA MEJORAR LA CONFIDENCIALIDAD, INTEGRIDAD Y
Título de AI DISPONIBILIDAD DE LOS SISTEMAS DE INFORMACIÓN Y COMUNICACIÓN EN EL DEPARTAMENTO DE
SISTEMAS DE LA COOPERATIVA DE AHORRO Y CRÉDITO SAN FRANCISCO LTDA.
Referencia http://repo.uta.edu.ec/bitstream/123456789/2361/1/Tesis_t715si.pdf
El Departamento de Sistemas de la Cooperativa de Ahorro y Crédito San Francisco Ltda., es un pilar fundamental
Resumen para la Cooperativa ya que opera y gestiona los sistemas de información y de comunicación por lo tanto deben
brindar seguridad y confiabilidad de los mismos y así satisfacer a los usuarios de los sistemas de información.
Con frecuencia somos testigos y/o víctimas de ataques de virus, de crackers, e incluso de empleados o usuarios
La realidad problemática maliciosos que acceden a información confidencial y la utilizan de forma perjudicial para la empresa. En muchas
ocasiones somos conscientes de los daños causados cuando es demasiado tarde o quizá nunca.
¿Qué incidencia tiene la Implementación de la norma de seguridad informática ISO 27001 en la confidencialidad,
Introducción El problema integridad y disponibilidad de los sistemas de información y comunicación en el Departamento de Sistemas de la
Cooperativa de Ahorro y Crédito ―San Francisco‖ Ltda.?
Implantar la norma de seguridad informática ISO 27001 para mejorar la confidencialidad, integridad y disponibilidad
El objetivo general de los sistemas de información y comunicación en el Departamento de Sistemas de la Cooperativa de Ahorro y
Crédito ―San Francisco‖ Ltda.
La realización de este trabajo de investigación es de gran importancia porque se puede vincular la teoría con la
práctica, ya que gracias a esto se puede complementar el desarrollo de este proyecto y los resultados serán de gran
Sustento teórico
ayuda en el desarrollo tecnológico logrando que la cooperativa cuente con normativas adecuadas y seguras sobre
la protección de datos, privacidad y control de técnicas de información.
La implantación de la norma de seguridad informática ISO 27001 mejorará la confianza en el manejo de los sistemas
Hipótesis
de información y comunicación del departamento de sistemas de la cooperativa.
La investigación se realizó de forma cualitativa ya que se obtuvo información directa de los investigados por medio
Diseño de investigación de la aplicación de una entrevista, gracias a esto se pudo elaborar un análisis de resultados y proponer alternativas
Desarrollo de solución.
El proyecto está orientado a una población integrada por cinco personas que laboran en el departamento de sistemas
Población y muestra de la Cooperativa de Ahorro y Crédito ―SAN FRANCISCO‖ Ltda. La muestra pasaría a ser la misma población
puesto que ésta es muy reducida.
El 80% de los trabajadores respondieron que existen políticas establecidas solo para los usuarios, es decir cada uno
Resultados obtenidos es dueño de una contraseña para poder usar la computadora y las aplicaciones que utilicen, el 20% respondieron
que se aplican políticas para los sistemas de información como respaldos, copias de seguridad y antivirus.
Solo se cuenta con políticas de seguridad destinadas para los usuarios, por lo que los sistemas de información y de
Análisis de resultados
comunicación están desprotegidos.
No se cuenta con estándares de seguridad informática que ayuden a preservar las propiedades de confidencialidad,
Conclusiones
integridad y disponibilidad de los sistemas de información y de comunicación.

17
 MEDIDAS DE PROTECCIÓN INFORMÁTICA PARA EVITAR EL ROBO DE IDENTIDAD PROVOCADO POR
Título de AI EL ATAQUE PHISHING “THE TABNABBING ATTACK" PARA LA FACULTAD DE INGENIERÍA EN SISTEMAS,
ELECTRÓNICA E INDUSTRIAL.
Referencia http://repositorio.uta.edu.ec/handle/123456789/2378
La necesidad de contar con un instrumento de informático de seguridad web, Medidas de Protección Informático
Resumen para prevenir el robo de identidad provocado por el ataque Phishing “The Tabnabbing” en la comunidad
estudiantil de la FISEI.
En la Facultad de Ingeniería en Sistemas Electrónica e Industrial de la universidad Técnica de Ambato, se
produce un grave problema como es el robo de identidad de los estudiantes debido a que no se cuenta, con las
La realidad problemática
seguridades indispensables en los usuarios lo que hace que estos sean elementos muy vulnerables a ataques
y robos de información.
Introducción
¿De qué manera ayudaría las Medidas de protección Informática evitar el robo de identidad provocado por el
El problema
Ataque Phishing “The Tabnabbing" en la Facultad de Ingeniería en Sistemas Electrónica e Industrial?
Desarrollar el manual de las medidas de protección Informática que evite el robo de identidad provocado por el
El objetivo general
Ataque Phishing “The Tabnabbing" para la Facultad de Ingeniería en Sistemas Electrónica e Industrial.
La adquisición de nuevos conocimientos y la amplia información de los problemas que existen en cuanto a la
Sustento teórico
seguridad Web a nivel mundial y local, sobre la vulnerabilidad existente ante ciber delincuentes.
La aplicación de medidas de protección Informática influirán en la disminución del robo de identidad provocado
Hipótesis por el Ataque Phishing “The Tabnabbing" en los estudiantes de la Facultad de Ingeniería en Sistemas Electrónica
e Industrial.
Diseño de investigación El presente trabajo investigativo tomará un enfoque Cuali – Cuantitativo.
Desarrollo los estudiantes de cuarto semestre a noveno semestre y el personal administrativo de la carrera de Ingeniería
Población y muestra En Sistemas Computacionales E Informáticos de la Facultad de Ingeniería en Sistemas, Electrónica e Industrial
de la Universidad Técnica de Ambato.
Los encuestados de los estudiantes de la carrera de Sistemas Computacionales e Informáticos de la FISEI, el
Resultados obtenidos
17,19% manifiestan qué un acceso limitado a internet evitaría el robo de identidad en la FISEI.
“Muchas empresas deben restringir selectiva o completamente el uso de Internet para preservar su información,
Análisis de resultados
administrar la productividad y el ritmo de trabajo de su gente.
Los errores que son más evidentes y que repercuten en el robo de identidad es la falta de conocimiento de este
Conclusiones
tipo de vulnerabilidades, los robos de identidad de los estudiantes son más comunes en la FISEI.

