DIAGNSTICO DE LA SEGURIDAD INFORMTICA EN APOSTAR

S.A.

CAROLINA HENAO ACOSTA

UNIVERSIDAD CATLICA POPULAR DEL

RISARALDA
FACULTAD DE CIENCIAS BSICAS E INGENIERA
INGENIERA DE SISTEMAS Y
TELECOMUNICACIONES PRACTICAS
PROFESIONALES
PEREIRA

DIAGNOSTICO DE LA SEGURIDAD INFORMTICA EN APOSTAR

S.A.

CAROLINA HENAO ACOSTA

Informe de Prctica Profesional

Tutor Msc. Alvaro Ignacio Morales Gonzalez

AGRADECIMIENTOS

La
autora
agradecimientos:

expresa

sus

A la empresa APOSTAR S.A por su apoyo en la realizacin de este trabajo, el

cual ser aplicado en las acti vidades diarias con el fi n de generar mayor
competitividad y productividad.
Agradezco a la Uni versidad Catlica y a todo el grupo de profesores
que transmitieron sus conocimientos de una forma profesional.
A mi familia por su apoyo i ncondiciona l y permanente en este
proceso.

CONTENIDO
pg.
INTRODUCCIN

10

1. PRESENTAC IN DE LA ORGANIZAC I N O S IT IO DE PRCTICA

11

1.1 RESEA HISTRICA APOSTAR S.A.

11

1.2 DESCRIPCIN DE LA EMPRESA

12

1.2.1 Misin.

12

1.2.2 Visin

12

1.2.3 Poltica de ca lidad

13

1.2.4 Pri ncipios.

13

1.2.5 Obje tivos de calidad

13

1.2.6 Es tr uct ura O rgani zaciona l

14

2
NEA DE INTE RVENC I N

. L
15

2.1
FINIC IN DE LA L NEA DE INTERVENC I N

DE
15

2.2
IAGNSTIC O DEL REA DE INTE RVENCIN

D
15

2.3
E DE INTE RVENC I N

EJ
15

2.4
USTIF ICAC IN DEL EJE DE INTE RVENC I N

J
15

3
OBJETIVOS

.
17

3.1
JETIV O GENERAL

OB
17

3.2
JETIV OS ESPECF ICOS

OB
17

4
REFERENTE CO NCEPTUAL

.
18

4.1
NCEPTO DE SEGURIDAD

CO
18

4.2
GURIDAD INF ORM TICA

SE
18

4.3
TORIA DE LA SEGURIDAD INFO RM TICA

HIS
19

4.4 GENE RAL IDADES DE LA SEGURIDAD DE LA INF ORMAC IN PARA

EMPRESAS Y PARTIC ULARES
21
4.5
O NIMATO Y PRIVACIDAD

AN
23

4.6
NF IDENC IAL IDAD, INTEGRIDAD, D ISPONIB IL IDAD

CO
23

4.7
GURIDAD EN LAS REDES

SE
24

4.8
O TECCIN A LOS E QUIP OS

PR
24

4.9
D ITO RA, DETECCI N DE INTRUS IONE S Y ANL IS IS FORE NSE

AU
24

5 . PRESENTAC IN Y ANL IS IS DE LOS RESUL TADOS

26

5.1
LNE RABIL IDAD DE LAS CONTRASEAS

VU
26

5.2
BULAC I N Y G RFICAS DE LA INFORMACIN

TA
26

5.3
L IS IS DE LA INFO RMAC I N

AN
35

5.4
NEJO DE PERF ILES (Control de Accesos)

MA
36

5.5 ESTANDARIZAC I N DE PROCESOS PARA LA ADMINIS TRAC I N DE

HARDWARE Y SOF TWARE
38
5.6 POL TICA DE BACK UP

39

6 . CONCLUS IO NES

40

7 . RECOME NDACIO NES

41

BIBL IOG RAF A

42

APNDICE

43

_Toc266199010 \h |43}}
}

LISTA DE TABLAS
pg.

TABLA 1. CONTRASEAS QUE MANEJA ACTUALMENTE.

26

TABLA 2. TIPO DE INF ORMACIN A LA QUE ACCEDE CON LAS

CONTRASEAS.

27

TABLA 3. CRITERIOS QUE UTILIZA PARA CREAR CONTRASEAS.

28

TABLA 4. OLVIDO DE LAS CONTRASEAS.

29

TABLA 5. ESCRITURA DE CONTRASEAS.

29

TABLA 6. LUGAR DONDE ALMACENA LAS CONTRASEAS.

30

TABLA 7. TIEMPO DE CAMBIO EN LAS CONTRASEAS.

30

TABLA 8. ASIGNACIN DE LAS CONTRASEAS.

32

TABLA 9. EXISTE ALGUNA CONTRASEA QUE DEBA COMPARTIR

32

TABLA 10. POLTICA O PROCEDIMIENTO A SEGUIR, IMPARTIDO POR LA

EMPRESA, PARA EL MANEJO ADECUADO DE LAS CONTRASEAS. 33
TABLA 11. NMERO DE CARACTERES PARA CREAR LAS CONTRASEAS. 33
TABLA 12. CUIDADO AL D IGITAR LA CONTRASEA EN COMPAA DE
OTRAS PERSONAS.

34

TABLA 13. BLOQUEO DE COMPUTADOR O C IERRE DE SESIN.

34

TABLA 14. SOLIC ITUD DE CAMBIO DE CONTRASEA

35

LISTA DE GRFICOS
pg.
GRFICO 1. CONTRASEAS QUE MANEJA ACTUALMENTE.

27

GRFICO 2. TIPO DE INFORMACIN A LA QUE ACCEDE CON LAS

CONTRASEAS.

27

GRFICO 3 CRITERIOS QUE UTILIZA PARA CREAR CONTRASEAS.

28

GRFICO 4. OLVIDO DE LAS CONTRASEAS.

29

GRFICO 5. ESCRITURA DE CONTRASEAS.

29

GRFICO 6. LUGAR DONDE ALMACENA LAS CONTRASEAS.

30

GRFICO 7 TIEMPO DE CAMBIO EN LAS CONTRASEAS.

31

GRFICO 8. ASIGNAC IN DE LAS CONTRASEAS.

32

GRFICO 9 EXISTE ALGUNA CONTRASEA QUE DEBA COMPARTIR

32

GRFICO 10. POLTICA O PROCEDIMIENTO A SEGUIR, IMPARTIDO POR LA

EMPRESA, PARA EL MANEJO ADECUADO DE LAS CONTRASEAS
33
GRFICO 11. NMERO DE CARACTERES PARA CREAR LAS
CONTRASEAS.

33

GRFICO 12. CUIDADO AL D IGITAR LA CONTRASEA EN COMPAA DE

OTRAS PERSONAS.
34
GRFICO 13. BLOQUEO DE COMPUTADOR O C IE RRE DE SESIN.

34

GRFICO 14. SOLIC ITUD DE CAMBIO DE CONTRASEA

35

LISTA DE FIGURAS
pg.
FIGURA 1. ORGANIGRAMA APOSTAR S.A.

