MODELO DE SEGURIDAD DE LA INFORMACIÓN EN TRES CAPAS

(LÓGICA – FISICA - HUMANA)

DIEGO FERNANDO LONDOÑO GONZALEZ

Bibiana Andrea Zuluaga Echeverri

Tutora

CORPORACION UNIVERSITARIA REMINGTON - CAT MANIZALES

INGENIERIA DE SISTEMAS – SEGUNDO SEMESTRE
Manizales, Colombia, 2015
Planeamiento del Problema
 La seguridad es un problema de contexto mundial, y Colombia no es ajena a esta

problemática, la inseguridad o los problemas de seguridad han tocado al ámbito informático

donde se emplean muchas estrategias o métodos para vulnerar sistemas de información o

sencillamente para hacer daños informáticos o a la información de una empresa o usuario, se

toma como referencia un caso ocurrido en enero de 2010, denominado Operación Aurora el cual

demuestra que la vulnerabilidad que se puede dar desde las empresas más grandes hasta las más

pequeñas, llevando a que se pierda información que guarda la inteligencia del negocio reflejada

en la forma de hacer el producto, listas de clientes, traslado de fondos, información privada de las

personas y la empresa, lo que de algún modo genera falta de confianza en una empresa.

Se puede evidenciar que estas dos empresas de la ciudad de Manizales, y las cuales hacen

parte de las PYMES, como se denomina a la pequeñas y medianas empresas, no cuentan con

unos conocimientos previos frente a la seguridad de la información, debido a limitaciones

presupuestales para adquirir elementos tecnológicos que mitiguen el impacto ocasionado por

factores exógenos y/o endógenos, de tal manera que incorporan soluciones parciales que, si bien

sirven ante una posible amenaza, no garantizan que exista una política clara frente al tema de

seguridad.

Sin lugar a duda lo más importante para La Clínica Versalles y Distribuidora Serviexpress, es

su información, la cual se maneja a través de una infraestructura tecnológica donde se realizan

gran cantidad de transacciones y el resultado de estas es almacenada en medios magnéticos y en

algunos casos de forma física, la información se constituye entonces como un activo vital para la

empresa, pues de ella dependen sus actividades diarias.

 Es claro que existe una concientización por parte de la dirección de las empresas frente al

tema de la seguridad de la información, considerando que al él implementar soluciones parciales

garantizan la seguridad y que implementar sistemas de gestión de la seguridad de la información,

representan un gasto de tiempo y dinero, por otra parte lo complejo que resulta implementar un

sistema, no obstante cuando se implementa se tiene como fin último una certificación que tiene

unos costos y que para mantenerla se debe continuar pagando.

Según la norma ISO 27002, el cual es un código de buenas prácticas en el cual propone un

catálogo de controles de seguridad y una guía para la implementación de un sistema de gestión de

seguridad con la información, compuesta por 11 dominios, 39 objetivos de seguridad y 133

controles de seguridad. Algunas empresas del estado como la Policía Nacional, está

implementando SGSI, con el objeto de certificarse en la norma ISO 27001, ya que ISO 27002 no

es certificable.

Tal vez estas dos empresas no estén en condiciones de hacer una implementación de esta

magnitud por todo lo que representa en cuanto a tiempo, personas y costos.

En tal sentido se hace una propuesta consistente en proponer una alternativa denominada

modelo de seguridad de la información en tres capas (Lógica – Física - Humana), que consiste en

una mixtura sintetizada de algunas estrategias de seguridad, al igual que la propuesta del uso de

herramientas gratuitas como apoyo al modelo, lo que hace que este sea de fácil entendimiento,

genere costos mínimos y se cumpla con los principios universales de seguridad con la

información.
 ¿Qué impactos conlleva la aplicación de prácticas de seguridad informática en las áreas de

sistemas de las empresas Clínica Versalles y Distribuidora serviexpress de la ciudad de

Manizales?

OBJETIVOS
 General

Determinar los impactos que conlleva la aplicación de prácticas de seguridad informática en

las áreas de sistemas de las empresas Clínica Versalles y Distribuidora Serviexpress de la ciudad

de Manizales.

