Descargar

Seguridad informática y de la información en Grupo Plasencia Tabacos Honduras (página 4)


Partes: 1, 2, 3, 4

  • 12. advertir, y capacitar a los empleados sobre la ingeniería social que es de los métodos más utilizados para obtener información privilegiada,

  • 13. también los usuarios no deberían andar escribiendo claves de su computadora, un sistema o correo electrónico en papelitos y pegarlos en el escritorio o en el monitor.

  • 14. entre otras recomendaciones se podría dividir el departamento de informática en varios sub departamentos por ejemplo: (Desarrollo o programación, base de datos, administrador de red, administrador de seguridad, soporte técnico y mantenimiento, etc.),

  • 15.  implementación de un sistema de detección de incendios dentro de la empresa,

  • 16. un plan en caso de inundaciones,

  • 17.  capacitación al personal en el uso de antivirus ya que aunque se compre originales con licencia y se actualicen por parte de soporte técnico de poco o nada serviría si los usuarios no escanean su computadora o memorias USB al conectarlas a la maquina y los usuarios de la empresa no tienen este habito,

  • 18. El personal debe evitar descargar información o software de sitios pocos confiables preferiblemente mejor pagar por el software,

  • 19.  identificar las oficinas por el departamento que les corresponden,

  • 20. los empleados deben estar identificados de acuerdo a su puesto y departamento, y las visitas debidamente identificadas,

  • 21.  implementación de sistema biométricos o tarjeta inteligente en el acceso a la sala de servidores,

  • 22.  evitar subcontratar personal para trabajos de informática (al menos que no esté al alcance del personal),

  • 23. capacitar mas al personal de las empresas de las fincas principalmente en el paquete de Office,

  • 24. contar con un inventario de computadoras, medios de almacenamiento, computadoras portátiles, etc. Para tener un control de las características con las que cuenta la computadora y evitar robos (como disco duros o memorias con información),

  • 25. Instalación de un servidor de seguridad y su manejo atraves de ISA SERVER, para un mejoramiento más adecuado de la seguridad.

  • 26.  no dar permisos totales en los documentos y carpetas compartidas (a menos que sea necesario), en el área de programación evitar que el código fuente de alguna aplicación o sistema que se esté programando llegue a manos de personas que no sean el jefe de informática y la gerencia que finalmente son los únicos que pueden llegar a tener acceso.

  • Estas han sido más recomendaciones que ya se habían mencionado en el documento y que aquí se tocan rápidamente y como ya dije la empresa puede tomarlas en cuenta, y no quiero que se tome que yo estoy pidiendo a la empresa hacer lo que yo digo simplemente estoy dictando los pasos o normas a seguir para cada una de las recomendaciones que tienen base en las fuentes consultados no se tendría que hacer porque yo como estudiante lo digo, o porque la Universidad lo dice, o porque mis catedráticos lo dijeron, si no por normas y procedimientos que se siguen internacionalmente y la empresa pueda ser certificadas por ejemplo (con normas ITIL o normas ISO), la empresa ha avanzado en los últimos años en tecnología y en seguridad pero hay muchas cosas en que se pueden avanzar, pero sin el apoyo de la gerencia y de los socios y propietarios de la empresa no se pueden lograr. Toda la empresa tiene que estar comprometida ya que la información es uno o el punto más importante de una empresa y a nivel mundial así es la información es el objeto de mayor valor para las empresas.

    La empresa puede perder miles o millones de lempiras si se perdiera información, cuentas por pagar a proveedores, cuentas por cobrar por venta de tabaco, maíz, limones o ganado, pagos de planillas, etc. Y en caso de un incendio o un desastre que perdiera totalmente la información, se sufriera perdida en el servidor y en caso de no recuperar la información esto puede traer fatales consecuencias, que con este estudio pretenden evitarse.

    La empresa debe valorar un estudio de la Universidad de Texas en el que demuestra que solo el 6% de las empresas que sufren un desastre informático sobreviven, el otro 94% tarde o temprano desaparece.

    VII

    Marco Metodológico y referencial

    Marco Metodológico

    Tipo De Investigación

    Descriptiva

    Diseño de la investigación

    El diseño de la investigación, es de tipo no experimental, ya que en este estudio no se manipulan las variables, la cual se lleva a cabo por una entrevista, para encontrar uno o varios factores que determinan la causa de la falta de seguridad de la información y las vulnerabilidades que puedan haber, porque también hay muchos aciertos en la empresa. El instrumento para la recolección de datos está estructurado con preguntas escritas que debe responder el entrevistado.

    Marco Referencial

    Servidor: En informática, un servidor es un nodo que forma parte de una red, provee servicios a otros nodos denominados clientes.

    Biometría: es una tecnología que realiza mediciones en forma electrónica, guarda y compara las características únicas para la identificación de personas.

    La Nube: es un paradigma que permite ofrecer servicios de computación a través de Internet.

    Centro de datos: en la empresa Clasificadora de Exportadora de Tabaco, un centro de datos se refiere a una oficina con varias computadoras en la que los usuarios ingresan información al sistema de la empresa. Hay un centro de datos en cada empresa del grupo Plasencia.

    Data Center o área de servidores: es el área o la habitación donde se encuentran los servidores y que debe estar a una temperatura bastante fría acondicionada ya que los servidores nunca se apagan, y el acceso deber ser restringido para personas que no sean del área informática.