14

FIGURA 2. EJEMPLO DE UNA DE LAS CONTRASEAS QUE SE

INGRESARON.

37

RESUMEN

La prctica profesional se enfoc en el diagnstico de la seguridad informtica

en la empresa Apostar S.A., evidencindose una marcada falencia en todos sus
frentes, los cuales requieren intervencin i nmediata.
Descriptores:
intervencin.

falencia,

diagnostico,

seguridad,

ABSTRACT

Professional
practice was focused on the diagnosis of computer security in
company Apostar S.A., demonstrating a marked bankruptcy on all fronts,
which require immediate intervention.
Descriptors:
intervention.

bankruptcy,

diagnosis,

security,

INTRODUCCIN

La seguridad en cualquier mbito es si nnimo de confianza, certeza, conviccin

y es manejada por todas las organi zaciones como uno de sus procesos
principales. Se asegura el cuidado de los acti vos, de las instalaciones fsicas, de
las personas y del di nero; servicios que son prestados generalmente, por
personas o empresas externas. Pero, de manera irnica, en el caso del software
y la administracin de redes, no ocurre lo mismo.
No hay polticas de
seguridad claras que permitan preservar uno de los elementos ms valiosos de
la organizacin: la i nformacin.
Se tiene la falsa sensacin de dar por sentado que si nada ha fallado es
porque todo est bien; slo cuando se presenta el inconveniente, se toman
medidas. No hay una planeacin previa, no se analizan los riesgos con
anticipacin, no se piensa en las soluciones al momento de afrontar un
problema; en general, se tiene una seguridad ficticia en lo poco o mucho que
tenga la organizacin en la parte informtica.
Este es el caso de esta empresa donde no existe an una poltica de seguridad
y donde existen cuatro puntos neurlgicos que no han sido contrarrestados
para evitar posibles ataques informticos que pongan en riesgo la seguridad de
la informacin. Estos puntos son:
Vulnerabilidad en
contraseas Manejo de
perfiles
Estandari zacin de procesos para la administracin de hardware y software
Manejo de back ups
El objeti vo pri ncipal de este proyecto es diagnosticar y conocer el estado de
cada uno de estos frentes y dar las recomendaciones necesarias para que la
empresa tome cartas en el asunto y trate de encontrar una solucin sencilla,
prctica y rpida para cada uno de estos puntos.

10

1. PRESENTACIN DE LA ORGANIZACIN O SITIO DE PRCTICA

1.1

RESEA HISTRICA APOSTAR S.A. 1

Hace ya muchos aos, cuando se iniciaba la aventura del chance en Colombia y

cuando apenas se vislumbraba la legali zacin de este monopolio rentstico de
la nacin, situacin que se fue dando en la medida que las Honorables
Asambleas Departamentales conscientes de la necesidad de regular un juego
que estaba surgiendo con fuerza inusitada, empezaron a darle piso legal en
cada departamento.
De esta aventura fueron pioneros en Risaralda dos pereiranos animosos,
arriesgados, comprometidos y visionarios, ANIBAL PARRA Y JESS JIMNEZ,
a quienes se les unira ms adelante el seor FABIO ARROYAVE ARANGO.
Con la vigencia de la Ley 19 de 1982, que legali z en todo el territorio nacional
el juego del chance, otros empresarios se unieron a los i ndicadores y fue
entonces cuando aparecieron en el mercado del Departamento, empresas
como APUESTAS RISARALDA, APUESTAS AMRICA, APUESTAS
GRACIANO, APUESTAS MATECAA, APUESTAS PEREIRA, que iniciaron la
explotacin del juego, mediante contratos entregados en concesiones por la
Beneficencia de Risaralda, para que de esta manera ri ndieran por medio de las
regalas exigidas en los mismos, los primeros dineros que este juego entregara a
la salud del Departamentos.
El auge continu, algunas empresas perduraron, otras no resistieron la fuerza
de la competencia y se retiraron o vendieron, a la par que surgieron
nuevas empresas, tales como APUESTAS EL TRIANGULO, APUESTAS
QUINCHA, APUESTAS CONSOLIDADAS, APUESTAS EL CNDOR,
APUESTAS OCHOA, que conti nuaron en el mercado hasta cuando por hacerse
al control del juego que haba progresado en forma impresionante se hi zo
necesaria una tregua entre los contrincantes, que llevo a la creacin de un
empresa que regulara las diferentes alternati vas que se manejaban en el
departamento. Naci entonces, la SOC IEDAD DE APOSTADORES DE
RISARALDA, APOSTAR LTDA, hoy APOSTAR S.A., que obtuvo su vida jurdica
el 27 de febrero de 1987.

1htt p:// www. a pos tar. c om.c o/s pa ges /em pres a, diciembre
2009.

11

Con la regulacin de las condiciones del juego, se propici una bonanza en

las relaciones nter-empresariales que diriman sus diferencias a travs de
ella, sin dejar su razn social ni su idiosincrasia comercial.
Este sistema de asociacin permiti comercializar el chance en Risaralda con
una licencia nica que se plasm en el contrato 001/87, primero de este tipo
en el departamento.
No obstante el sistema implantado, como es normal en el chance, vinieron
nuevas disputas por las ventas, por el manejo de las empresas, con una fuerza
increble que hi zo crisis hacia mediados de 1989 cuando empresarios se
radicalizaron en dos grupos antagnicos que necesitaron la mediacin de la
Beneficencia, logrando entonces un acuerdo que quedo plasmado en los que
se ha denominado POOL DE RISARALDA, que inicio sus operaciones el 13 de
septiembre de ese ao. El POOL no es otra cosa que la comercializacin de
las apuestas por un sistema empresarial que maneja la totalidad del juego del
Departamento, que termin con las difciles relaciones entre los empresarios,
para unificar criterios.
Actualmente, APOSTAR S.A. es la nica empresa en Risaralda, autorizada por
la Gobernacin de Risaralda para comercializar el chance legal y sus productos,
siendo monopolio rentstico del Departamento y una de las empresas ms
slidas y generadoras de empleo de la regin.
1.2

DESCRIPCIN DE LA EMPRESA2

1.2.1 Misin. APOSTAR S.A. es una empresa slida, altamente competitiva y

emprendedora con responsabilidad social en el sector de la salud, que ofrece
a todo el pblico risaraldense apuestas permanentes, juegos de suerte y azar,
con seriedad, confiabilidad, cumplimiento y una alta calidad en la
prestacin del servicio. Contamos con talento humano comprometido,
solidez econmica, infraestructura y tecnologa adecuada, que garanti zan
una ptima rentabilidad y utilidad para satisfacer las necesidades de los
accionistas, crecimiento y bienestar para nuestros empleados y la sociedad en
general.
1.2.2 Visin. APOSTAR S.A. fundamentada en la
solidez fi nanciera,
responsabilidad, seriedad y cumplimiento, consolidar su liderazgo
departamental en el campo de juegos de suerte y azar y se posicionar en
nuevos mercados a nivel nacional, con un Sistema de Gestin de la Calidad
estructurado, que conlleve al mejoramiento conti nuo, con personal altamente
capacitado que entregue sus conocimientos, habilidades y esfuerzos para el
beneficio de la empresa y de la sociedad en general.
2htt p:// www. a pos tar. com. co/ spa ges/ em pres a, diciembre
2009.