Específicos

- Recopilar y analizar, la normatividad y estándares referentes vigentes en seguridad de la

información especialmente la serie ISO 27000 y modelo OSI, que permitan tener fundamentos

sólidos para la implementación del modelo de seguridad de la información.

- Estudiar las necesidades específicas de ambas empresas determinando sus estrategias en

cuanto a su sistema único de información.

- Evaluar los resultados obtenidos con las prácticas de seguridad informática de las

empresas clínica Versalles y Distribuidora Serviexpres.

JUSTIFICACIÓN
 El motivo principal por el cual se está realizando esta investigación, es ver como protegen su

información y que practicas realizan las empresas con respecto a seguridad informática, luego de

mostrarles los conceptos y alcances de este modelo, de su gran utilización a nivel de protección.

Se diseñara un modelo de seguridad con base en tres capas (Lógica – Física - Humana), que

cuente con todos los niveles de seguridad y que sea acorde con las normas ISO 27000,

determinando la corresponsabilidad de cada una de ellas.

Porque sin lugar a duda lo más importante para una empresa es su información, la cual se

maneja a través de una infraestructura tecnológica donde se realizan gran cantidad de procesos

que son almacenados en medios magnéticos o algunos casos de forma física. La información se

constituye entonces como un activo vital para la empresa, pues de ella dependen sus actividades

diarias.

Es claro que apenas existe un poca concientización por parte de la dirección de las empresas

frente al tema de la seguridad de la información, pues consideran que el implementar soluciones

parciales garantizan la seguridad y que el implementar sistemas de gestión de la seguridad de la

información, representan un gasto de tiempo y dinero, por otra parte lo complejo que resulta

implementar un sistema, no obstante cuando se implementa se tiene como fin último una

certificación que tiene unos costos y que para mantenerla se debe continuar pagando.

Presentar los conceptos y alcances del modelo, al personal directivo y técnico de la empresa,

especificando el modelo de seguridad a tres capas (Lógica – Física - Humana), para así tener un
concepto claro sobre los peligros a los cuales se enfrenta su organización en materia de seguridad

de la información más confidencial y que hace parte fundamental de esta.

REFERENTE TEÓRICO
 Para el desarrollo analítico de la teoría existente se busca definir la seguridad de información

como la protección de datos y programas la revelación no autorizada de procedimientos y

normas, la modificación o destrucción, el manejo inadecuado de los datos empresariales y la

violación de normas para proteger una red de acceso no autorizado.

CAPÍTULO I.

ISO (International Organización for Standarization) es el desarrollador y publicador mundial

más grande de estándares internacionales. ISO es una red de institutos de estandarización

nacionales y a nivel mundial, un miembro por país, con una secretaría central en Ginebra, Suiza,

que coordina el sistema.

ISO es una organización no gubernamental que relaciona institutos del sector público y

privado logrando soluciones concertadas que satisfagan los requerimientos de los negocios y la

sociedad y orientada a la creación de normas dirigidas hacia las áreas de productos, servicios,

procesos, materiales y sistemas.

La seguridad de la información, según ISO 27001, consiste en la preservación de su

confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su

tratamiento, dentro de una organización, así pues, estos tres términos constituyen la base sobre la

que se cimienta todo el SGSI de la seguridad de la información, si se cumplen al menos estas tres

propiedades se puede decir que la información está segura.

• Confidencialidad: la información no se pone a disposición ni se revela a individuos,

entidades o procesos no autorizados.

 • Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos

de proceso.

• Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la

misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.

• Para garantizar que la seguridad de la información es gestionada correctamente, se debe

hacer uso de un proceso sistemático, documentado y conocido por toda la organización, desde un

enfoque de riesgo empresarial. Este proceso es el que se conoce como SGSI.

• La seguridad puede entenderse como aquellas reglas destinadas a proteger, prevenir y

guardar todo aquello que es considerado como susceptible a perdida, daño o robo.