18
 DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN PARA SERVICIOS POSTALES
Título de AI
DEL PERÚ S.A.
Referencia http://mendillo.info/seguridad/tesis/Aguirre.pdf
La exigencia de la implementación de la norma técnica peruana NTP-ISO/IEC 27001:2008 en las entidades
públicas nace de la necesidad de gestionar adecuadamente la seguridad de la información en cada una de estas
Resumen
empresas. Sin embargo, el desconocimiento de estos temas por parte de la alta dirección, ha ocasionado que
no se tomen las medidas necesarias para asegurar el éxito de este.
En nuestro país, desde hace más de diez años, las políticas del gobierno han ido recomendando una adecuada
gestión de la seguridad de la información con resoluciones ministeriales tales como la N° 224-2004-PCM en la
La realidad problemática
que aprueban el uso obligatorio de la NTP ISO/IEC 17799:2004 en las entidades públicas referente a las buenas
prácticas para gestionar la seguridad de la información [NTP ISO/IEC 17799].
Introducción
¿Se podra diseñar un sistema de Gestión de Seguridad de Información alienado a la normativa peruana vigente
El problema
para cubrir las necesidades de los procesos institucionales críticos de una entidad pública?
Diseñar un sistema de gestión de seguridad de información para SERPOST según lo indicado por la NTP
El objetivo general
ISO/IEC 27001:2008 y la NTP-ISO/IEC 17999:2007 de seguridad de información.
El presente proyecto busca desarrollar un sistema gestión de seguridad de la información para una empresa
Sustento teórico pública y el presente ISO fue desarrollado para “proporcionar un modelo para implementar, operar, monitorear,
revisar y mejorar un sistema de gestión de la seguridad de la información (SGSI)” [ISO/IEC 27001:2005].
Hipótesis La investigación no presenta hipótesis.
Diseño de investigación La investigación se hará en base a matrices.
Población y muestra No especificada.
Desarrollo
La poca preocupación para la implementación de este sistema de gestión en la organización, no fue sino hasta
Resultados obtenidos
un cambio de la plana gerencial que se recibió el apoyo necesario para la realización de este proyecto.
Se observo el poco interés y la poca concientización que se tiene con respecto a la seguridad de la información
dentro del personal operativo, algo que resulta sorprendente teniendo en cuenta que, dentro de las diversas
Análisis de resultados
áreas, existen casos de personas con procesos judiciales debido a un intercambio no autorizado de
credenciales.
Es necesario difundir las normas de seguridad existentes y establecer charlas de capacitación y concientización
en toda la empresa, esto debido a la poca cultura de seguridad que existe en la organización, desde las planas
Conclusiones gerenciales hasta el personal operativo, incluyendo al personal de seguridad, debido a que se ha detectado que
existen controles normados; sin embargo, estos no son conocidos por el personal y no existen métricas que
permitan monitorear el cumplimiento de estas normas.

19
 Título de AI Análisis de Riesgos de la Seguridad de la Información para la Institución Universitaria Colegio Mayor Del Cauca
Referencia http://stadium.unad.edu.co/preview/UNAD.php?url=/bitstream/10596/2655/3/76327474.pdf
Resumen No presenta resumen.
La Institución Universitaria Colegio Mayor del Cauca, no tiene un sistema de seguridad de la información que
permita la gestión de vulnerabilidades, riesgos y amenazas a las que normalmente se ve expuesta la información
La realidad problemática presente en cada uno de los procesos internos, no se tienen estandarizados controles que lleven a mitigar delitos
informático o amenaza a los que están expuestos los datos comprometiendo la integridad, confidencialidad y
disponibilidad de la información.
Introducción ¿Cómo identificar y tratar los riesgos que afecten la seguridad de la información de La Institución Universitaria
El problema Colegio Mayor del Cauca, con el fin de definir e implementar a futuro un Sistema de Gestión de Seguridad de la
Información, mediante el análisis de riesgos?
Realizar el análisis de riesgos que permita generar controles para minimizar la probabilidad de ocurrencia e
El objetivo general impacto de los riesgos asociados con las vulnerabilidades y amenazas de seguridad de la información existentes
en la Institución Universitaria Colegio Mayor del Cauca.
Hoy día la Institución Universitaria Colegio Mayor del Cauca, tiene una infraestructura tecnológica en
Sustento teórico crecimiento, de la cual dependen muchos de los procesos, dependencias y el funcionamiento tanto
administrativo como académico.
Hipótesis La tesis no cuenta con hipotesis.
Desarrollo Diseño de investigación Investigación aplicada.
Población y muestra No existe.
Resultados obtenidos No se cuenta con personal capacitado en seguridad.
Capacitar al personal del área de TIC o de sistemas en temas de seguridad informática para apoyar el proceso
Análisis de resultados
de capacitación a todo el personal involucrado con la IUCMC.
La IUCMC actualmente presenta un nivel de riesgo informático considerable, que con el apoyo de las directivas
Conclusiones
(alta gerencia) y de todo el personal es posible contrarrestar.