12

1.2.3 Poltica de calidad. Lograr la satisfaccin permanente de las necesidades y

expectativas de
los apostadores con comodidad, buena atencin,
informacin oportuna y veraz, y mejorando e innovando constantemente los
productos.
Para tal fi n, se asegura la excelente calidad en la prestacin del servicio
con personal competente, tecnologa adecuada, solidez econmica, planificacin
y desarrollo en los nuevos puntos de venta, ejecutando los procesos con un
mejoramiento continuo que permita lograr la eficacia del Sistema de Gestin
de Calidad.
1.2.4 Principios. Los principios de la empresa Apostar S.A.
son:
Seriedad.
Cumplimiento.
Solidez
Financiera.
Bienestar de Nuestros Empleados.
Respeto al Cliente.
Atencin y Asesora al
Cliente. Pago Oportuno.
Responsabilidad.
Atencin Clara y Oportuna.
1.2.5 Objetivos de calidad
Formar una empresa ms competiti va, mejorando el servicio al dar
un tratamiento oportuno a todas las quejas y reclamos.
Conocer peridicamente la percepcin de la satisfaccin del cliente
para mejorarla.
Determinar el grado de formacin acadmica del personal y las
necesidades de capacitacin para cumplir con el perfil de cada cargo.
Mantener el plan de capacitacin dirigido a fortalecer las condiciones
de crecimiento, formacin, educacin y habilidades.
Adquirir nuevos equipos de comunicaciones y cmputo que nos
permitan prestar un excelente servicio.
Mantener el software y hardware en las condiciones adecuadas para
el desarrollo del objeto social y la prestacin del servicio.
13

Mantener la cobertura en Risaralda para el fcil acceso del chance.

14

Incrementar anualmente los ingresos por ventas para cumplir con lo

estipulado en el contrato de concesin.
1.2.6 Estructura
Organizacional.
La
empresa
comercializa,
de
manera
sistematizada, el chance legal en todo Risaralda, adems de contar con
productos adicionales como el servicio de giros a nivel nacional, recargas a
celular, recaudo de servicios telefnicos, de televisin por cable e Internet con
UNE, entre otros. La empresa est certificada por la norma ISO 9001-2002 y
cuenta actualmente con 735 empleados.
La prctica se ubicar en el Departamento de Sistemas de la
empresa.
A conti nuacin se muestra en la Figura 1 el
Organigrama.
Figura 1. Organigrama Apostar S.A.

Fuent e: Apostar S.A.

2. LNEA DE INTERVENCIN

2.1 DEFINICIN DE LA LNEA DE INTERVENCIN

La lnea de intervencin seleccionada fue la referente a Sistemas de
Informacin porque de las tres es la que mejor describe el objeti vo a cumplir.
Implcitamente sugiere la aplicacin de controles, monitoreo y seguimiento para
ser eficientes y eso es lo que busca la Seguridad Informtica.
2.2 DIAGNSTICO DEL REA DE INTERVENCIN
La empresa posee dos Sistemas de Informacin supremamente amplios en los
cuales se apoya para llevar a cabo su actividad principal.
El proyecto de
intervencin no se centrar en el diagnostico de seguridad informtica sobre
estos sistemas, sino a nivel general, con respecto al uso de contraseas,
manejo de backups, estandari zacin de procesos para la administracin de
hardware y software y el control de accesos. Estos son los cuatro puntos
neurlgicos en la organi zacin.
Para el levantamiento de la i nformacin se utilizar el mtodo de
observacin directa y entrevistas a los diferentes encargados de la parte de
software y comunicaciones. Para abordar el primer punto que se refiere al uso
de contraseas, se utili zar el mtodo de encuesta y se llevarn a cabo
pruebas que demuestren la vulnerabilidad de las mismas y la facilidad para
acceder a los sistemas de informacin y al mismo sistema operati vo.
2.3 EJE DE INTERVENCIN
Por lo anteriormente expuesto, se hace necesario, a travs del proyecto de
intervencin, diagnosticar de manera c lara la situacin actual de la empresa
en Seguridad Informtica y facilitar as la correccin de errores en esta rea, a
favor de la proteccin y seguridad de la informacin.
2.4 JUSTIFICACIN DEL EJE DE INTERVENCIN
La idea inicial surgi en primera medida, porque es un tema bastante amplio,
muy interesante y de poca acogida a ni vel regional y en segunda medida,
porque se logr evidenciar un gran problema de seguridad en la organizacin,
visto desde el

rea donde laboro, Recursos Humanos, viendo en va rias ocasiones amenazada

la informacin de esta dependencia, por la falta de organi zacin y de polticas
claras en este sentido.
Es algo novedoso porque la empresa an no se ha preocupado por solucionar
sus problemas de seguridad; la prioridad inicial para ellos es solucionar
problemas de disponibilidad de los servicios, ya que por admi nistraciones
anteriores o por decisiones mal tomadas, este tema tom ventaja de
manera negati va.
La empresa recibi muy bien la propuesta de este
proyecto porque en un tiempo relati vamente corto, podr conocer su
situacin en el tema de seguridad informtica, para tomar medidas al
respecto.
Ms que novedoso, se hace necesario y requiere pronta i
ntervencin.
Es tambin til porque como lo describa anteriormente, al no ser el tema pri
ncipal en la organizacin, se puede facilitar la perdida de datos o la intrusin por
parte de terceros a la informacin. Este proyecto marcar las pautas a seguir
para que la empresa se proyecte, no solo a seguir siendo la ms productiva,
sino tambin a cuidar de su acti vo ms preciado: la i nformacin.

3. OBJETIVOS

3.1 OBJETIVO GENERAL

Realizar el diagnstico de Seguridad Informtica en la empresa Apostar S.A.
3.2 OBJETIVOS ESPECFICOS
Determinar la vulnerabilidad de las contraseas y su uso actual.
Determinar si las polticas de back up son claras y si funcionan de acuerdo a
los lineamientos de la organi zacin.
Determinar si el control de acceso a las aplicaciones es el adecuado.
Determinar si existe un estndar o proceso ordenado para la admi nistracin
del hardware y software .