Esta norma describe cómo se puede gestionar la seguridad de la información, para este caso en

las empresas Clínica Versalles y distribuidora Serviexpress; teniendo en cuenta que la norma ISO

27001, puede ser implementada en cualquier tipo de organización, con o sin fines de lucro,

privada o pública, pequeña o grande. Está redactada y diseñada por los mejores especialistas del

mundo en el tema seguridad informática y proporciona una metodología para implementar la

gestión de la seguridad de la información en una organización. También permite que una empresa

sea certificada; esto significa que una entidad de certificación independiente confirma que la

seguridad de la información ha sido implementada en esa organización en cumplimiento con la

norma ISO 27001.

ISO 27001 se ha convertido en la principal norma a nivel mundial para la seguridad de la

información y muchas empresas han certificado su cumplimiento; teniendo en cuenta que esta

norma brinda herramientas que permitan proteger el activo más valioso para cualquier empresa u
organización, ya que en esta era tecnológica han aparecido bastantes modalidades delictivas que

tratan de vulnerar la seguridad informática a fin de obtener información privada, para ser

utilizada con otros fines delictivos.

Que Beneficios Se Pueden Esperar Con La Aplicación De La Norma En Una Empresa:

• Reducción considerable de los riesgos que se puedan presentar o afectar la información y

por ende que el nivel de riesgo sea aceptable.

• Cumplimiento de la ley Colombiana: artículo 61 de la constitución política de Colombia,

artículo 270 y 271 Código Penal Colombiano, Ley 23 de 1982, Ley 44 de 1993, Ley 603 de

2000.

• Optimización de recursos.

• Concienciación de la organización en el manejo adecuado de la información.

• Credibilidad y confianza.

ISO 27002

Establece lineamientos y principios generales para Iniciar, Implementar, atener y mejorar el

manejo de la seguridad de la información en la organización, es una guía de buenas prácticas que

describe los objetivos de control y controles recomendables en cuanto a seguridad de la

información.

No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11

dominios.

• Política de seguridad.
 • Aspectos organizativos para la seguridad.

• Clasificación y control de activos.

• Seguridad ligada al personal.

• Seguridad física y del entorno.

• Gestión de comunicaciones y operaciones.

• Control de accesos.

• Desarrollo y mantenimiento de sistemas.

• Gestión de incidentes de seguridad de la información.

• Gestión de continuidad de negocio.

• Conformidad.

De acuerdo con whitten (1995)

Garantizar que los recursos informáticos de una compañía estén disponibles para cumplir sus

propósitos, es decir, que no estén dañados o alterados por circunstancias o factores externos, es

una definición útil para conocer lo que implica el concepto de seguridad informática.

En términos generales, la seguridad puede entenderse como aquellas reglas técnicas y/o

actividades destinadas a prevenir, proteger y resguardar lo que es considerado como susceptible

de robo, pérdida o daño, ya sea de manera personal, grupal o empresarial.

En este sentido, es la información el elemento principal a proteger, resguardar y recuperar

dentro de las redes empresariales. (p.13)

 Es resguardar la información o aplicaciones de la empresa dentro de otro sistema, lo cual se

puede llevar a cabo con backups de información susceptible de robo por medios externos o

internos dependiendo del grado de seguridad.

En base a Mediavilla Manual (1998)

Dentro de las funciones que se refieren a la seguridad informática tenemos:

• Planear y establecer estrategias de seguridad informática de acuerdo a lineamientos

principios y necesidades institucionales.

• Contar con un sistema de información estadístico para dar seguimiento a los proyectos y

planes de acción con el fin de garantizar dentro de la institución su implantación control y

seguimiento.

• Definir, elaborar, liberar, difundir y actualizar políticas y normas de seguridad informática

que permitan a las áreas de la organización implantar y fortalecer mecanismos de protección de la

información.

• Realizar campañas de capacitación, Difusión y concientización que eleven el nivel de

recepción, entendimiento y conocimiento del personal en general sobre la materia.

• Realizar diagnósticos y evaluaciones de seguridad informática para identificar y minimizar

los riesgos en los diferentes niveles funcionales, operativos y de sistema.

• Mantener la actualización sobre los avances tecnológicos en este campo, con el fin fortalecer

esquemas de protección en la organización. (p.102)

Las funciones de la seguridad informática establecen que se deben tener estrategias ante la

vulnerabilidad de los datos, se debe contar con una serie de procedimientos y prácticas que
permitan la difusión y capacitación de los usuarios ante los riesgos operativos y sistemáticos que

conllevan a la perdida de datos.