20
 DISEÑO E IMPLEMENTACION DE UN SISTEMA DE GESTION DE SEGURIDAD DE INFORMACION EN
Título de AI
PROCESOS TECNOLOGICOS.
Referencia http://www.repositorioacademico.usmp.edu.pe/bitstream/usmp/609/3/barrantes_ce.pdf
En la actualidad, muchas empresas que están o desean incursionar en el ámbito financiero tienen problemas
Resumen
para resguardar la seguridad de su información; en consecuencia esta corre riesgos al igual que sus activos.
Las organizaciones públicas y privadas día a día generan conocimientos, datos, reportes, actas y material de
La realidad problemática diferente índole de suma importancia para ellas, lo cual representa toda la información que requieren para su
funcionalidad.
¿Se podrá reducir y mitigar los riesgos de los activos de información de los procesos que se encuentran bajo
Introducción El problema la gerencia de tecnología de Card Perú S.A. que ponen en peligro los recursos, servicios y la continuidad de
los procesos tecnológicos?
Reducir y mitigar los riesgos de los activos de información de los procesos que se encuentran bajo la gerencia
El objetivo general de tecnología de Card Perú S.A. que ponen en peligro los recursos, servicios y la continuidad de los procesos
tecnológicos.
Debido a los riesgos que están expuestos los activos de información, el impacto que la interrupción de estos
Sustento teórico puede causar, es preponderante la definición de una metodología y el uso de herramientas que nos ayuden
reducir y mitigar estos riesgos.
Hipótesis No presenta.
Desarrollo Diseño de investigación Análisis de brechas y gestión.
Población y muestra No presenta.
Resultados obtenidos Se obtuvo que la empresa no contaba con la documentación mínima necesaria para postular a un SGSI.
Se debe desplegar medidas de seguridad para gestionar los riesgos y ejecutar un plan de tratamiento de
Análisis de resultados
riesgos planteado para reducir el riesgo a niveles aceptables.
El implementar una política de seguridad y que los colaboradores la conozcan e interioricen, es de gran
Conclusiones
utilidad cuando se quiere implementar cualquier sistema de gestión en una organización.

21
 SEGURIDAD INFORMÁTICA PARA LA RED DE DATOS EN LA COOPERATIVA DE AHORRO Y CRÉDITO
Título de AI
UNIÓN POPULAR LTDA.
Referencia http://repositorio.uta.edu.ec/handle/123456789/8654
La ejecución de seguridad en la red de datos de la Cooperativa de Ahorro y Crédito Unión Popular Ltda. permitirá
que la información sea mucho más segura y libre de intrusos, mediante el establecimiento de políticas para la
correcta utilización de los servicios de red, las que deben ser cumplidas por los empleados de la cooperativa;
Resumen
así como también la instalación de mecanismos de seguridad como un Firewall, servidor Proxy e IDS (Sistema
de Detección de Intrusos) que permitirán una correcta administración, control y monitoreo de la red de la
cooperativa.
En la actualidad, con los servicios que brinda la red toda organización que maneje distintas líneas de negocio
se ha visto inclinada al uso prioritario de distintos servicios informáticos para tener acceso a su información,
trayendo como consecuencia un gran avance tecnológico por la implementación de infraestructuras que
La realidad problemática
permitan la administración, acceso a la información y la comunicación entre los sistemas informáticos y
aportando consigo grandes necesidades de seguridad para resguardar cualquier tipo de información de la
Introducción
empresa.
¿Se podra implementar la seguridad informática para la red de datos que permitirá controlar y administrar la
El problema
información y los servicios de red?
Implementación de seguridad informática para la red de datos en la Cooperativa de Ahorro y Crédito “Unión
El objetivo general
Popular Ltda.
El presente proyecto busca responder las necesidades que tiene toda red de datos empresarial, permitiendo de
Sustento teórico este modo diseñar la seguridad informática para la red de datos, que permita tener mayor control en la
transmisión de información y la adecuada administración de los recursos dentro de la red.
Hipótesis No presenta.
Diseño de investigación La presente investigación se contextualizará en la modalidad de campo y documental – bibliográfica.
Por las características de la investigación, se trabajará con la persona encargada del Departamento de Sistemas
Población y muestra
Desarrollo de La Cooperativa de Ahorro y Crédito Unión Popular Ltda.
La cooperativa no cuenta con ningún esquema ni equipos de seguridad, así mismo no se realiza monitoreo de
Resultados obtenidos la red, por lo que puede permitir a los atacantes tener acceso a los puntos de conexión, tales como los servidores
y los activos de TI.
Se deberá minimizar la generación y el uso de perfiles de usuario con máximos privilegios. Estos privilegios, tal
Análisis de resultados como la posibilidad de modificar o borrar los archivos de otros usuarios, sólo deben otorgarse a aquellos
directamente responsable de la administración o de la seguridad de los sistemas.
Se deben definir y documentar las reglas y derechos de acceso a los recursos del sistema de información y
Conclusiones
comunicación para cada usuario o grupo de usuarios en una declaración de política de accesos.