4. REFERENTE CONCEPTUAL

4.1 CONCEPTO DE SEGURIDAD

Referirse a seguridad en cualquier mbito sugiere un proceso organizado para
garanti zar la integridad de la entidad custodiada. Es, en general, suscep tible
a riesgos constantes y debe permanecer en supervisada para contrarrestarlos
antes de que se genere un perjuicio.
En otras palabras, la seguridad es el resultado de operaciones realizadas por
3
personas y soportadas por la tecnologa.
Siempre el ser humano debe
apoyarse en herramientas sencillas, complejas, costosas o no, para proteger
sus bienes,
productos o servicios.
4.2 SEGURIDAD INFORMTICA
Se define
como a disciplina encargada de disear las normas,
procedimientos, mtodos y tcnicas, orientadas a proveer condiciones seguras y
confiables para el procesamiento de datos en sistemas i nformticos.
Segn Vicente Aceituno Canal, la defi nicin de seguridad informtica se
resume en ci nco aspectos que se deben garanti zar. Estos son:
Confidencialidad: consiste en dar acceso a la informacin slo a los
usuarios autori zados.
Control de Accesos:
usuario autori zados.

consiste

en controlar el acceso

recursos

de

Disponibilidad: consiste en la posibilidad de acceder a la informacin o a

utilizar un servicio siempre que lo necesitemos.
No Repudio: consiste en la imposibilidad de negar la autora de un mensaje
o informacin del que alguien es autor.

CANAL, Aceituno. Seguridad de la Informacin. pg. 26.

Integridad: consiste en garanti zar que una i nformacin o mensaje no han

sido
manipulados.
4

Es importante tener en cuenta que seguridad no significa restriccin total.

Tener
contraseas para todo o negar accesos a diestra y siniestra no garanti zarn
la seguridad; por el contrario van a afectar la productividad de la organi
zacin, ya que los usuarios tendrn que reportar fallas de acceso a sus propios
programas o aplicaciones.
Implantar estos cinco aspectos genera una i nversin de tiempo y
dinero considerable, por lo cual se debe evaluar inicialmente el tamao
de la organi zacin y los recursos disponibles.
Existe una relacin estrecha entre seguridad y calidad.
Cuando nuestras
5
expectativas se cumplen, consideramos que hay calidad.
Si la informacin
para nosotros es el activo intangible ms importante de la organi zacin y
como tal la protegemos y logramos que no haya i ntrusin alguna, podemos
hablar de calidad.
4.3 HISTORIA
DE
INFORMTICA

LA

SEGURIDAD

Es relativamente reciente la aparicin de los conceptos de seguridad

informtica, la cual comenz a tomar forma en la ltima dcada, desde principios
del siglo XX, en los aos ci ncuenta, cuando se extendi el uso de lneas
telefnicas.
Estos sistemas albergaban fallos que eran explotados por intrusos que
accedan a los sistemas pudiendo desviar llamadas a su antojo, escuchar
conversaciones, etc. Los primeros denominados hackers reconocidos datan de
los aos sesenta. Este trmino era utilizado para describir a personas
obsesionadas por aprender todo lo posible sobre los sistemas electrnicos.
En los aos sesenta surge la subcultura hacker y se extiende el uso del trmi
no phreaker, persona que vulnera la seguridad de los elementos de
comunicaciones. Llamadas gratuitas, escuchas ilegales, etc., estn al alcance de
los intrusos. Los sistemas manuales para encaminar llamadas telefnicas
operados por personas han sido sustituidos por sistemas automticos operados
por ordenadores.
Dichos sistemas, basados en su mayora en tonos
multifrecuencia, permiten nuevos ataques: el canal utili zado para comunicarse
es el mismo que se utiliza para seali zar, por lo que los i ntrusos, una
vez conocidas las frecuencias de seali zacin, emiten tonos especiales

para evitar la tarificacin de llamadas, realizar desvos, etc. 6

dcada se iniciaron los primeros estudios en
4 LVARE Z MA RAN, P RE Z GA RCA S eguridad Inform tica para Em presas y
Particulares, pg. 14.
5 Ibd., pg. 16.
6 Ibd., pg. 20, 22.

En esta

seguridad informtica, ya centrada en el mbito uni versitario y militar, que

buscaba proteccin a la informacin, as como se le daba a la infraestructura
fsica del organismo.
Los aos ochenta, destacados por la aparicin de Internet y la masificacin de
los ordenadores personales, tambin fueron importantes por los desarrollos reali
zados en materia de seguridad. Aparecieron los primeros programas detectores
de intrusos y de proteccin de la informacin, manejados principalmente en
empresas grandes, uni versidades y en la parte mi litar. Estas enti dades se
preocupaban porque sus programas realizaran las acti vidades para las que
fueron diseados pero siendo vulnerables, no dimensionaban las
consecuencias que podran traer las intrusiones o los virus, por ejemplo. A
raz de esta preocupacin general, se inici la aprobacin de leyes que
castigaran de cualquier modo la intrusin a cualquier ordenador o i nformacin.
En 1987 se confirma el primer virus informtico creado por Robert Morris, el cual
caus daos importantes en la red ARPANET, precursora de Internet.
En la dcada de los noventa ya el trmi no hacker pas a ser si nnimo
de delincuente y ocurrieron varios ataques informticos importantes, entre ellos
el del seor Kevin Mitnick, quien logr robar ms de 20000 nmeros de tarjetas
de crdito, burlar la seguridad del FBI y controlar varios centros de conmutacin
telefnica en los Estados Unidos, entre otras cosas, cuando fi nalmente
fue capturado en el ao 1995.
En
las
empresas
se
empieza
a
manejar
un
departamento
dedicado exclusi vamente a la Seguridad de la Informacin para Empresas y
Particulares; aparecen los primeros cortafuegos y es la puerta para iniciar el
desarrollo de todas las tcnicas anti virus, firewall, anti-troyanos, etc., conocidos
hasta hoy.
En su estudio ms reciente sobre este tema, el CERT informa que en el ao
2003 se han producido ms de 100.000 incidentes de seguridad y que se ha i
nformado de ms de 3.000 vulnerabilidades. Si se comparan estos datos con
los primeros publicados en 1988, que recogan 6 incidentes y 171
vulnerabilidades, uno se puede dar cuenta de lo mucho que ha evolucionado
la seguridad informtica, o inseguridad, segn se mire, en los ltimos 15 aos.
Por su parte, el estudio sobre seguridad y crimen informtico del
Computer Security Institute (CSI), arroja datos en los que se estiman las
prdidas de los sistemas analizados en ms de 141 millones de dlares por
problemas de seguridad. Esta cantidad impulsa la teora de que en
seguridad informtica el dinero siempre se gasta: o bien antes, en proteger o
bien posteriormente, en recuperar.