    UPS: Un UPS es una fuente de suministro eléctrico que posee una batería con el fin de seguir dando energía a un dispositivo en el caso de interrupción eléctrica.

    Swich: es un dispositivo digital lógico de interconexión de redes de computadoras que opera en la capa de enlace de datos del modelo OSI.

    Router: es un dispositivo que proporciona conectividad a nivel de red o nivel tres en el modelo OSI.

    Red: Una red informática está formada por un conjunto de ordenadores intercomunicados entre sí que utilizan distintas tecnologías de hardware/software.

    Cifrado: El cifrado es un método que permite aumentar la seguridad de un mensaje o de un archivo mediante la codificación del contenido, de manera que sólo pueda leerlo la persona que cuente con la clave de cifrado adecuada para descodificarlo.

    Sistema: es un conjunto de partes o elementos organizados y relacionados que interactúan entre sí para lograr un objetivo. Los sistemas reciben (entrada) datos, energía o materia del ambiente y proveen (salida) información, energía o materia.

    Redes de comunicación: es básicamente un conjunto o sistema de equipos informáticos conectados entre sí, por medio de dispositivos físicos que envían y reciben impulsos eléctricos, ondas electromagnéticas o cualquier otro medio para el transporte de datos con la finalidad de compartir datos, información, recursos y ofrecer servicios.

    Bits: Un bit es un dígito del sistema de numeración binario.

    Bytes: es una unidad de información utilizada como un múltiplo del bit.

    Binario: es un sistema de numeración en el que se utiliza solamente las cifras cero y uno (0 y1).

    Software: Se conoce como software al equipamiento lógico o soporte lógico de un sistema informático, el que comprende el conjunto de los componentes lógicos necesarios que hacen posible la realización de tareas específicas, en contraposición a los componentes físicos que son llamados hardware.

    Hardware: se refiere a todas las partes tangibles de un sistema informático; sus componentes son: eléctricos, electrónicos, electromecánicos y mecánicos. Son cables, gabinetes o cajas, periféricos de todo tipo y cualquier otro elemento físico involucrado; contrariamente, el soporte lógico es intangible y es llamado software.

    Periférico: se denomina periféricos a los aparatos y/o dispositivos auxiliares e independientes conectados a la unidad central de procesamiento de una computadora.

    Unidad central de procesamiento: o simplemente el procesador o microprocesador, es el componente principal del ordenador y otros dispositivos programables, que interpreta las instrucciones contenidas en los programas y procesa los datos.

    Aplicaciones: una aplicación es un tipo de programa informático diseñado como herramienta para permitir a un usuario realizar uno o diversos tipos de trabajos. Esto lo diferencia principalmente de otros tipos de programas como los sistemas operativos (que hacen funcionar al ordenador), las utilidades (que realizan tareas de mantenimiento o de uso general), y los lenguajes de programación (con el cual se crean los programas informáticos).

    Base de datos: es un conjunto de datos pertenecientes a un mismo contexto y almacenados sistemáticamente para su posterior uso.

    Mainframes: es una computadora grande, potente y costosa usada principalmente por una gran compañía para el procesamiento de una gran cantidad de datos; por ejemplo, para el procesamiento de transacciones bancarias. Por lo general ya no se utilizan.

    Enrutadores: es lo mismo que el Router y también se le conoce como en caminador de paquetes.

    Contraseña: es una cadena de caracteres que se puede usar para iniciar sesión en un equipo y obtener acceso a archivos, programas y otros recursos.

    Estándar: Son normas y protocolos internacionales que deben cumplir productos o servicios de cualquier índole para su distribución y consumo por el cliente final.

    Configuración: es un conjunto de datos que determina el valor de algunas variables de un programa o de un sistema Operativo, estas opciones generalmente son cargadas en su inicio y en algunos casos se deberá reiniciar para poder ver los cambios, ya que el programa no podrá cargarlos mientras se esté ejecutando, si la configuración aún no ha sido definida por el usuario (personalizada), el programa o sistema cargará la configuración por defecto (predeterminada).

    Sistema de respaldo: Un sistema de respaldo, copia de seguridad o Backup (su nombre en inglés) es una copia de seguridad – o el proceso de copia de seguridad – con el fin de que estas copias adicionales puedan utilizarse para restaurar el original después de una eventual pérdida de datos.

    Usuarios: es aquella persona que usa y maneja algo.

    Tecnología: es el conjunto de conocimientos técnicos, ordenados científicamente, que permiten diseñar y crear bienes y servicios que facilitan la adaptación al medio ambiente y satisfacer tanto las necesidades esenciales como los deseos de la humanidad.

    Comunicación: es el proceso mediante el cual se puede transmitir información de una entidad a otra.

    Técnico: Que conoce muy bien los procedimientos de una ciencia, un arte o un oficio y los lleva a la práctica con especial habilidad.

    Backup: es el nombre en ingles de copia de seguridad.

    Administrador de red: administrador de red, especialista de red y analista de red se designan a aquellas posiciones laborales en las que los ingenieros se ven involucrados en redes de computadoras, o sea, las personas que se encargan de la administración de la red.

    Cintas magnéticas: es un tipo de medio o soporte de almacenamiento de datos que se graba en pistas sobre una banda plástica con un material magnetizado, generalmente óxido de hierro o algún cromato.