22
 AUDITORÍA DE LA SEGURIDAD INFORMÁTICA PARA EL HONORABLE GOBIERNO PROVINCIAL DE
Título de AI TUNGURAHUA MEDIANTE LA METODOLOGÍA OPEN SOURCE SECURITY TESTING METHODOLOGY
MANUAL
http://repositorio.uta.edu.ec/jspui/handle/123456789/14999
Referencia
El presente proyecto está dirigido a la Auditoría de Seguridad Informática en el Honorable Gobierno Provincial
Resumen de Tungurahua mediante la metodología Open Source Security Testing Methodology Manual (OSSTMM) para
el análisis, detección y explotación de vulnerabilidades mediante herramientas de seguridad informática.
El Honorable Gobierno Provincial de Tungurahua tiene como misión “impulsar las iniciativas de desarrollo
económico, social, ambiental y territorial de Tungurahua, bajo los principios de participación, mancomunidad,
La realidad problemática equidad, ética, efectividad y transparencia”, ha sufrido ataques a varias páginas web de las que administra como
son “El Parque de la Familia”, “Agenda de Productividad y Competitividad”, “Recursos Agropecuarios” las cuales
Introducción están desarrolladas en Joomla CMS, junto con el acceso de personal no autorizado al servidor Proxy.
¿Se podrá realizar una Auditoría de la Seguridad Informática la cual servirá para la detección de
El problema
vulnerabilidades en los servidores del Honorable Gobierno Provincial de Tungurahua?
Implementar una Auditoría de la Seguridad Informática para el Honorable Gobierno Provincial de Tungurahua
El objetivo general
mediante la Metodología Open Source Security Testing Methodology Manual OSSTMM.
El presente proyecto es importante debido a que la institución necesita una evaluación de la seguridad actual,
de tal manera que se detecten vulnerabilidades que puedan ser explotadas por atacantes informáticos y
Sustento teórico
corregirlas o reducirlas, para proteger la integridad tanto de la información como de los dispositivos
conectados a la red.
Desarrollo Hipótesis No presenta.
Diseño de investigación Investigación en Software.
Población y muestra Virtual.
Resultados obtenidos El gobierno de Tungurahua no cuenta con auditorias de seguridad informática.
Análisis de resultados Se debe realizar auditorías para detectar vulnerabilidades.
El Honorable Gobierno Provincial de Tungurahua no ha realizado auditorías de seguridad informática en lo
que a detección de vulnerabilidades se refiere, tampoco cuenta con herramientas que faciliten un análisis,
Conclusiones
detección y explotación de vulnerabilidades por lo cual el proyecto es beneficioso mediante la investigación de
lo mencionado.

23
 AUDITORÍA INFORMÁTICA PARA LA OPTIMIZACIÓN DEL FUNCIONAMIENTO DE LOS SISTEMAS Y
Título de AI EQUIPOS INFORMÁTICOS DE LA FACULTAD DE INGENIERÍA EN SISTEMAS, ELECTRÓNICA E
INDUSTRIAL.
Referencia http://repositorio.uta.edu.ec/jspui/handle/123456789/20343
El presente proyecto se desarrolla a partir de la necesidad de conocer el estado en que se encuentra el
funcionamiento de los sistemas y equipos informáticos de la Facultad de Ingeniería en Sistemas, Electrónica e
Resumen Industrial, para lo cual se realiza la ejecución de una Auditoria Informática utilizando una metodología basada
en COBIT 4.1 (Control Objectives for Information and related Technology) para evaluar los controles del
sistema de Control de Docentes y Laboratorios de la Facultad.
En la ciudad de Ambato la realización de Auditorías informáticas tienen como objetivo conseguir la máxima
La realidad problemática eficacia y rentabilidad de los medios informáticos de la empresa, aunque es una técnica que va tomando
mayor importancia, no se la realiza en muchas empresas de la ciudad.
Introducción ¿Se podrá realizar una Auditoría Informática para optimizar el funcionamiento de los sistemas y equipos
El problema
informáticos de la Facultad de Ingeniería en Sistemas, Electrónica e Industrial?
Realizar una Auditoría Informática para optimizar el funcionamiento de los sistemas y equipos informáticos de
El objetivo general
la Facultad de Ingeniería en Sistemas, Electrónica e Industrial.
Actualmente los equipos informáticos y sistemas de la Facultad de Ingeniería en Sistemas, Electrónica e
Industrial tienen un buen desempeño, lo cual no significa que se encuentre vulnerable, ya que el sistema se
Sustento teórico encuentra en constante desarrollo, esto puede causar que se pierda información de gran importancia para la
facultad, como por ejemplo información de los docentes así como también equipos informáticos, que son de
igual importancia para que la facultad se pueda desenvolver de manera óptima.
Hipótesis No presenta.
Diseño de investigación Se realizará una investigación bibliográfica – documental.
Desarrollo El proceso de auditoría se realizó al Sistema de control de Docentes, laboratorios y la Administración de
Población y muestra
Redes de la Facultad de Ingeniería en Sistemas, Electrónica e Industrial.
En la facultad de Ingeniería en Sistemas, Electrónica e Industrial nunca se ha realizado una auditoría
Resultados obtenidos
informática y dentro de los planes estratégicos no se ha tomado en cuenta hacerla en el futuro.
Es importante que la información que se ingresa en el sistema sea verídica y correcta por lo que los controles
son de vital importancia para poder controlar lo que se ingresa, al existir usuarios con tipo de cedula diferente
Análisis de resultados
al ecuatoriano el control que se realiza para verificar si los datos son correctos no sirve de nada y no se puede
realizar la acción de ingresar datos.
En el periodo de desarrollo de la auditoría, se determinó que las actividades que se realizan dentro del área de
administración de redes se realizan buenas prácticas en el manejo del Sistema de Control de Docentes y en el
Conclusiones
uso y mantenimiento de los laboratorios de la FISEI por parte de los estudiantes, docentes, administrativos,
laboratoristas y el administrador de la red.