En el ao 2003, mientras que tecnologas como cortafuegos y antivirus tiene

un despliegue cercano al 100%, la biometra, los sistemas de prevencin
de intrusiones (IPS) y las infraestructuras de clave pblica (PK1) estn
todava por debajo del 50%. Los sistemas para el cifrado de datos en trnsito,
los sistemas de deteccin de intrusiones (IDS) y las listas ACL para control de
accesos al sistema de archivos estn rondando un despliegue en torno al
75%.
Estos datos facilitados por el CSI vislumbran un futuro
prometedor para la seguridad
informtica y un largo camino por recorrer .
7

Como ya ha sido evidenciado, la evolucin de los problemas informticos ha sido

realmente progresiva y las organizaciones han empezado a tomar medi das
al respecto. Expertos en el tema, sugieren dividir en secciones este proceso
para facilitar su comprensin y posterior intervencin, teniendo en cuenta que,
de acuerdo a la historia, el problema se fortaleci con la aparicin y
consolidacin de Internet.
Gonzalo Alvarez Maran y Pedro Pablo Prez Garca en su libro Seguridad de
la Informacin para Empresas y Particulares, di vide en seis partes esta
disciplina:
4.4 GENERALIDADES DE LA SEGURIDAD DE LA INFORMACIN
EMPRESAS Y PARTICULARES

PARA

La Seguridad de la Informacin para Empresas y Particulares es una

disciplina que se ocupa de gestionar el riesgo dentro de los sistemas
informticos. 8 La palabra Riesgo es definida, segn la Real Academia de la
Lengua, como la posibilidad de que algo falle.
Es una medida cuantitativa de la importancia de un incidente que es
mayor cuanto mayor es su impacto y probabilidad9.
Los riesgos no se pueden elimi nar en su totalidad, pero si pueden
controlarse. Para esto es importante i niciar la planeacin de un proceso
completo de seguridad, desde el diagnstico de los riesgos y lo que implica,
econmicamente hablando, cada uno de ellos para la organi zacin, teniendo
en cuenta que no es suficiente con tener i nstalado el mejor anti virus o
sistema de cifrado, se debe proteger el software, el hardware y la red en
general, contemplando tambin los riesgos que pueden surgir por parte del
factor humano. Este es un proceso que no termi na y que debe estar en
constante evaluacin y evolucin.

7 Ibd., pg. 20 y 21
8 Ibd., pg. 2
9 CANAL, Aceituno. Op.cit., pg. 21.

Todo usuario o empresa tiene la expectati va de que todo lo que haga

est correcto, que haya garanta en cuanto a almacenamiento y a la
integridad de la informacin que manipula; pero sta a su vez, puede ser blanco
de fraude, ya sea por personas externas o por los mismos usuarios de la organi
zacin.
La informacin puede ser manipulada de muchas maneras y todas ellas son
definidas como ataques i nformticos. Puede hablarse de i nsercin,
modificacin, intercepcin e i nterrupcin de la informacin, complementados
con una falla provocada de hardware o software y en todas ellas, el comn
denominador es beneficiar los intereses de un tercero.
Las herramientas de seguridad han sido diseadas por expertos pensando
siempre en prevenir, detectar y recuperar y es tarea del admi nistrador de
sistemas seleccionar la mejor de cada una de ellas para garanti zarla. Debe
contarse con las tres a la vez, dado que no tiene sentido solo prevenir o solo
detectar o solo dedicarse a recuperar lo que se pierde.
Cada medida de seguridad que se tome debe estar totalmente
contextualizada, con el fi n de evitar implantar soluciones que no satisfagan
esas expectativas que se desean cumplir. Es importante y clave tambin,
evaluar su facilidad de adquisicin y manejo, costo, mantenimiento y operacin.
Analizar si es necesario que vaya combinada con un software o hardware para
garanti zar los resultados esperados.
Para determi nar un riesgo se puede utili zar la relacin amenaza +
vulnerabilidad.
Amenaza: rene
todos los componentes que pueden atacar
un
sistema. Cualquier circunstancia potencial que pueda afectar los procesos o
expectativas de la organizacin. 10
Vulnerabilidad: punto en el que un recurso es susceptible de ataque. Al
realizar esta relacin, podemos cuantificar el dao que se causara si la
amenaza cumpliera su objeti vo y obviamente sera directamente proporcional
al grado de vulnerabilidad del sistema.
Malware: todo software daino para los sistemas, englobndose dentro del
trmino a virus, gusanos y troyanos.
Virus: son programas normalmente dainos que se aaden a ficheros
ejecutables y tiene la propiedad de ir replicndose por los sistemas y/o ficheros
adyacentes. Los virus informticos pueden causar muertes de sistemas.

10

Ibd., pg. 24.

Gusanos: son piezas de cdigo que se replican por la red de forma autom
tica, para lo que se valen de vulnerabilidades de sistemas o del desconocimiento
de los usuarios. Como resultado del proceso de copia masi vo, los gusanos
pueden saturar el ancho de banda de la red o utili zar todo el espacio de
disco de un sistema, por lo que los costes de indisponibilidad que provocan son
considerables.
Troyano: son programas que poseen puertas traseras y son i nvocados por
los
intrusos. 11
4.5 ANONIMATO Y PRIVACIDAD
Esta parte del estudio de la Seguridad de la Informacin, sugiere que el
anonimato y la pri vacidad son trminos de manejo relati vo, sobre todo si
estamos en entorno web. Todos pensamos que al navegar por Internet
estamos totalmente libres de que alguien se entere de nuestras visitas, rutinas
o trmites. Interpretamos mal el trmino anonimato y pensamos que gozamos
de privacidad.
Cualquier navegador permite guardar el rastro de todo lo que hacemos en la
web; incluso a travs de la direccin IP se puede rastrear una persona, a travs
de las cookies se puede encontrar informacin personal o de contraseas y ni
hablar del historial que permite hacer seguimiento de las pgi nas visitadas.
Entonces surge la pregunta: Qu tan pri vado y tan annimo es lo que
hacemos?
Existen muchas maneras de contrarrestar esta amenaza constante que de
manera silenciosa tenemos en nuestros computadores personales.
Estas
consisten en el manejo de proxies para la navegacin web, la proteccin
contra cookies, el manejo del spyware y del correo electrnico.
4.6 CONFIDENCIALIDAD,
DISPONIBILIDAD

INTEGRIDAD,

Como ya fue evidenciado, varios autores confirman que estos tres pilares son
vitales en el tema de seguridad informtica.
Si todos estn completamente
alineados y controlados, se puede decir que los datos estn bien custodiados.
Es aqu donde se introduce el trmi no cifrado, que corresponde a
aplicar algoritmos de clave secreta que permiten guardar los datos de
muchas aplicaciones accedidas por una contrasea disti nta, en una sola
contrasea robusta. Los datos no podrn ser accedidos sin ella, as tenga el
23

atacante, acceso al disco. El manejo de contraseas debe ser totalmente

controlado, estable y bien diseado para que el xito en la confidencialidad se
asegure.
11

LVAREZ MA RAN, PRE Z GA RCA. Op.cit., pg. 39, 40.