Mínimo Privilegio

Este es uno de los principios más fundamentales de seguridad. La estrategia consiste en

conceder a cada objeto (usuario, programa, sistema, etc) solo aquellos permisos o privilegios que

son necesarios para realizar las tareas que se programó para ellos. El tipo de objeto al cual se

apliquen los permisos determinará la granularidad de la seguridad obtenida.

Esta estrategia permite limitar la exposición a ataques y limitar el daño causado por ataques

particulares. Está basada en el razonamiento de que todos los servicios ofrecidos por una red

están pensados para ser utilizados por algún perfil de usuario en particular, y no que todos los

usuarios pueden utilizar todos los servicios de la red. De esta forma es posible reducir los

privilegios requeridos para varias operaciones sin afectar al servicio prestado a los usuarios de la

red.

Muchas soluciones utilizadas en la protección de un sitio utilizan técnicas para implementar

una estrategia de mínimo privilegio, como es el caso de los sistemas de filtrado de paquetes, que

solo permiten el paso de paquetes únicamente para los servicios deseados.

Esta estrategia es difícil de implementar cuando no está prevista como una característica de

diseño en los programas y protocolos que estén siendo utilizados. Debe tenerse cuidado en

asegurarse si realmente se está logrando implementar esta estrategia. En cualquier caso, es

posible que se termine por implementar algo menos que el mínimo privilegio, o mucho más. Esta

consideración está relacionada con el objeto sobre el cual se aplica la restricción, es decir la

granularidad de la protección. Por ejemplo, aplicar la restricción sobre los usuarios, puede

restringir el uso de servicios que fueron pensados para todos los usuarios.

Para cada servicio debe establecerse cuidadosamente el objeto y las restricciones que se le

aplican.

Defensa En Profundidad

Una sola capa defensiva para toda la red pudiera llegar a ser tan fuerte como se quisiera, pero

con la perdida de una frontera definida en la red, esa capa sigue siendo necesaria para proteger

contra amenazas provenientes desde el exterior por el canal principal de comunicaciones, pero ya

no es suficiente para enfrentar las amenazas que pueden o ya han logrado ingresar por los canales

alternos que se han formado, muchos de estos a veces sin tenerlos previstos por los

administradores.

Para una efectiva protección contra las múltiples amenazas que pudieran presentarse desde

cualquier punto de entrada a la red, se asume que toda la red corporativa ya no es una sola

unidad, sino que está compuesta de varios segmentos y sub-segmentos con objetivos operativos

bien determinados y por lo tanto con riesgos y amenazas de seguridad específicos que requieren

del establecimiento de mecanismos de protección adecuados para cada uno de ellos.

 De esta manera, al establecer protecciones sobre los segmentos y grupos de segmentos, se

estarán formando capas de protección una sobre la otra, donde se apoyaran mutuamente

amplificando la capacidad de protección al quedar las debilidades de una capa de una cubiertas

por las fortalezas de la capa que le sigue , y así, si un elemento hostil llega a derrotar una

protección, existe una gran probabilidad de que el ataque quede anulado, reducido o al menos se

gane tiempo para actuar con la protección que brinda la capa siguiente.

Esta estrategia para la colocación de las defensas es conocida como Defensa en Profundidad y

tiene su origen en el mundo militar, donde desde el punto de vista del atacante, las barreras que

tiene que cruzar para llegar a su objetivo ya no solo se encuentran a lo largo del frente de batalla,

sino también en lo profundo del área enemiga.

Punto De Ahogo (Acceso)

Esta estrategia consiste en depender de un único punto de acceso a la red privada para todas

las comunicaciones entre ésta y la red pública. Ya que no existe otro camino para el tráfico de

entrada y salida, los esfuerzos de control y mecanismos de seguridad se centran y simplifican en

monitorear un solo sitio de la red.

Esta estrategia se considera como una solución “todo en uno”. Como consecuencia, uno de los

problemas que presenta es que si un atacante es capaz de traspasar la seguridad de este único

punto del acceso tendrá acceso a todos los recursos de la red. Esta situación puede ser tratada

utilizando mecanismos de protección redundantes y reforzar la seguridad de dicho punto.