24
 HERRAMIENTA INFORMÁTICA DE BUSINESS INTELLIGENCE PARA EL DEPARTAMENTO DE VENTAS EN
Título de AI
LA EMPRESA MASCORONA.
Referencia http://repo.uta.edu.ec/handle/123456789/23663
Business Intelligence surgió en respuesta a la necesidad de transformar los datos del entorno operativo en
información consistente y acertada, otorgando la capacidad para tomar decisiones de negocio precisas y
Resumen oportunas con la ayuda de herramientas y procesos especializados, La empresa no cuenta con una herramienta
de Business Intelligence que permita la navegación dinámica sobre los datos generados y de soporte necesario
para la toma de decisiones gerenciales.
El sistema utilizado en la empresa cuenta como alojamiento de información una base de datos cuyo diseño está
orientado al almacenamiento de datos, y no a la explotación y tratamiento de la información, los usuarios
La realidad problemática necesitan cada vez mayor cantidad de reportes, analizar datos de distintas fuentes, utilizar estadísticas de las
ventas desde una perspectiva histórica, actual e incluso adquirir la posibilidad de realizar proyecciones de como
Introducción sucederán las ventas en el próximo año, semestre, mes o en la variante de tiempo solicitada.
¿Se podrá implementar una herramienta informática de Business Intelligence para el departamento de ventas
El problema
que mejorará el proceso de toma de decisiones empresariales en la Empresa MASCORONA?
Implementar una Herramienta Informática de Business Intelligence para la toma de decisiones en la empresa
El objetivo general
MASCORONA.
El proyecto de investigación se presenta como una solución tecnológica en la empresa MASCORONA para el
departamento de ventas y ejecutivos siendo ellos los beneficiaros directos, en la toma de decisiones
Sustento teórico
empresariales; con el análisis de ventas en el periodo de tiempo deseado por el usuario, filtrados dinámicos y
generación de reportes de ventas aspectos de vital importancia para el desarrollo económico de la empresa.
Hipótesis No presenta hipótesis.
Utilizar la metodología HEFESTO y SQL Server Data Tools para el desarrollo del Data Warehouse y para el
Desarrollo Diseño de investigación desarrollo de la aplicación la suite de Visual Studio utilizando componentes de DevExpress para la integración
del cubo multidimensional.
Población y muestra Por las características de la investigación no se requiere población y muestra.
Resultados obtenidos Se obtuvo una mejora del 100% con respecto al tiempo de entrega de reportes y acceso a la información.
Realizar un plan de mantenimiento y actualización, para la herramienta de toma decisiones y la infraestructura
Análisis de resultados tecnológica, procedimiento necesario para el correcto funcionamiento del almacén de datos y la herramienta,
debido a su demandante crecimiento en el almacenamiento de datos.
La herramienta producto de esta investigación permite la creación y posterior análisis de los Indicadores Clave
de Rendimiento (KPI´s) para la empresa y alerta de posibles problemas que impactan sobre las ventas, estos
Conclusiones
son modificables y permiten flexibilidad al usuario final. Tal como se evidenció en los tableros de mando
implementados.

25
 SISTEMA WEB PARA LA POTENCIACIÓN DE LA OFERTA LABORAL DE GRADUADOS EN LA FACULTAD
Título de AI
DE INGENIERÍA EN SISTEMAS, ELECTRÓNICA E INDUSTRIAL.
Referencia http://repo.uta.edu.ec/handle/123456789/23461
El presente Proyecto denominado: “Sistema Web para la potenciación de la oferta laboral de graduados en la
Resumen
Facultad de Ingeniería en Sistemas, Electrónica e Industrial.”, consta de cinco capítulos.
La Facultad de Ingeniería en Sistemas, Electrónica e Industrial de la Universidad Técnica de Ambato ubicada
en Huachi Chico, no cuenta con un sistema para la inserción laboral, por lo que se ve inmerso en la necesidad
La realidad problemática de implementar un sistema que fortifique al ámbito laboral a los estudiantes que se encuentran en su fase final,
como es el caso de los recién graduados de la facultad, alcanzando así una inserción continua en el mercado
Introducción laboral, en las empresas vinculadas con la facultad.
¿Se podrá implementar un Sistema Web para potenciación de la oferta laboral de graduados en la Facultad de
El problema
Ingeniería en Sistemas, Electrónica e Industrial?
Implementar un Sistema Web para potenciación de la oferta laboral de graduados en la Facultad de Ingeniería
El objetivo general
en Sistemas, Electrónica e Industrial.
El desarrollo de esta investigación será útil e importante porque sirve de guía para nuevos investigadores, y con
Sustento teórico la ayuda del conjunto de técnicas que se van implementando se darán soluciones más rápidas y eficientes en
la parte social.
Hipótesis No expuesta.
Desarrollo Diseño de investigación Las técnicas a ser utilizadas serán: entrevistas y la observación y Revisión Bibliográfica.
Población y muestra La presente investigación por su característica no requiere población ni muestra, por tal motivo no se aplica.
Resultados obtenidos Se obtuvo que la aplicación es exitosa ya que permite visualizar las diferentes ofertas de trabajo y aplicar a ellos.
Es beneficioso ya que agiliza la búsqueda de trabajo y permite el análisis de información y desempeño laboral
Análisis de resultados
para la toma de decisiones.
En el sistema de bolsa de empleo desarrollado, los estudiantes y graduados pueden visualizar las publicaciones
registradas por parte de las empresas inmersas en el ámbito laboral, dependiendo del área académica; así como
Conclusiones también postular o solicitar entrevistas de trabajo, obteniendo una posibilidad diferente de interactuar con las
mismas obteniendo varios beneficios, y a su vez también ofrece la posibilidad del análisis de información de la
formación académica y desempeño laboral para la toma de decisiones con la malla de estudio en la carrera.