24

En cuanto a la integridad, es importante garanti zar que los datos que

manipulamos o consultamos estn siempre correctos y sin alteraciones. Es
impedir a toda costa que personas no autorizadas accedan a i nformacin que
no les compete. Las copias de seguridad de los datos juegan un papel vital en
este punto, dado que el hecho de perder informacin atenta contra la
estabilidad de la organizacin. Existen tcnicas muy bien respaldadas para tal fi
n.
La disponibilidad proporciona una garanta de que la informacin siempre ser
accesible, sin interrupciones ni fallos, a cualquier hora.
Es una tarea
sumamente ardua, dado que el admi nistrador debe estar pendiente de todo lo
concerniente a fallos de hardware, sumi nistro de energa, accidentes naturales
o artificiales, de ventilacin, etc., as como de disear planes de conti
ngencia ante posibles inconvenientes. En este tem, de igual manera, las
copias de seguridad son importantes al momento de tener la necesidad de
restaurar una de ellas, por presentarse un episodio de no acceso a un recurso o
programa.
4.7 SEGURIDAD EN LAS REDES
Reduce toda la teora al trmi no Cortafuegos o Firewall. Es un mecanismo
que protege a la red de intrusiones por parte de entes o personas externas a
ella. El xito de esta prctica, se centra en la administracin correcta y
controlada de todos sus componentes.
La proteccin no slo debe hacerse de manera lgica, sino tambin fsica, ya
que los dispositivos que permiten la comunicacin tambin son susceptibles de
ataques.
4.8 PROTECCIN A LOS EQUIPOS
Este elemento centra su atencin especial hacia el fortalecimi ento en la
seguridad del sistema operativo, buscando soluciones que permitan
minimi zar las vulnerabilidades de cada estacin de trabajo. Este proceso va
muy ligado a la poltica de seguridad de la organizacin, ya que el correcto
funcionamiento y acatamiento de ella, facilita la administracin del sistema
operati vo y por ende de sus herramientas de seguridad.
4.9 AUDITORA,
FORENSE

DETECCIN

DE

INTRUSIONES

AN

LISIS

Es el complemento perfecto para llevar a cabo un proceso global de seguridad

de la informacin. Es a la vez complejo, costoso y muy pocas personas

tienen acceso a l. Permite reali zar una revisin mecnica, no crtica, del
manejo, administracin y mantenimiento de
la poltica de seguridad y sus
implicaciones.

Se especializa en detectar intrusiones con herramientas avanzadas y analizar

desde el punto de vista forense, los ataques que se lleven a cabo, con el fin
de determinar causas, lugares y autores, con un enfoque netamente
investigativo, para hallar culpables y aplicar leyes, si existen.
Las fuentes consultadas fueron de gran utilidad para el desarrollo del proyecto,
por
ser las ms actuali zadas y detalladas con respecto al tema. No manejan el
tema
de manera global sino que dividen muy bien cada uno de los temas para facilitar
el aprendizaje.

5. PRESENTACIN Y ANLISIS DE LOS RESULTADOS

Como anteriormente se anot, a travs de la aplicacin de una encuesta, de

entrevistas personales, de experiencias propias y del mtodo de la
observacin, se anali zaron cuatro puntos neurlgicos dentro de la organi zacin,
encontrando lo siguiente:
5.1 VULNERABILIDAD DE LAS CONTRASEAS
Se dise una encuesta que permiti reflejar la problemtica actual respecto al
manejo de las mismas. Se aplic a una muestra de 20 personas ubicadas en
la parte administrati va de la empresa, quienes son los responsables de
manejar informacin netamente confidencial. La poblacin total es de 50
personas, pero se tom una muestra de las 20 que ms acceden al software con
mayor responsabilidad por las funciones que manejan en el software.
La encuesta fue estndar, de preguntas cerradas y de filtro y la recoleccin de la
informacin fue directa; cada persona respondi su cuestionario.
A
continuacin se muestran los resultados de la encuesta.
5.2 TABULACIN Y GRFICAS DE LA INFORMACIN
Pregunta 1. Cuntas contraseas maneja actualmente (i ncluya por favor las
que utili za para su trabajo habitual y las que usa en Internet)
Tabla
1.
actualmente.

Contraseas

Opci
n
Solo tengo
una
contrasea
Tengo varias
pero siempre
utilizo la misma
para
todo
(2)
Tengo
2 diferentes
(3)
Tengo 3 diferentes
(4)
Tengo
4 o ms (5)

que

maneja

Respuestas Porcent
aje
3

15.00%

1
2
6
8

5.00%
10.00%
30.00%
40.00%

No poseo contraseas
para nada (6)

0.00%

Grfico 1. Contraseas que maneja actualmente.

Pregunta 2. A qu tipo de informacin accede con sus contraseas?

Tabla 2. Tipo de i nformacin a la que accede con las contraseas.
Opci
Laboral y n
confidencial
Personal
y (1)
confidencial
(2)
Todas las anteriores
(3)

Respuesta Porcent
s
aje
7
35.00%
1
12

5.00%
60.00%

Grfico 2. Tipo de informacin a la que accede con las contraseas.

Pregunta 3. Qu criterios utiliza para crear sus contraseas?.

Tabla 3. Criterios que utili za para crear contraseas.
Opci
Palabrasnfamiliares
(1)Dgitos alusivos
a fechas
especiales
(2) a
Dgitos
y letras
la vez (3)
Solo dgitos (4)
Solo letras (5)
Ninguna de las
anteriores; la
contrasea me
fue asignada
(6)

Respuestas Porcent
aje
0
0.00%
1

5.00%

10
3
1

50.00%
15.00%
5.00%

25.00%

Grfico 3 Criterios que utili za para crear contraseas.

Pregunta 4. Olvida con facilidad sus contraseas?

Tabla 4. Olvido de las contraseas.
Opci
n
S
(Y)
No
(N)

Respuestas Porcent
aje
2
10.00%
18
90.00%

Grfico 4. Olvido de las contraseas.

Pregunta 5. Tiene escritas sus contraseas en algn lugar?

Tabla 5. Escritura de contraseas.
Opci
n
S
(Y)
No
(N)

Respuest
as 2
18

Grfico 5. Escritura de contraseas.

Porcentaj
e10.00%
90.00%

Pregunta 6. Indique el lugar donde almacena sus contraseas

Tabla 6. Lugar donde almacena las contraseas.
Opci
n
En un archivo de texto
ubicado en
mi computador o memoria
USB
(1)
En un
cuaderno o libreta
personal (2)
En mi mente (3)

Respu
Porcent
es
aje
ta
1
5.00%

1
9

5.00%
45.00%

Mi respuesta anterior fue

9
45.00%
NO
(4)
Grfico 6. Lugar donde almacena las contraseas.

Pregunta 7. Cada cunto tiempo cambia sus contraseas?

Tabla 7. Tiempo de cambio en las contraseas.

Opci
n meses
Cada tres
(1)
Cada seis meses
(2)Cada ao (3)
Nunca (4)

Respuestas Porcent
aje
2
10.00%
2
10.00%
5
25.00%
11
55.00%

Grfico 7 Tiempo de cambio en las contraseas.

Pregunta 8. Sus contraseas son asignadas por?

Tabla 8. Asignacin de las contraseas.
Opci
n
El Departamento
de Sistemas de la
empresa (1)
Creadas por mi
(2)

Respuestas Porcent
aje
10
10

50.00%
50.00%

Grfico 8. Asignacin de las contraseas.