 Adicionalmente, otro de los inconvenientes que puede provocar esta estrategia, es que pueden

producirse bajas en el desempeño de la comunicación de la red con el exterior, si se ve superada

la capacidad del punto de acceso de registrar los sucesos y controlar todo el tráfico de entrada y

salida.

En muchas soluciones este punto de acceso es implementado por un firewall perimetral por lo

que éste debe tener la capacidad de procesar todo el tráfico que por él pase sin afectar en gran

medida el desempeño de las comunicaciones.

El Enlace más Débil

Esta estrategia responde a un principio de seguridad que, aplicado a redes, establece que un

sitio es tan seguro como lo es su enlace más débil. Este enlace suele ser el objetivo de los ataques

a la privacidad de una red.

El objetivo de esta estrategia es identificar aquellos enlaces débiles de acceso a la red privada

y tratar de eliminarlos, reforzarlos y/o monitorearlos. Aunque no por esto debe restarse

importancia a la seguridad de otros aspectos de la red.

De todas formas, siempre habrá algún enlace que será más débil que todos, la idea que ese

enlace debe ser lo suficientemente seguro en proporción al riesgo que implica que sea vulnerado.

ESTRATEGIA METODOLÓGICA
Tipo de Investigación

El enfoque en que se va a basar la investigación en estas dos empresas es Cualitativo porque

se va a tratar un tema muy significativo como es la seguridad informática, en donde se pretende

indagar al interior de la empresas, (cuales son las herramientas y/o métodos utilizados para la

seguridad informática), ya que se requiere implementar en una primera fase, la recolección de

información para su posterior análisis y diagnóstico inicial. Por ello las técnicas que se utilizaran

para el levantamiento de la información se tienen las entrevistas de forma personal con las

directivas y los empleados encargados de la seguridad informática y soporte técnico, con el fin de

conocer más a fondo que metodologías se encuentran utilizando para proteger la información

frente a todas las modalidades delictivas que existen actualmente en nuestro entorno laboral. Por

medio de este enfoque se pretende dar a conocer si existe algún problema de seguridad, y si

después de finalizada la investigación, reunir cuales son las falencias encontradas en cada uno de

los procesos que manipulen información y que por ende se convierten en un riesgo que puede ser

materializado si no se toman acciones de mejora de manera inmediata.

Posteriormente se procederá a citar a los directivos de las empresas, y funcionarios

encargados de la protección de la información, con el fin de socializar los resultados obtenidos

durante la etapa e recolección de información; a fin de brindar asesoría y ofrecer alternativas de

solución necesarias para proteger uno de los activos más importantes para estas empresas

(Información), donde se pretende ofrecer una propuesta para la implementación un sistema de

seguridad informática en tres capas (Lógica – Física - Humana), basada en la normas

internacionales ISO 27000.

Unidad de Análisis y Unidad de Trabajo

La unidad de Análisis que va a desarrollarse en esta investigación es el estudio de las técnicas

utilizadas para la seguridad informática, por parte de los empleados de las empresas Distribuidora

Serviexpress y Clínica Versalles; los cuales son las Unidades de Trabajo tomadas como

instrumento de medición donde finalmente se desarrollara la investigación que tiene como

objetivo principal demostrar cómo estas dos organizaciones están afrontando todas las

modalidades delictivas frente a la seguridad informática, la cual cada día se hace más vulnerable,

sin importar cual sea el tipo de empresa, ya que el objetivo principal de la delincuencia es

vulnerar los sistemas de seguridad informática, a fin de abrir brechas que faciliten la fuga de

información.

Técnicas e Instrumentos

Las técnicas que se implementaran en la investigación de la seguridad informática, son

primero realizar visitas a las instalaciones de ambas empresas, donde se pretende observar e

identificar cuáles son los elementos de protección físicos utilizados e implementados para la

seguridad de la información; una vez finalizado este paso, se pretende realizar un levantamiento

de información, para analizar y diagnosticar problemáticas en el tema de seguridad de

información, donde se procederá a realizar entrevistas a todos los directivos y designados para la

protección de la información en las empresas Distribuidora Serviexpress y Clínica Versalles a

través de una serie instrumentos empleados para esta investigación, como son los cuestionarios

con un número máximo de 10 preguntas abiertas, el cual nos ayudara a identificar cuales son los

conocimientos y prácticas aplicadas frente a la protección de la información en las dos empresas.