26
 SISTEMA INFORMÁTICO PARA CONTROL Y MONITOREO BASADO EN EL SISTEMA DE CONTROL
Título de AI ANDON PARA MEJORAR EL DESEMPEÑO DE PROCESOS Y CONTROL DE RECURSOS EN LA
MANUFACTURA DE CALZADO DE CUERO.
Referencia http://repo.uta.edu.ec/bitstream/123456789/26223/3/Tesis_t1298si.pdf
Mantener un control continuo de producción dentro del entorno industrial es de suma importancia para cumplir
Resumen los estándares de calidad de los procesos que se llevan a cabo; al mismo tiempo que se obtiene información
continua y precisa de los mismos para el control y corrección de posibles eventualidades.
La industria manufacturera de calzado enfrenta serios problemas como el alto costo de las materias primas, falta
La realidad problemática de mano de obra calificada y la competencia desleal de quienes no cumplen las normas laborales o por el
ingreso de zapatos de contrabando de Perú o Colombia y que luego se etiquetan como hechos en Ecuador.
Introducción ¿Se podrá desarrollar un software informático para controlar y monitorear el desempeño de procesos en la
El problema
manufactura de calzado de cuero?
Desarrollar un software informático para control y monitoreo basado en el sistema de control Andón para
El objetivo general
optimizar el desempeño de procesos y control de recursos en la manufactura de calzado de cuero.
La importancia de la presente investigación radica en implementar un sistema para la optimización operacional
Sustento teórico
en la producción de calzado de cuero en las industrias manufactureras de Tungurahua.
Hipótesis No presenta.
Diseño de investigación Modalidad de campo, aplicada y bibliográfica.
Desarrollo Población y muestra La presente investigación por su característica no requiere población y muestra.
Se aplicó correctamente la aplicación móvil y web, respondiendo bien a las pruebas, estas no arrojaron error
Resultados obtenidos
durante su ejecución.
Se comprobó el correcto funcionamiento tanto de la aplicación móvil como web gracias a las diferentes pruebas
Análisis de resultados
que se sometieron con el fin de encontrar algún defecto o error durante la ejecución de los mismos.
El sistema desarrollado permite mantener un control en tiempo real a la producción permitiendo la detección
Conclusiones oportuna de problemas o inconvenientes dentro de la misma; acortan los tiempos de inactividad gracias a una
reacción inmediata para dar solución a dichos inconvenientes.

27
 Análisis e Implantación de la norma ISO/IEC 27002:2013 para el departamento informático del Gobierno
Título de AI
Autónomo Descentralizado Municipal del Cantón Salcedo
Referencia http://repositorio.uta.edu.ec/jspui/handle/123456789/26537
En el proyecto de investigación se presenta la experiencia obtenida en la aplicación de técnicas a fin de obtener
información acerca de la norma ISO/IEC 27002:2013 en las organizaciones gubernamentales donde el objetivo
Resumen
es desarrollar habilidades que beneficie a la infraestructura tecnológica y humana dentro de la edificación
protegiendo la seguridad de la información.
La evolución de la información, tecnología y métodos para vulnerar sistemas informáticos de los entes
gubernamentales han puesto en alerta a las organizaciones internacionales dedicadas a la seguridad con el fin
La realidad problemática
de proteger la información dentro de estas a través de normas, las organizaciones se encuentran en una etapa,
donde se han generado amenazas.
Introducción
¿Se podrá realizar el análisis y la implantación de la norma ISO/IEC 27002:2013 en el Departamento Informático
El problema
del Gobierno Autónomo Descentralizado Municipal del Cantón Salcedo?
Realizar el análisis y la implantación de la norma ISO/IEC 27002:2013 en el Departamento Informático del
El objetivo general
Gobierno Autónomo Descentralizado Municipal del Cantón Salcedo.
El presente proyecto de implantación de normas ISO, es importante ya que se podrá minimizar los
inconvenientes de la seguridad, que tiene el Departamento de informática del GAD Municipal del Cantón Salcedo
Sustento teórico
al momento procesar información, el beneficiario principal será el GAD Municipal del Cantón Salcedo, los
encargados de los usuarios, ya que tendrá un impacto positivo y eficiente.
Hipótesis No planteada.
Diseño de investigación Investigación documental – bibliográfica.
Desarrollo
Población y muestra La presente investigación no requiere de muestra ya que la población es menor a 100.
No cuenta con políticas claramente definidas acerca de protección de la información, de la misma manera no se
Resultados obtenidos
lleva un control de acceso a los diversos sistemas, servicios y plataformas que se maneja dentro de la institución.
El departamento de sistemas debería establecer de forma correcta las políticas de actuación y manifestarlas
Análisis de resultados para el apoyo y compromiso a la seguridad de la información, publicando y manteniendo políticas de seguridad
en el GAD Municipal del Cantón Salcedo.
Debido a que la tecnología evolucionada a diario, el departamento de sistemas del GAD Municipal del Cantón
Conclusiones Salcedo deberá estar constantemente actualizada en los ámbitos de tecnología, telecomunicaciones y políticas
de seguridad, aplicando procedimientos, documentación y manuales para la estandarización de los procesos.