Pregunta 9. Dentro del grupo de contraseas que maneja, existe alguna que
por motivos laborales o personales, deba compartir?
Tabla 9. Existe alguna contrasea que deba compartir
Opci
n
Si, algunas
(1)
Si, todas (2)
No las comparto
(3)

Respuestas Porcent
aje
12
60.00%
1
5.00%
7
35.00%

Grfico 9 Existe alguna contrasea que deba compartir

Pregunta 10. Existe actualmente alguna poltica o procedimiento a

seguir,
impartido por la empresa, para el manejo adecuado de las contraseas?
Tabla 10. Poltica o procedimiento a seguir, impartido por la empresa, para
el manejo adecuado de las contraseas.
Opci
n
S
(Y)
No
(N)

Respuestas Porcent
aje
5
25.00%
15
75.00%

Grfico 10. Poltica o procedimiento a seguir, impartido por la empresa, para

el manejo adecuado de las contraseas

Pregunta 11. Cuntos caracteres uti liza para crear sus contraseas?
Tabla 11. Nmero de caracteres para crear las contraseas.
Opci
Entren1 y 3 (1)
Entre 4 y 6 (2)
Ms de 6 (3)

Respuestas Porcent
aje
2
10.00%
5
25.00%
13
65.00%

Grfico 11. Nmero de caracteres para crear las contraseas.

Pregunta 12. Es cuidadoso al digitar su contrasea en compaa de

otras personas que se encuentren cerca de usted?
Tabla 12. C uidado al digitar la contrasea en compaa de otras personas.
Opci
Respuest
n
as 10
Si, algunas veces (1)
Si, siempre
10
(2)
No me preocupa en lo absoluto
0
(3)

Porcentaj
e50.00%
50.00%
0.00%

Grfico 12. Cuidado al digitar la contrasea en compaa de otras personas.

Pregunta 13. Acostumbra bloquear su equipo o cerrar su sesin de

trabajo mientras no est usando su computador?
Tabla 13. Bloqueo de computador o cierre de sesin.
Opci
n
Siempre
(1)
A veces (2)
Nunca (3)

Respuestas Porcent
aje
8
40.00%
5
25.00%
7
35.00%

Grfico 13. Bloqueo de computador o cierre de sesin.

Pregunta 14. Solicita usted el cambio de su contrasea i nmediatamente si

siente que ha sido conocida por alguien?
Tabla 14. Solicitud de cambio de contrasea
Opci
n
S
(Y)
No
(N)

Respuestas Porcent
aje
13
65.00%
7
35.00%

Grfico 14. Solicitud de cambio de contrasea

5.3 ANLISIS DE LA INFORMACIN

El anlisis de los resultados es el siguiente:
El 40% de los encuestados tiene ms de 4 contraseas, las cuales utili zan para
el acceso a aplicaciones de la empresa, a Windows, a servicios web, etc.
El 60% de la i nformacin a la que se accede es netamente confidencial.
El 50% de los encuestados utili zan dgitos y letras para crear sus contraseas.

El 90% no
contraseas.

olvida

con

facilidad

sus

El 90% de los encuestados no escribe sus contraseas en otros lugares.

Estas son memori zadas.
El 55%
no
contraseas.

cambia

nunca

sus

Al 50% de los encuestados, las contraseas les son asignadas por la

empresa.
El 60% del personal encuestado comparte sus contraseas por motivos
laborales. El 75% del personal encuestado manifiesta que no existen en la
empresa polticas claras en cuanto al manejo de las contraseas.
El 65% utiliza ms de 6 caracteres para crear sus
contraseas.
El 50% de los encuestados se cuida de digitar sus contraseas frente a
otras personas.
El 35% de los encuestados nunca bloquea su equipo o cierra su sesin de
trabajo
cuando se va a ausentar por un determi nado periodo de
tiempo.
El 65% solicita cambio de contrasea cuando siente que ha sido expuesta a
otras personas.
En la segunda parte del estudio, se utili z la herramienta Password Meter
que permite conocer en porcentaje, qu tan segura es la contrasea que se
ingresa. Tiene en cuenta la extensin, los tipos de caracteres utili zados, que
stos no sean consecuti vos, que existan smbolos, etc. Adems tiene 4 ni veles
de calificacin:
Excepcional: la seguridad de la contrasea es perfecta.
Suficiente: puede mejorarse pero es segura.
Advertencia: determi na en qu aspecto debe mejorarse la contrasea.
Fallida: no cumple con los estndares mnimos de seguridad.
Se utili z esta ayuda para medir la seguridad en las contraseas de los
20 encuestados y el porcentaje promedio fue del 30% para un nivel de
calificacin Dbil. En la Figura 2 se muestra como ejemplo una de las
contraseas que se ingresaron.

5.4 MANEJO DE PERFILES (Control de Accesos)

En este punto se evidenci, por medio de entrevistas personales, que
actualmente el acceso al software de produccin de la empresa,
especficamente al mdulo administrati vo, no tiene limitacin alguna con
respecto a los diferentes usuarios.

Cada usuario, adems de realizar su labor habitua l, puede consultar

otra informacin que nada tiene que ver con sus funciones y que mal manejada
puede causarle problemas a la organi zacin. De igual manera se pudo
determinar que los usuarios y contraseas son compartidos por muchas
personas y no se controlan los cambios de cargo o los retiros de la empresa
para inhabilitar los accesos.

Figura 2. Ejemplo de una de las contraseas que se

ingresaron.

En el proyecto de intervencin presentado, no se manifiesta la posibilidad de

intervenir de manera personal para solucionar los inconvenientes encontrados
en el diagnstico general de la seguridad informtica, si no de dar
las recomendaciones para mejorar en este aspecto.
Es importante aclarar que la aplicacin no posee, desde su interfaz de usuario,
las facilidades necesarias para asignar perfiles a los diferentes usuarios. Esta
labor debe solicitarse al personal del Datacenter y all, al tener acceso total a la
base de datos, por medio de cdigo se configurara cada perfil.
5.5 ESTANDARIZACIN DE PROCESOS PARA LA ADMINISTRACIN DE
HARDWARE Y SOFTWARE
Para Apostar S.A. es de total relevancia tener todos sus servicios disponibles en
todos los puntos de venta en su horario laboral, por lo tanto, se debe asegurar la
calidad al momento de dotar un punto de venta de los equipos de cmputo
necesarios para llevar a cabo la labor, en todo lo referente a hardware y
a software.
Despus de realizar algunas entrevistas al personal del rea de sistemas, se
pudo evidenciar que no existe un orden a seguir en lo que se refiere a la
configuracin de los equipos que salen a produccin en determi nado
momento. No hay

documentacin al respecto y el proceso depende de la memoria de

los encargados, lo cual puede facilitar que se obvien detalles importantes al
momento de configurar los equipos. Si bien, es una labor repetitiva, debe ser de
total conocimiento para el personal que llegue a la dependencia.
La importancia de esta parte del diagnstico radica en garantizar el
funcionamiento correcto tanto en software como en hardware de los equipos
que se envan a los puntos de venta o a una de las dependencias de la organi
zacin. No se trata nicamente de validar los requerimientos de hardware o de
software sino su ejecucin con el fi n de evitar perder tiempo valioso y por
ende ingresos monetarios para la empresa, producto de la produccin en los
puntos de venta. Cabe aclarar que este punto se refiere especficamente a la
configuracin de cada equipo de cmputo y no al control de i nventario de
hardware y software.
5.6 POLTICA DE BACK UP
Actualmente la empresa cuenta con un respaldo slido en la parte de back ups
de las bases de datos, pero no existe ninguna, con respecto al respaldo de los
documentos de cada estacin de trabajo de la parte administrativa de
la organi zacin.
Si alguno de ellos debe ser formateado por problemas
de funcionamiento, o peor an, presenta una falla en la que el equipo
queda inservible, toda la i nformacin se pierde y es el usuario quien debe
empezar a reconstruir cada uno de los archivos perdidos.
Algunos usuarios tienen sus propios mtodos para conservar sus archi vos,
por iniciativa propia, como pueden ser copias en cd o en usb.
Como es evidente no es una prctica segura que los usuarios lleven consigo
la informacin que le pertenece a la empresa y esto puede facilitar la
manipulacin de la i nformacin y la intrusin por parte de terceros.