    Discos duro: es un dispositivo de almacenamiento de datos no volátil que emplea un sistema de grabación magnética para almacenar datos digitales.

    No volátil: es un tipo de memoria cuyo contenido de datos almacenados no se pierde aún si no esté energizada.

    Memoria: se refiere a parte de los componentes que integran una computadora. Son dispositivos que retienen datos informáticos durante algún intervalo de tiempo.

    Magnetización: la magnetización aparece cuando se aplica un campo magnético a un cuerpo

    Estática: La electricidad estática se produce cuando se rompe el equilibrio entre las cargas positivas y negativas de los átomos que componen los cuerpos

    Fibra óptica: La fibra óptica es un medio de transmisión empleado habitualmente en redes de datos; un hilo muy fino de material transparente, vidrio o materiales plásticos, por el que se envían pulsos de luz que representan los datos a transmitir.

    Ondas de radio: Las ondas de radio son un tipo de radiación electromagnética. Una onda de radio tiene una longitud de onda mayor que la luz visible. Las ondas de radio se usan extensamente en las comunicaciones.

    WAP: son las siglas de Wireless Application Protocol (protocolo de aplicaciones inalámbricas), un estándar seguro que permite que los usuarios accedan a información de forma instantánea a Través de dispositivos inalámbricos como PDAs, teléfonos móviles, buscas, walkie-talkies y teléfonos inteligentes (Smartphone).

    Encriptación: es el proceso para volver ilegible información considerada importante. La información una vez encriptada sólo puede leerse aplicándole una clave.

    Criptografía: se encarga del estudio de los algoritmos, protocolos (se les llama protocolos criptográficos) y sistemas que se utilizan para proteger la información y dotar de seguridad a las comunicaciones y a las entidades que se comunican.

    Actualizaciones: Una actualización es una revisión o reemplazo completo del software que está instalado en un equipo.

    Password: Una contraseña o Password es una serie secreta de caracteres que permite a un usuario tener acceso a un archivo, a un ordenador, o a un programa.

    Autenticación: es el acto de establecimiento o confirmación de algo (o alguien) como auténtico.

    Sistema informático: Un sistema informático como todo sistema, es el conjunto de partes interrelacionadas, hardware, software y de recurso humano que permite almacenar y procesar información.

    Dominio: es una red de identificación asociada a un grupo de dispositivos o equipos conectados a la red Internet.

    Servidor de correo: es una aplicación de red ubicada en un servidor en internet, cuya función es parecida al Correo postal tradicional, sólo que en este caso lo que se maneja son los correos electrónicos (a veces llamados mensajes o e-mails), a los que se hace circular a través de redes de transmisión de datos.

    POP3: En informática se utiliza el Post Office Protocol (POP3, Protocolo de Oficina de Correo o "Protocolo de Oficina Postal") en clientes locales de correo para obtener los mensajes de correo electrónico almacenados en un servidor remoto.

    Protocolo: Uno o un conjunto de procedimientos destinados a estandarizar un comportamiento humano u sistémico artificial frente a una situación específica.

    IMAP: Internet Message Access Protocol, o su acrónimo IMAP, es un protocolo de aplicación de acceso a mensajes electrónicos almacenados en un servidor.

    Hacker: Gente apasionada por la seguridad informática. Esto concierne principalmente a entradas remotas no autorizadas por medio de redes de comunicación como Internet ("Black hats"). Pero también incluye a aquellos que depuran y arreglan errores en los sistemas.

    Cracker: El término cracker (del inglés crack, romper) se utiliza para referirse a las personas que rompen algún sistema de seguridad. Los crackers pueden estar motivados por una multitud de razones, incluyendo fines de lucro, protesta, o por el desafío.

    Academia Latinoamericana de seguridad informática: es un programa educativo que tiene como objetivo la formación de líderes en Seguridad Informática, que ayuden a crear un ecosistema seguro, aprobados en una cultura que considere los tres pilares fundamentales de la seguridad: Personas, Procesos y Tecnología; brindándoles las herramientas necesarias para poder lograr sus objetivos individuales y los de sus empresas.

    Administrador de seguridad: se refiere a un profesional, Ingeniero en sistemas o licenciado en informática encargado de la seguridad informática de una empresa.

    VIII

    Análisis, Técnicas e información de la investigación

    Análisis de la demanda de la investigación

    Necesidad detectada atraves de los hallazgos obtenidos durante la realización de la práctica profesional supervisada, se puede mencionar los siguientes:

    • Falta de capacitación y concientización del personal en el tema de seguridad informática

    • Instalaciones no adecuadas para el servidor

    • Falta de sistema de alarmas y sistemas contra incendios

    • No hay sistemas de control de acceso a áreas criticas

    • No se ha hecho un análisis de riesgos y tampoco se cuenta con un plan de contingencias esto y lo anterior dicho debido a que no se ha creado un departamento de seguridad dentro del mismo departamento de seguridad informática y no se ha asignado a una persona a encargarse de velar por la seguridad de la información dentro de la empresa.

    Estos aspectos convierten a "cómo mejorar la seguridad informática en Clasificadora y Exportadora de Tabaco S.A." en una demanda potencial insatisfecha, pues la empresa no cuenta con puntos como los anteriores.