FASES DE INVESTIGACIÓN
Fase Uno: Fundamentación Teórica

Norma ISO 27001

La seguridad de la información, según ISO 27001, consiste en la preservación de su

confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su

tratamiento, dentro de una organización.

ICONTEC. (2006). NORMA TÉCNICA NTC-ISO/IEC 27001.

Norma ISO 27002

Establece lineamientos y principios generales para Iniciar, Implementar, atener y mejorar el

manejo de la seguridad de la información en la organización, es una guía de buenas prácticas que

describe los objetivos de control y controles recomendables en cuanto a seguridad de la

información; esta norma no es certificable. Contiene 39 objetivos de control y 133 controles,

agrupados en 11 dominios.

ICONTEC. (2006). NORMA TÉCNICA NTC-ISO/IEC 27002

De acuerdo con whitten (1995)

Garantizar que los recursos informáticos de una compañía estén disponibles para cumplir sus

propósitos, es decir, que no estén dañados o alterados por circunstancias o factores externos, es

una definición útil para conocer lo que implica el concepto de seguridad informática.

En base a Mediavilla Manual (1998)

 Las funciones de la seguridad informática establecen que se deben tener estrategias ante la

vulnerabilidad de los datos, se debe contar con una serie de procedimientos y prácticas que

permitan la difusión y capacitación de los usuarios ante los riesgos operativos y sistemáticos que

conllevan a la perdida de datos.

Mínimo Privilegio

Este es uno de los principios más fundamentales de seguridad. La estrategia consiste en

conceder a cada objeto (usuario, programa, sistema, etc) solo aquellos permisos o privilegios que

son necesarios para realizar las tareas que se programó para ellos. El tipo de objeto al cual se

apliquen los permisos determinará la granularidad de la seguridad obtenida.

Aaron Clemente Lacayo Arzú, Análisis e Implementación de un esquema de Seguridad en

Redes.

Defensa En Profundidad

Una sola capa defensiva para toda la red pudiera llegar a ser tan fuerte como se quisiera, pero

con la perdida de una frontera definida en la red, esa capa sigue siendo necesaria para proteger

contra amenazas provenientes desde el exterior por el canal principal de comunicaciones, pero ya

no es suficiente para enfrentar las amenazas que pueden o ya han logrado ingresar por los canales

alternos que se han formado, muchos de estos a veces sin tenerlos previstos por los

administradores.

Aaron Clemente Lacayo Arzú, Análisis e Implementación de un esquema de Seguridad en

Redes.
 Punto De Ahogo (Acceso)

Esta estrategia consiste en depender de un único punto de acceso a la red privada para todas

las comunicaciones entre ésta y la red pública. Ya que no existe otro camino para el tráfico de

entrada y salida, los esfuerzos de control y mecanismos de seguridad se centran y simplifican en

monitorear un solo sitio de la red.

Aaron Clemente Lacayo Arzú, Análisis e Implementación de un esquema de Seguridad en

Redes.

El Enlace más Débil

Esta estrategia responde a un principio de seguridad que, aplicado a redes, establece que un

sitio es tan seguro como lo es su enlace más débil. Este enlace suele ser el objetivo de los ataques

a la privacidad de una red.

Aaron Clemente Lacayo Arzú, Análisis e Implementación de un esquema de Seguridad en

Redes.

Fase Dos: Diseño de Instrumentos

Las técnicas que se utilizaran en el desarrollo de esta investigación, serán la observación

mediante visitas programadas a las instalaciones de la Clínica Versalles y Distribuidora

Serviexpress, a fin de realizar un levantamiento de información, en cuanto a los procesos y

procedimientos utilizados para proteger la información.