6. CONCLUSIONES

Con base en estos resultados se concluye lo

siguiente:
No existe una poltica de seguridad con los li neamientos a seguir para evitar
poner en riesgo la i nformacin.
Si bien la cantidad de contraseas que a diario se utilizan es considerable, no se
toman las mejores medidas en cuanto a su seguridad.
Se evidencia con preocupacin que nunca se cambian, que son dbi les en
su estructura, que son compartidas por varias personas con consentimiento y
que su estructura no cumple con los requerimientos mnimos de seguridad.
Se concluye tambin que las personas encuestadas no conocen los riesgos
que se corren por el manejo inadecuado de las contraseas. Esto ocurre
porque la empresa no tiene una poltica clara de seguridad en cuanto al manejo
de las mismas.
No se asignan perfiles a los diferentes usuarios para que se limite el acceso
a informacin relevante para la organizacin y que no es de necesario
conocimiento para algunos de ellos.
No hay una directriz clara en lo que respecta a la configuracin de hardware
y software en equipos de cmputo nuevos, con el fin de garanti zar la
calidad y seguridad en su funcionamiento al ser llevado a un punto de venta.
No existen las copias de seguridad para los archi vos personales de cada una
de las estaciones de trabajo de la parte administrativa.
La empresa es consciente de toda esta problemtica y con base en el
presente informe, iniciar la planeacin de las actividades que conlleven a
mejorar en este aspecto.

7. RECOMENDACIONES

De acuerdo a lo reflejado en el presente diagnstico, se recomienda iniciar de

manera urgente la elaboracin de la Poltica de Seguridad Informtica
para Apostar S.A., sociali zarla y hacerla cumplir, con el fi n de contrarrestar los
cuatro puntos neurlgicos descritos a continuacin:
Vulnerabilidad y Manejo de Contraseas
Al darle a conocer al personal la poltica de seguridad, ellos mismos estarn
en capacidad de modificar sus contraseas en favor de la seguridad
de la informacin. Se recomienda dar una ambientacin prctica de cmo
escoger una buena contrasea y como proteger los datos, tanto de la
organizacin como los personales.
Manejo de Perfiles
Se recomienda reali zar un informe completo con todo el personal que maneja
la parte administrativa del software de produccin de la empresa, con el fi n
de determinar que tipo de acceso requiere cada persona y generar usuarios y
claves para cada uno de ellos. Adems se debe incluir en la poltica el manejo
que se le debe dar a los usuarios que se retiran de la empresa o se trasladan de
cargo.
Estandarizacin de procesos para la administracin de hardware y
software
Se recomienda reali zar una lista de chequeo que i ncluya los requerimientos
de hardware y software necesarios para que un computador salga a produccin
a un punto de venta. Esta lista debe incluir en lo posible, la firma del Director
de Sistemas, quien garantizar que este dispositivo brindar un servicio ptimo
en el punto de venta. Este formato a su vez, podr servir para controlar el
inventario de hardware que la empresa posea.
Poltica de Back Up
Se recomienda buscar una herramienta libre que permita realizar las copias de
seguridad sobre los archi vos de cada equipo de la parte administrativa
para garanti zar su permanencia, seguridad e integridad.

Finalmente, cabe aclarar, que todas las directrices que se incluyan en la

poltica de seguridad, deben ser socializadas y apoyadas por las directivas de la
empresa, para garantizar su cumplimiento.

BIBLIOGRAFA

LVAREZ MARAN, Gonzalo, Seguridad Informtica para Empresas y

Particulares. Espaa. Editorial Mc Graw Hill, 2004. 440 p. ISBN 8448140087.
ACEITUNO CANAL, Vicente, Seguridad de
Editorial Limusa 2006. 170 p. ISBN 9681868560.

la

Informacin.

Mxico.

ht tp: // www.aposta r.com .co/spages/emp resa , diciembre de

2009.
MARTINEZ BENCARTINO, Ciro, Estadstica y Muestreo 9 Edicin. Santaf
de Bogot: Ecoe Ediciones, 1998. 886p. ISBN 9589074162.

APNDICE

ENCUESTA
Encuesta aplicada para determinar la vulnerabilidad de las contraseas
1. Cuntas contraseas maneja actualmente (i ncluya por favor las que
utiliza para su trabajo habitual y las que usa en Internet)
Solo tengo una contrasea
Tengo varias pero siempre utili zo la misma para todo
Tengo 2 diferentes
Tengo 3 diferentes
Tengo 4 o mas
No poseo contraseas para nada
2. A qu tipo de informacin accede con sus contraseas?
Laboral y confidencial
Personal y confidencial
Todas las anteriores
3. Qu criterios utili za para crear sus contraseas?
Palabras familiares
D gitos alusivos a fechas especiales
D gitos y letras a la vez
Solo dgitos
Solo letras
Ni nguna de las anteriores; la contrasea me fue asignada
4. Olvida con facilidad sus contraseas?
S
No
5. Tiene escritas sus contraseas en algn lugar?
S

 No
6. Indique el lugar donde almacena sus contraseas
En un archi vo de texto ubicado en mi computador o memoria USB
En un cuaderno o libreta personal
En mi mente
Mi respuesta anterior fue NO
7. Cada cuanto tiempo cambia sus contraseas?
Cada tres meses
Cada seis meses
Cada ano
Nunca
8. Sus contraseas son asignadas por?
El Departamento de Sistemas de la empresa
Creadas por mi
9. Dentro del grupo de contraseas que maneja, existe alguna que por moti
vos laborales o personales, deba compartir?
Si, algunas
Si, todas
No las comparto
10. Existe actualmente alguna poltica o procedimiento a seguir, impartido por
la empresa, para el manejo adecuado de las contraseas?
S
No
11. Cuntos caracteres utili za para crear sus contraseas?
Entre 1 y 3
Entre 4 y 6
Ms de 6
12. Es cuidadoso al digitar su contrasea en compaa de otras personas que
se encuentren cerca de usted?
Si, algunas veces
Si, siempre
No me preocupa en lo absoluto

13. Acostumbra bloquear su equipo o cerrar su sesin de trabajo mientras no

est
usando su computador?
Siempre
A veces
Nunca
14. Solicita usted el cambio de su contrasea inmediatamente si siente que
ha sido conocida por alguien?
S
No