    Población y Muestra

    La investigación sobre "cómo mejorar la seguridad informática de la empresa Clasificadora y Exportadora de Tabaco S.A." se encuentra dirigida a un total aproximado de 38 empleados solo en Clasificadora Y Exportadora de Tabaco S.A que es a la empresa que está dirigido este estudio y tomando en cuenta a las demás empresas del grupo serian entre unos 45 a 50 empleados que manejan información solamente en computadoras, hay que recordar que aparte de esta cantidad de empleados que manejan esta información por computadoras, hay otra cantidad más de empleados que manejan información a mano que también la empresa debe buscar proteger. Estos números también son del Grupo de empresas de Plasencia en Honduras, pero en Nicaragua hay otras empresas y mas usuarios que manejan información y están conectados y se transmiten información con estas empresas de Honduras.

    Grafico de empleados por sucursales

    edu.red

    Presupuesto Asignado de TI a la seguridad Informática

    edu.red

    Técnicas e Instrumentos de recolección de datos:

    Entrevistas a Gerente de TI Y Gerente administrativo

    Consultas a empleados

    Observación

    Documentación de la empresa

    GRUPO DE TRABAJO QUE PARTICIPO EN EL PROYECTO

    Nombre del estudiante: 004-09-01-0055 Francisco Javier Guzmán Lagos

    Nombre del Asesor Temático: Ing. Sandra Gradiz

    Empresa: Clasificadora Y Exportadora de Tabaco S.A. (Grupo Plasencia)

    CRONOGRAMA DE ACTIVIDADES

    El proyecto se llevo a cabo desde el mes de Enero hasta el mes de Abril que se presento la publicación de los resultados del proyecto.

    CRONOGRAMA DE ACTIVIDADES (2013)

    Actividad

    Ene

    Feb

    Mar

    Abr

    May

    Observación y consultas a empleados

    X

    Entrevistas y recolección de datos

    X

    Procesamiento de datos y redacción del documento

    X

    Análisis

    X

    Aportes y diseño del proyecto

    X

    X

    Publicación de resultados

    X

    IX

    Anexos

    POLITICAS Y PROCEDIMIENTOS

    TECNOLOGIA DE LA INFORMACION

    GRUPO PLASENCIA TABACOS

    HONDURAS

    DEL USO DE LOS SISTEMAS DE INFORMACION

    AMBITO DE APLICACIÓN Y FINES

    -El presente capitulo tiene por objeto establecer las medidas de índole técnica y organizativas necesarias para garantizar la seguridad y el buen uso de los sistemas de información propiedad del Grupo Plasencia Honduras.

    a) Fomentar el uso productivo de nuestros sistemas de información.

    b) Mantener un control adecuado de los recursos informáticos.

    c) Observar las leyes de derecho de autor, evitar el uso no ético y la piratería de programas de computadoras.

    d) Preservar la integridad de la información.

    -Las disposiciones contenidas en el presente documento serán aplicables a todos los empleados de la empresa que para el desarrollo de sus funciones y obligaciones laborales utilicen como herramienta los recursos de los sistemas de información.

    DEFINICIONES

    -A efectos del presente reglamento se atenderán por:

    a) Sistemas de información: conjunto de ficheros automatizados programas, soportes, redes, equipos de telecomunicaciones, equipos periféricos, bases de datos, propiedad del Grupo Plasencia Honduras.

    b) Usuario: Sujeto o proceso autorizado para acceder a datos o recursos de los sistemas de información.

    c) Recurso: Cualquier parte componente de los sistemas de información.

    d) Acceso autorizado: permisos concedidos a un usuario para la utilización de los diversos recursos de los sistemas de información o parte de ellos.

    e) Identificación: procedimiento mediante el cual se reconoce la identidad de un usuario.

    f) Autenticación: procedimiento a través del cual se comprueba la identidad de un usuario.

    g) Contraseña, palabra clave o Password: información confidencial, frecuentemente constituida por una cadena de caracteres alfanuméricos, que puede ser utilizada en la autenticación de un usuario.

    h) Incidencia: cualquier anomalía que afecte o pudiere afectar a la seguridad de los sistemas de información o su uso normal.

    i) Soporte: objeto físico susceptible de ser tratado en un sistema de información sobre el cual se pueden grabar o recuperar datos.

    j) Correo electrónico (e-mail): todo mensaje de texto, voz, sonido o imagen enviado a través de una red de comunicación pública que pueda al almacenarse en la red o en el equipo terminal del receptor hasta que éste acceda al mismo.

    AUTORIDAD

    -La Gerencia de Tecnologías de la Información es la autoridad administrativa responsable de todo lo concerniente a los sistemas de información existentes en la empresa. Este documento incorpora los lineamientos y las políticas de la Gerencia de Tecnologías de la Información.

    -Son atribuciones de la Gerencia de Tecnologías de la Información:

    a) Conceder los accesos autorizados, es decir, otorgar las altas para los accesos a los diversos recursos de los sistemas de información.

    b) Dar las bajas a los usuarios al sistema.

    c) Auditar el buen uso de los sistemas de información por parte de los distintos usuarios.

    d) Establecer los controles de acceso al sistema y limitar los mismos.

    e) Establecer las medidas de seguridad necesarias para proteger la información.

    f) Autorizar los nombres de usuarios y contraseñas para acceder a los recursos del sistema.

    g) Configurar los sistemas y recursos de acuerdo a los requerimientos de cada cargo.

    h) Modificar los lineamientos y las políticas de seguridad y uso de los sistemas de información de acuerdo a las nuevas tendencias de los sistemas, deberá solicitarlo a la Gerencia de Tecnología de la Información por escrito con la debida justificación, que por razón del avance tecnológico sean necesarias de implementar.