28
Matriz 02. ANÁLISIS DEL ASPECTO DEL COMPONENTE PRIORIZADO

29

Análisis en seguridad informática y
seguridad de la información
basado en la norma ISO/IEC
Título del artículo 27001-sistemas de gestión de
seguridad de la información
dirigida a una empresa de servicios
financieros.
¿Cómo se podría minimizar los
riesgos de pérdida, daño o
alteración de la información
El problema administrada dentro de la empresa
Credigestion?
Analizar los procesos críticos de
Credigestion respecto a las
gestiones de seguridad
adecuados para garantizar la
confidencialidad, integridad y
El objetivo general
disponibilidad de la información,
mediante la formulación
recomendaciones de seguridad y
controles basados en la norma
ISO/IEC 27001.
A través de controles de seguridad
basados en la norma de ISO/IEC
27001 se establecen mecanismos
Hipótesis adecuados para mitigar riesgos
que se puedan presentar en el uso
de los sistemas de información y
en el manejo de información.
La investigación se realiza de
forma coherente llevando un
proceso coordinado, para que de
esta forma se contribuya a la
interpretación correcta de los
resultados.
Análisis y diseño de un sistema de
gestión de seguridad de información
basado en la norma ISO/IEC 27001:2005
para una empresa de producción y
comercialización de productos de
consumo masivo.
¿Se podrá analizar y diseñar un sistema
de gestión de seguridad de información,
basado en la norma ISO/IEC 27001:2005
para una empresa dedicada a la
producción y comercialización de
alimentos de consumo masivo?
Analizar y diseñar un sistema de gestión
de seguridad de información, basado en
la norma ISO/IEC 27001:2005 para una
empresa dedicada a la producción y
comercialización de alimentos de
consumo masivo.
La investigación no cuenta con
hipótesis.
Para este proyecto y para el producto
final del mismo, que es la
implementación del SGSI, se usara la
metodología del ciclo de Deming (Plan-
Do-Check-Act).
ANÁLISIS Y SOLUCION DE LAS
VULNERABILIDADES DE LA
SEGURIDAD INFORMÁTICA Y CONFIDENCIALIDAD,
SEGURIDAD DE LA INFORMACIÓN DE
UN MEDIO DE COMUNICACIÓN AUDIO-
VISAL.
¿Cómo determinar que los procesos
actuales de seguridad informática y de la
información no son los adecuados para la
organización?
Identificar los procesos de seguridad
informática y de seguridad de la
información actualmente implementados
en la empresa para así auditarlos, hacer
recomendaciones e implementar controles
según el caso.
La mala gestión de los mecanismos
actualmente implementados en SGSI de
empresa no permite cubrir las
necesidades de protección contra
amenazas internas y externas de
seguridad.
La investigación se realizara utilizando
métodos inductivo, deductivo y
observativo.
30
NORMA DE SEGURIDAD INFORMÁTICA ISO
27001 PARA MEJORAR LA
INTEGRIDAD Y PROVOCADO POR EL ATAQUE PHISHING
DISPONIBILIDAD DE LOS SISTEMAS DE
INFORMACIÓN Y COMUNICACIÓN EN EL
DEPARTAMENTO DE SISTEMAS DE LA
COOPERATIVA DE AHORRO Y CRÉDITO
SAN FRANCISCO LTDA.
¿Qué incidencia tiene la Implementación de la
norma de seguridad informática ISO 27001 en
la confidencialidad, integridad y disponibilidad
de los sistemas de información y
comunicación en el Departamento de
Sistemas de la Cooperativa de Ahorro y
Crédito ―San Francisco Ltda.?
Implantar la norma de seguridad informática
ISO 27001 para mejorar la confidencialidad,
integridad y disponibilidad de los sistemas de
información y comunicación en el
Departamento de Sistemas de la Cooperativa
de Ahorro y Crédito ―San Francisco‖ Ltda.
La implantación de la norma de seguridad
informática ISO 27001 mejorará la confianza
en el manejo de los sistemas de información y
comunicación del departamento de sistemas
de la cooperativa.
La investigación se realizó de forma cualitativa
ya que se obtuvo información directa de los
investigados por medio de la aplicación de una
entrevista, gracias a esto se pudo elaborar un
análisis de resultados y proponer alternativas
de solución.
MEDIDAS DE PROTECCIÓN INFORMÁTICA
PARA EVITAR EL ROBO DE IDENTIDAD
“THE TABNABBING ATTACK" PARA LA
FACULTAD DE INGENIERÍA EN SISTEMAS,
ELECTRÓNICA E INDUSTRIAL.
¿De qué manera ayudaría las Medidas de
protección Informática evitar el robo de
identidad provocado por el Ataque Phishing
“The Tabnabbing" en la Facultad de Ingeniería
en Sistemas Electrónica e Industrial?
Desarrollar el manual de las medidas de
protección Informática que evite el robo de
identidad provocado por el Ataque Phishing
“The Tabnabbing" para la Facultad de
Ingeniería en Sistemas Electrónica e
Industrial.
La aplicación de medidas de protección
Informática influirán en la disminución del robo
de identidad provocado por el Ataque Phishing
“The Tabnabbing" en los estudiantes de la
Facultad de Ingeniería en Sistemas
Electrónica e Industrial.
El presente trabajo investigativo tomará un
enfoque Cuali – Cuantitativo.
31