 Seguidamente se desarrollara dos tipos de cuestionarios, el primero para directivos y personas

con conocimiento básicos en seguridad informática, y el otro será dirigido a las personas que

conforman las otras dependencias administrativas, pero que de otra forma manipulan y tienen

acceso a la información. La aplicación de esta herramienta con el fin de medir que

conocimientos tienen en esta temática y que metodologías utilizan para proteger este activo de las

empresas.

Fase tres: Aplicación de Instrumentos

En la investigación se van aplicaran dos cuestionarios estructurados de 10 preguntas abiertas,

dirigido a 40 personas (Directivos - administrativos - funcionarios del área de sistemas), de las

dos organizaciones. Y el tiempo que se requiere para la aplicación de este instrumento será de 30

minutos, en un auditorio coordinado acondicionado para que todos puedan asistir el día en que se

realice este evento.

Fase cuatro: Sistematización y Análisis de Información

La sistematización de la información que se recolecte con las herramientas diseñadas para esta

investigación, será insertada en un software para análisis cualitativo llamado ATLAS.TI 7, ya

que permite ser utilizado con una versión de prueba, y después de realizar algunas pruebas con

este software, resulto siendo una aplicación muy útil y que se ajustan a las necesidades para el l

desarrollo de la investigación, ya que los resultados que se obtienen allí son muy cercanos a las

expectativas esperadas, de acuerdo un análisis preliminar con todas las técnicas e instrumentos

realizados en la ejecución de la investigación.

Fase Cinco: Construcción del informe final y socialización de resultados

Para la construcción del informe final, se tomaran todos los soportes necesarios de acuerdo a

los resultados obtenidos en la recolección y análisis de información por medios de las siguientes

herramientas así:

• Métodos de observación.

• Cuestionarios

• Software ATLAS.TI 7, diseñado para análisis cualitativo de información.

Estos serán digitados de manera cronológica en un informe final, donde queden plasmados

todos los resultados obtenidos; posterior a la elaboración de esté, se citara a una junta

extraordinaria entre los Directivos y los encargados del área de sistemas de las empresas Clínica

Versalles y Distribuidora Serviexpress, donde se pretende realizar una presentación en la

aplicación prezi de lo que fue el paso a paso del desarrollo de la investigación, con todos los

resultados obtenidos, explicando de manera detallada cada uno de las fallas y riesgos que se

encuentren al interior de las empresas en cuanto a lo que tiene que ver en seguridad informática,

pretendiendo con esto generar la necesidad de implementar un sistema de seguridad en 3 capas

(lógico – Físico - Humano) .

CRONOGRAMA

Mes Mes Mes Mes Mes Mes Mes Mes Mes

 Actividad 1 2 3 4 5 6 7 8 9

Fundamentación X X

teórica

Construcción y

validación de los
X
instrumentos

Recolección y análisis

de la información
X X X

Sistematización y

análisis e interpretación
X X
de información

Construcción del

informe final y
X
socialización de

resultados

Este cronograma está diseñado para ser desarrollado y ejecutado durante 9 meses, que se

contaran a partir de su revisión y aprobación.

REFERENCIAS BIBLIOGRÁFICAS
 Aaron, L. A, (2005). Análisis e Implementación de un esquema de Seguridad en Redes para

las Instituciones de Educación superior, Mexico DF. Universidad de Colima, recuperado de

http://www.cujae.edu.cu/eventos/convencion/cittel/Trabajos/CIT052.pdf.

Edwars, D. (1989). Ciclo de Deming. Madrid. Díaz de Santos. ICONTEC. (2006). NORMA

TÉCNICA NTC-ISO/IEC 27001.Bogota DC, recuperado de

http://intranet.bogotaturismo.gov.co/sites/intranet.bogotaturismo.gov.co/files/file/Norma.%20NT

C-ISO-IEC%2027001.pdf.

Maiwald, E. (2005). Fundamentos de seguridad en redes. México DF. McGraw-Hill.

Portantier,F.(2012).Seguridad Informatica.Buenos Aires.Fox Andina.

Rosales, U. G. (2002). Estrategias para la seguridad de la información. La paz Bolivia.

Yanapti.

Sampiere, H. R, (2014). Metodologia de la invstigacion. Mexico DF. Mexico.Alianza.