    -Todo empleado que utilice los servicios y recursos de los sistemas de información deberá conocer el reglamento vigente sobre su uso. La ignorancia del mismo no exonera de las responsabilidades que como consecuencia del uso indebido del sistema ocasione el empleado, así como las correspondientes sanciones.

    USO DE EQUIPO INFORMATICO

    -Todos los equipos informáticos y periféricos relacionados con los sistemas de información y que sean propiedad de la empresa, están destinados a ser utilizados como herramienta de trabajo para procesos administrativos o gerenciales (Internet, Correo electrónico). No se permite el uso de éstos recursos con fines recreativos, comerciales o no relacionados con el beneficio de la empresa, o para lucro personal.

    -Toda computadora, equipo informático o periférico deberá permanecer en la oficina, dependencia o lugar donde fue originalmente asignada. No se permite reubicar o mover computadoras o periféricos sin la autorización de la Gerencia de Tecnologías de Información. Se permitirá mover los equipos al personal técnico autorizado para fines de mantenimiento o reparación. Se harán monitoreo periódicos para verificar que se cumplas ésta norma.

    -El trabajador es responsable por el buen uso y manejo de los distintos equipos a su cargo, todo daño a los mismos productos del mal manejo o negligencia del trabajador será responsabilidad del mismo y deberá asumir los costos de reparación o reposición que se deban realizar.

    -El Usuario al finalizar sus labores deberá de apagar su equipo completo; esto incluye CPU, Monitor, Batería o estabilizador.

    -El daño debidamente comprobado a los equipos informáticos ocasionados de manera dolosa por el empleado será casual justificada para proceder a sanciones según el tipo de culpabilidad.

    USO DE PROGRAMACION (SOFTWARE)

    -Los programas de ordenador o computadora, comúnmente conocidos como ""Software"", están protegidos por las leyes de derechos de autor y propiedad intelectual y los tratados internacionales de los que es parte Honduras y El grupo Plasencia Honduras es respetuosa de las leyes de la Republica y exige y fomenta entre sus empleados el respeto a las mismas. La utilización sin licencia de los programas de ordenador o computadoras, así como su duplicación no autorizada constituye una violación a las leyes y al presente reglamento y puede exponer al usuario y a la empresa a responsabilidades civiles o procesos penales según sea el caso.

    -Los programas de ordenador o software instalados en los equipos son propiedad de la empresa y deberán ser utilizados como herramientas de trabajo. Está prohibido el uso de los programas de ordenador para fines recreativos, lucro personal y fines comerciales fuera de los establecidos por la empresa. Igualmente se prohíbe beneficiar a terceros a través del uso de los programas de ordenador. La inobservancia al presente artículo constituye falta grave sancionada al trabajador.

    -Se prohíbe a los usuarios la realización de copias a través de cualquier medio de reproducción o descargas de internet desde cualquiera de los programas de ordenador instalados o no, en los equipos de cómputo sin la autorización de la Gerencia de Tecnologías de la Información.

    -Los usuarios del sistema de información de la empresa deberán abstenerse de instalar programas de ordenador, así como hacer descargas (""Downloads"") de redes externas o públicas como Internet, sin la autorización de información. Los daños causados al sistema o cobros monetarios que producto de las descargas pudieran originarse deberán ser asumidos por el empleado responsable de dichos actos, quien además recibirá una amonestación por escrito que se registrará en su expediente como falta menos grave.

    -Está terminantemente prohibido copiar en los discos duros de los equipos informáticos, programas de ordenador o software que no cumplan con las leyes, normas y reglamentos vigentes.

    -La instalación de programas de ordenador es facultad exclusiva de la Gerencia de Tecnologías de Información. En caso de que un trabajador requiera de un programa no instalado en él.

    DEL ACCESO A LOS SISTEMAS DE INFORMACION

    -Todo trabajador para acceder al sistema de información y sus recursos deberá contar con una cuenta de usuario autorizado que le proporcionará la Gerencia de Tecnología de Información.

    -El acceso a los recursos de los recursos de los sistemas de información se realiza por medio de la identificación como (LOGIN o USERNAME) y la autenticación de la identidad a través de la contraseña personal y secreta (PASSWORD).

    -La contraseña, palabra clave o ""password"", es personal e intransferible y equivale a la firma privada, cuyo uso siempre es responsabilidad del propietario, mediante la cual accede a los recursos de los sistemas de información. El usuario debe custodiarla de forma responsable y segura velando siempre por la confidencialidad de la misma. Las contraseñas nunca deberán estar visibles a terceros.

    -Cada usuario será responsable de la confidencialidad y seguridad de sus cuentas de acceso a los sistemas de información y sus recursos. Se prohíbe divulgar contraseñas y el uso no autorizado de éstas.

    -Velar por el buen funcionamiento de su equipo de trabajo asignado teniendo la precaución de no ingerir alimentos mientras sea utilizado.

     -Es obligación de cada usuario mantener copias de respaldos diarios o por lo menos una vez por semana de la información que corresponde a su módulo asignado.

    -Se prohíbe tener acceso a las computadoras, servidores y redes de la empresa sin la autorización establecida en el presente reglamento. Los accesos ilegítimos a los sistemas de información serán causa justificada para proceder a un llamado de atención al infractor por parte de la administración o superiores.