DISEÑO DE UN SISTEMA
DE GESTIÓN DE
SEGURIDAD DE
Título del artículo
INFORMACIÓN PARA
SERVICIOS POSTALES
DEL PERÚ S.A.
¿Se podra diseñar un
sistema de Gestión de
Seguridad de Información
alienado a la normativa
peruana vigente para cubrir
El problema las necesidades de los
procesos institucionales
críticos de una entidad
pública?
Diseñar un sistema de
gestión de seguridad de
información para SERPOST
según lo indicado por la
NTP ISO/IEC 27001:2008 y
El objetivo la NTP-ISO/IEC 17999:2007
general de seguridad de
información.
La investigación no presenta
Hipótesis hipótesis.
La investigación se hará en
base a matrices.
Análisis de Riesgos de la
Seguridad de la Información para
la Institución Universitaria Colegio
Mayor Del Cauca
¿Cómo identificar y tratar los
riesgos que afecten la seguridad
de la información de La
Institución Universitaria Colegio
Mayor del Cauca, con el fin de
definir e implementar a futuro un
Sistema de Gestión de
Seguridad de la Información,
mediante el análisis de riesgos?
Realizar el análisis de riesgos
que permita generar controles
para minimizar la probabilidad de
ocurrencia e impacto de los
riesgos asociados con las
vulnerabilidades y amenazas de
seguridad de la información
existentes en la Institución
Universitaria Colegio Mayor del
Cauca.
La tesis no cuenta con hipótesis.
Investigación aplicada.
DISEÑO E IMPLEMENTACION DE
UN SISTEMA DE GESTION DE
SEGURIDAD DE INFORMACION
EN PROCESOS
TECNOLOGICOS.
¿Se podrá reducir y mitigar los
riesgos de los activos de
información de los procesos que
se encuentran bajo la gerencia de
tecnología de Card Perú S.A. que
ponen en peligro los recursos,
servicios y la continuidad de los
procesos tecnológicos?
Reducir y mitigar los riesgos de los
activos de información de los
procesos que se encuentran bajo
la gerencia de tecnología de Card
Perú S.A. que ponen en peligro los
recursos, servicios y la continuidad
de los procesos tecnológicos.
No presenta.
Análisis de brechas y gestión.
32
SEGURIDAD INFORMÁTICA PARA AUDITORÍA DE LA SEGURIDAD
LA RED DE DATOS EN LA INFORMÁTICA PARA EL HONORABLE
COOPERATIVA DE AHORRO Y GOBIERNO PROVINCIAL DE
CRÉDITO UNIÓN POPULAR LTDA. TUNGURAHUA MEDIANTE LA
METODOLOGÍA OPEN SOURCE
SECURITY TESTING METHODOLOGY
MANUAL
¿Se podrá implementar la seguridad ¿Se podrá realizar una Auditoría de la
informática para la red de datos que Seguridad Informática la cual servirá para
permitirá controlar y administrar la la detección de vulnerabilidades en los
información y los servicios de red? servidores del Honorable Gobierno
Provincial de Tungurahua?
Implementación de seguridad Implementar una Auditoría de la Seguridad
informática para la red de datos en la Informática para el Honorable Gobierno
Cooperativa de Ahorro y Crédito Provincial de Tungurahua mediante la
“Unión Popular Ltda. Metodología Open Source Security Testing
Methodology Manual OSSTMM.
No presenta. No presenta.
La presente investigación se Investigación en Software.
contextualizará en la modalidad de
campo y documental – bibliográfica.
 AUDITORÍA HERRAMIENTA INFORMÁTICA SISTEMA WEB PARA LA SISTEMA INFORMÁTICO PARA Análisis e Implantación de la norma
INFORMÁTICA PARA LA DE BUSINESS INTELLIGENCE POTENCIACIÓN DE LA OFERTA CONTROL Y MONITOREO BASADO ISO/IEC 27002:2013 para el
OPTIMIZACIÓN DEL PARA EL DEPARTAMENTO DE LABORAL DE GRADUADOS EN EN EL SISTEMA DE CONTROL departamento informático del
FUNCIONAMIENTO DE VENTAS EN LA EMPRESA LA FACULTAD DE INGENIERÍA ANDON PARA MEJORAR EL Gobierno Autónomo Descentralizado
LOS SISTEMAS Y MASCORONA. EN SISTEMAS, ELECTRÓNICA E DESEMPEÑO DE PROCESOS Y Municipal del Cantón Salcedo
EQUIPOS INDUSTRIAL. CONTROL DE RECURSOS EN LA
Título del artículo
INFORMÁTICOS DE LA MANUFACTURA DE CALZADO DE
FACULTAD DE CUERO.
INGENIERÍA EN
SISTEMAS,
ELECTRÓNICA E
INDUSTRIAL.
¿Se podrá realizar una ¿Se podrá implementar una ¿Se podrá implementar un ¿Se podrá desarrollar un software ¿Se podrá realizar el análisis y la
Auditoría Informática para herramienta informática de Sistema Web para potenciación informático para controlar y implantación de la norma ISO/IEC
optimizar el funcionamiento Business Intelligence para el de la oferta laboral de graduados monitorear el desempeño de 27002:2013 en el Departamento
El problema de los sistemas y equipos departamento de ventas que en la Facultad de Ingeniería en procesos en la manufactura de Informático del Gobierno Autónomo
informáticos de la Facultad mejorará el proceso de toma de Sistemas, Electrónica e calzado de cuero? Descentralizado Municipal del
de Ingeniería en Sistemas, decisiones empresariales en la Industrial? Cantón Salcedo?
Electrónica e Industrial? Empresa MASCORONA?
Realizar una Auditoría Implementar una Herramienta Implementar un Sistema Web Desarrollar un software informático Realizar el análisis y la implantación
Informática para optimizar Informática de Business para potenciación de la oferta para control y monitoreo basado en de la norma ISO/IEC 27002:2013 en
el funcionamiento de los Intelligence para la toma de laboral de graduados en la el sistema de control Andón para el Departamento Informático del
El objetivo
sistemas y equipos decisiones en la empresa Facultad de Ingeniería en optimizar el desempeño de procesos Gobierno Autónomo Descentralizado
general
informáticos de la Facultad MASCORONA. Sistemas, Electrónica e Industrial. y control de recursos en la Municipal del Cantón Salcedo.
de Ingeniería en Sistemas, manufactura de calzado de cuero.
Electrónica e Industrial.
Hipótesis No presenta. No presenta hipótesis. No expuesta. No presenta. No planteada.
Se realizará una Utilizar la metodología Las técnicas a ser utilizadas Modalidad de campo, aplicada y Investigación documental –
investigación bibliográfica – HEFESTO y SQL Server Data serán: entrevistas y la bibliográfica. bibliográfica.
documental. Tools para el desarrollo del Data observación y Revisión
Warehouse y para el desarrollo Bibliográfica.
de la aplicación la suite de
Visual Studio utilizando
componentes de DevExpress

33
para la integración del cubo
multidimensional.

34