    -Se prohíbe el uso de Card Reader, memorias USB, dispositivos de almacenamiento masivo como celulares, mp3, discos duros portables, IPod sin la autorización previa.

    -La Gerencia de Tecnologías de Información establecerá los periodos de validez de las contraseñas, las cuales una vez cumplido los mismos deberán ser actualizados por nuevas.

    DEL USO DEL CORREO ELECTRONICO

    -El correo electrónico o e-mail debe ser considerado como una herramienta de trabajo más que la empresa pone a disposición del trabajador para el desempeño de sus labores.

    -La cuenta de correo electrónico que la empresa asigna al trabajador deberá utilizarse únicamente en beneficio de la empresa y no para uso y fines privados del trabajador.

    -Se prohíbe el uso del correo electrónico para enviar o recibir material con la finalidad de proferir injurias y calumnias o promover actos difamatorios, en contra de cualquier persona, éste o no vinculada a la empresa.

    -También se prohíbe el uso del correo electrónico con fines de proselitismo político o religioso, respetándose en todo momento las disposiciones y los derechos individuales de las personas.

    -Se prohíbe el envío de correos electrónico con material obsceno, lascivo, ofensivo, denigrante o de cualquier información que atente o viole las políticas, reglamentos y los principios éticos en que se fundamenta la empresa. Igualmente serán prohibidos el almacenamiento e impresión de dichos contenidos.

    -Las prohibiciones contenidas en los artículos del presente reglamento serán sancionadas en caso de ser la primera vez con una amonestación por escrito que se adjuntará al expediente laboral y de reincidir una segunda vez en ella se considerará como una causa justa para proceder.

    -Se prohíbe el uso del correo electrónico para enviar, divulgar o revelar información confidencial de la empresa a terceros, sin la autorización del superior jerárquico debidamente justificada. Esta práctica es considerada como desleal para la empresa y conlleva al llamado de atención sujeto a la consideración de los superiores autorizados al tipo de sanción según sea la gravedad.

    -La empresa se reserva el derecho de monitorear el tráfico de los correos electrónicos a través de la Gerencia de Tecnología de Información.

    DE LAS INSIDENCIAS

    -Es obligación de todo trabajador reportar las incidencias pueden afectar a:

    a) Equipos

    b) Programas

    Licencia en los siguientes casos:

    a) Para acudir a consulta médica personal.

    -El trabajador deberá reportar por escrito a la Gerencia de Tecnología de Información las incidencias que afecten los sistemas de información desde el mismo momento que ha tenido conocimiento de ella. El empleado se abstendrá de intentar cualquier solución sin la autorización o dirección de la Gerencia de Tecnología de Información o del personal delegado por esta.

    SITUACIONES NO PREVISTAS

    -Cualquier caso, situación o incidencia no prevista en este apartado y que se encuentre relacionada a los Sistemas de Información será resuelta por la Gerencia de Tecnologías de Información y las leyes de la materia existentes o futuras.

    DISPOSICIONES FINALES

    -Todo lo no previsto en el presente Reglamento se regirá, por lo establecido en el Código del Trabajo y Convenio Colectivo.

    -Todo trabajador de la empresa debe conocer y cumplir el contenido del presente Reglamento Interno se publicará y entregará un ejemplar a cada empleado y entrará en vigencia transcurridos 15 días desde su entrega a los trabajadores conforme lo establecido en el Art. 255 inciso b) del Código del Trabajo.

    Fuente: Manuel Antonio Rodríguez (Gerente departamento de Tecnología de información)

    • Instalaciones del Servidor

    edu.red

    Esta es la oficina del Gerente del departamento de TI, y aquí se puede observar que también se comparte la oficina con el servidor y los UPS.

    edu.red

    Interruptores de energía, el que tiene el botón rojo es de la energía de la ENEE. Y el de al lado es para darle energía a todo el edificio del UPS del servidor si el Gerente de TI lo considerada necesario.

    edu.red

    UPS del servidor con capacidad para 12 hrs continuas y también puede darle energía al resto del edificio de Clasificadora y Exportadora de Tabaco si el gerente del departamento de informática lo quisiera.

    edu.red

    Aquí se puede observar otro problema que ya se dijo en el documento que es que el servidor está al lado de una ventana que si bien es cierto no es para la calle, es siempre dentro de la empresa, pero no es algo seguro.

    edu.red

    Pacth panel de donde salen todas las conexiones del edificio y al no encontrarse con llave o no contar con sistemas de control de acceso en la oficina donde se encuentra el servidor, puede una persona no autorizada tener acceso para hacer modificaciones.

    Sistema Principal de la empresa

    edu.red

    Estas son pantallas del sistema (Controles y Sistemas), que utilizan las empresas del grupo Plasencia en Honduras incluyendo Clasificadora y Exportadora de Tabaco S.A.

    edu.red

    edu.red

    La información de este sistema se encuentra respaldada en el servidor de la empresa y en los servidores de Navega (Proveedores de Internet).

    Estas ventanas son para Mano de obra, pero el sistema maneja toda la información de la empresa. Solo el pago de productores de Tabaco que le venden a la empresa no se maneja en este sistema, el equipo de desarrollo de la empresa ya están implementando un nuevo sistema para esta información.

    edu.red

    Pantalla del sistema de en registro de producción.

    Articulo de diario el Heraldo

    Sábado 10 de marzo de 2012

    Proponen mejorar la seguridad informática

    Luis Rodríguez 

    La seguridad informática tiene un fuerte costo económico.

    Tegucigalpa, Honduras

    La firma ESET impartió una serie de charlas en más de un centenar de universidades de América Latina, incluida Honduras, en el marco de la Gira Antivirus.

    Participaron 12,500 estudiantes, entre los que se levantó una encuesta, encontrando datos reveladores como que menos de la mitad de los consultados afirma interesarse, al menos una vez por mes, sobre novedades en el mundo de la seguridad informática.

    Se les consultó cuáles eran sus mayores preocupaciones en el área.

    Al 65% de los jóvenes los inquieta tener algún problema con la fuga de información en su computadora, mientras que en segundo lugar, con 57.07%, los fraudes informáticos y en la tercera posición, con 57.03%, aparece el malware.

    Además, tres de cuatro encuestados considera un riesgo el robo de identidad en las redes sociales. Una de las últimas grandes amenazas que explotaba vulnerabilidades en las aplicaciones fue Conficker.

    Este gusano se ubicó 27 meses consecutivos en los primeros puestos del ranking de amenazas y causó daños por más de 9,100 millones de dólares en 2011, según Raphael Labaca Castro, especialista de Awareness & Research de ESET Latinoamérica.

    Agrega que toda esta información sirve para ser más conscientes del panorama actual de la seguridad y mostrarles a los usuarios los puntos que deberían fortalecerse en pos de una continua mejora en la seguridad de su información.

    ESET presenta su informe sobre seguridad informática en empresas de Centroamérica

    10 de diciembre de 2009

    Los resultados de ESET Security Report Centroamerica estan basados en las encuestas realizadas a mas de 280 gerentes de empresas y profesionales del area TI y de la seguridad de la informacion, en el marco de los Technology Day Panama, Costa Rica, Honduras, Guatemala, Republica Dominicana, El Salvador y Nicaragua.

    "Con ESET Security Report no sólo buscamos ofrecer información actualizada que represente las reales preocupaciones existentes hoy en día entre los expertos TI en materia de seguridad informática, sino también contribuir con nuestra experiencia en el tema ofreciendo un completo estudio y análisis acerca del panorama reflejado en cada encuesta regional realizada", declaró Ignacio Sbampato, Vicepresidente de ESET.

    Con el objetivo de reflejar cuáles son los problemas, desafíos actuales y futuros, el alcance de las soluciones y la inversión y costos involucrados en su implementación, ESET Latinoamérica advirtió una serie de preocupaciones que engloban al conjunto de los entrevistados. Entre las temáticas analizadas y reflejadas en ESET Security Report, se destacan las siguientes:Los niveles de preocupación por amenazas a la seguridad de la empresa

    Entre los distintos panoramas de posibles amenazas que se plantearon a los encuestados, la pérdida de datos apareció como la principal inquietud, al ser seleccionada por el 65,96% de los entrevistas. En línea directa con esta preocupación, los ataques de malware y las vulnerabilidades del software ocupan el segundo y tercer lugar respectivamente, con el 58,30% y el 55,32%.

    La importancia en la concientización del personal

    Del total de los encuestados, el 56,32% consideró que es esencial la implementación en la empresa de planes de concientización en materia de seguridad de la información.

    Si a esta suma se le incluye aquellos entrevistados que asignaron una importancia muy alta a la cuestión (28,88%) se concluye que más del 85% de los profesionales concuerdan en la importancia de la capacitación y educación del personal para prevenir problemas de seguridad informática.No obstante lo anterior, sólo el 34,18% de los interrogados afirmó que en su empresa se llevan a cabo planes de concientización con periodicidad.

    Costa Rica, sin embargo, presenta un caso particular, dado que en este país un 96% de los encuestados consideró la importancia de la educación del personal como esencial y sólo el 17,45% afirmó que en su empresa no se lleva adelante ningún tipo de plan de educación.

    Asignación del presupuesto de seguridad informática

    En cuanto al presupuesto, más de la mitad de los encuestados (52,37%) afirmó que menos del 5% del presupuesto de IT es utilizado para tal fin y  tan sólo un 18,11% de las organizaciones declaró que asigna más del 10% del presupuesto del departamento de informática y sistemas.Esta cuestión está directamente vinculada al tamaño de la empresa, dado que aquellas organizaciones más pequeñas y con menores recursos, destinan un nivel inferior de presupuesto ala seguridad informática.

    "Del análisis de ESET Security Report Centroamérica se desprende el hecho de que, si bien la mayoría de las empresas tienen en claro la importancia de la capacitación en materia de seguridad informática y de la información, se ven imposibilitadas en gran parte a llevar adelante planes de capacitación lo suficientemente frecuentes para ser efectivos. En este sentido, la filosofía de ESET de continuar ofreciendo una amplia multiplicidad de recursos para la capacitación y educación de los usuarios en toda la región se encuentra estrechamente alineada con las necesidades corporativas en lo que al plano de la concientización se refiere.", dijo Cristian Borghello, Director de Educación de ESET Latinoamérica.

    Fuente: http://www.eset.com.pa/centro-prensa/articulo/2009/eset-informe-seguridad-informatica-empresas-centroamerica/2254

    Bibliografía

    delitosinformaticos.info. (s.f.). Recuperado el 03 de Febrero de 2013, de http://delitosinformaticos.info/peritaje_informatico/evidencia_electronica.html

    delitosinformaticos.info. (s.f.). Recuperado el 03 de Febrero de 2013, de http://delitosinformaticos.info/delitos_informaticos/tipos_delitos.html

    eset. (s.f.). Recuperado el 2 de Abril de 2013, de http://www.eset.com.pa/centro-prensa/articulo/2009/eset-informe-seguridad-informatica-empresas-centroamerica/2254

    eset. (s.f.). Recuperado el 23 de Marzo de 2013, de http://www.eset.com.pa/centro-prensa/articulo/2013/eset-presenta-gu%C3%ADa-seguridad-para-resguardo-informaci%C3%B3n/2919

    iso27000. (s.f.). Recuperado el 23 de Marzo de 2013, de http://www.iso27000.es/

    iso27000. (s.f.). Recuperado el 23 de Marzo de 2013, de http://www.iso27000.es/certificacion.html

    (2008). Capitulo 8: Protección de los sistemas de información . En K. C. LAUDON, Sistemas de información gerencial: Administración de la empresa digital. Decima Edicion (pág. 736). Mexico DF: Pearson Educacion.

    Microsoft. (s.f.). Programa Educativo . Modulo 1: Introducción a la seguridad de la información .

    Microsoft. (s.f.). Programa Educativo. Modulo 2: Análisis de riesgos, De la academia latinoamericana de seguridad informática.

    Microsoft. (s.f.). Programa Educativo. Modulo 3: Políticas de seguridad, De la academia latinoamericana de seguridad informática.

    microsoft.com. (s.f.). Recuperado el 05 de Marzo de 2013, de http://www.microsoft.com/latam/seguridad/

    microsoft.com. (s.f.). Recuperado el 05 de Marzo de 2013, de http://www.microsoft.com/latam/technet/seguridad/default.asp

    microsoft.com. (s.f.). Recuperado el 05 de Marzo de 2013, de http://msdn.microsoft.com/security

    microsoft.com. (s.f.). Recuperado el 05 de Marzo de 2013, de http://www.microsoft.com/security

    scribd.com. (s.f.). Recuperado el 03 de Febrero de 2013, de http://es.scribd.com/doc/29971042/Aproximacion-Legal-a-los-Delitos-informaticos

    wikipedia. (s.f.). Recuperado el 10 de Febrero de 2013, de http://es.wikipedia.org/wiki/Delito_inform%C3%A1tico

    wikipedia. (s.f.). Recuperado el 10 de Febrero de 2013, de http://es.wikipedia.org/wiki/Phreaking

    wikipedia. (s.f.). Recuperado el 10 de Febrero de 2013, de http://es.wikipedia.org/wiki/Pirata_inform%C3%A1tico

    ESET – http://www.eset.com.pa/centro-prensa/articulo/2009/eset-informe-seguridad-informatica-empresas-centroamerica/2254

    DEDICATORIA

    Grande es la sabiduría y el entendimiento de tantas cosas, por lo que dedico este trabajo a quien me ha dado todo eso, en primer lugar a Dios.

    A toda mi familia que me han apoyado incondicionalmente y siempre han estado a mi lado en toda esta etapa estudiantil. Pero sobre todo al esfuerzo de dos personas que creyeron en mí y pusieron todas sus esperanzas en mí, que me inspiraron a alcanzar metas con esfuerzo y trabajo, y me han motivado a mirar alto, dedico este esfuerzo a quienes me dieron la vida, y que han hecho de mi una mejor persona. Lo dedico a mis padres.

    Lo dedico a mis catedráticos que me dieron sus conocimientos para ser de mí una mejor persona y aportar como profesional al desarrollo de esta gran nación.

    Dedico este trabajo por último, pero no menos importante a la Universidad Politécnica de Honduras (Sede Danlí).

    AGRADECIMIENTOS

    Agradezco a DIOS por la vida que poseo, porque se me ha permitido vivirla y llegar hasta este momento tan importante en mi vida y en la de mi familia.

    Agradezco a mi familia y a mis padres por la oportunidad que me dieron para llegar a ser un profesional.

    Agradezco a todas personas que de cualquier forma contribuyeron a ser de mí una mejor persona.

    A mis compañeros de la carrera de Ingeniería en Sistemas Computacionales, a todos mis catedráticos, a la Universidad Politécnica que sin ellos esto no sería realidad, también a la empresa Clasificadora y Exportadora de Tabaco S.A y todas las empresas del Grupo Plasencia, sus empleados, la Gerencia y al señor Manuel Antonio Rodríguez por facilitarme toda la información necesaria para realizar este documento.

    Y finalmente y no menos importante a las dos asesoras de este trabajo, La Lic. Eva Ávila y a mi asesora temática Ing. Sandra Gradiz que me ayudaron y asesoraron durante estos meses para contribuir en este trabajo y poder culminar de buena forma mi carrera de pre-grado.

    Gracias a Todos

     

     

     

     

    Autor:

    Francisco Javier Guzman Lagos

    Número de Cuenta: 0409010055

    PREVIO OPCIÓN AL TITULO DE:

    INGENIERO EN SISTEMAS COMPUTACIONALES

    Partes: 1, 2, 3, 4
     Página anterior Volver al principio del trabajoPágina siguiente