Академический Документы
Профессиональный Документы
Культура Документы
ESCUELA DE POSGRADO
TESIS
PRESENTADA POR:
PUNO, PERÚ
2018
Puno, 26 de Julio del 2018
ÁREA: Estadística.
TEMA: Seguridad de los sistemas informáticos.
LÍNEA: Tecnologías de información.
DEDICATORIA
Consejos.
i
AGRADECIMIENTOS
- A Dios porque ha estado conmigo en cada paso que doy hoy y siempre, dándome así fortaleza para
continuar desarrollándome en este escenario académico social profesional.
- Agradezco en forma especial al Doctor Alejandro Apaza Tarqui, Director de la Maestría en Informática
por su valiosa contribución a través de sus orientaciones y su permanente apoyo como asesor del
presente trabajo de investigación.
- A mis docentes de la Facultad de Estadística e Informática de la UNA Puno, que en un inicio nos
marcaron con sus enseñanzas teniendo a si sólidos conocimientos académicos, los cuales hoy en día
se ven claramente acrecentados, gracias a ello actualmente compartimos todos estos frutos
académicos con la Sociedad. Gracias por prepararnos para un futuro competitivo no solo como los
mejores profesionales sino también como mejores personas.
ii
ÍNDICE GENERAL
Pág.
DEDICATORIA .............................................................................................................. i
AGRADECIMIENTOS .................................................................................................. ii
RESUMEN ..................................................................................................................... x
ABSTRACT................................................................................................................... xi
INTRODUCCIÓN .......................................................................................................... 1
CAPÍTULO I
REVISIÓN DE LITERATURA
1.1.12 API.............................................................................................................. 6
iii
1.1.14 Cobit ........................................................................................................... 6
1.1.30 Integridad.................................................................................................. 12
iv
1.1.40 Prueba de Wilcoxon ................................................................................. 16
CAPÍTULO II
CAPÍTULO III
MATERIALES Y METODOS
v
3.4 Método de Investigación ......................................................................................... 31
CAPÍTULO IV
RESULTADOS Y DISCUSIÓN
CONCLUSIONES ........................................................................................................ 50
RECOMENDACIONES ............................................................................................... 52
BIBLIOGRAFIA .......................................................................................................... 53
ANEXOS ...................................................................................................................... 57
vi
ÍNDICE DE TABLAS
Pág.
vii
ÍNDICE DE FIGURAS
Pág.
viii
ÍNDICE DE ANEXOS
Pág.
1. Cuestionario ................................................................................................................ 58
2. Registro de datos del escrutinio del cuestionario....................................................... 62
3. Librerías exportables del Sistema Operativo .............................................................. 63
4. Diagrama de Actividades basado en UML de la Aplicación SustractFile .................. 67
ix
RESUMEN
x
ABSTRACT
The present work addresses issues of security and insecurity in computer systems, due
to the uncertainty about the perception of existing security. It is expected to comply
with the confidentiality, integrity and availability of information according to ISO
27001. This is applied in various scenarios of software development in an empirical
way, these requirements take greater value in the data management of public and private
entities, because the absence of security in the systems destabilizes the global social
order. The present work is associated to a group of Mypes sampled, in which the
insecurity is evidenced, due to the way of development of its processes for the assurance
of the information. Regarding the method, four technological treatments were evaluated
in two fixed factors, so measuring the degree of safety and insecurity in the Mypes
through the Completely Random Factorial Design. The four treatments have been
applied to the sample group, seeking to identify differences between treatments.
Regarding the results and according to the general hypothesis, the Univariate Factor
Analysis test was not significant P-value> level is significant, which leads to indicate as
conclusions that it is not enough to provide physical and logical technological
treatments to the Mypes sampled, this if the staff that directs them does not have the
academic solvency required for the adequate development of security protocols,
technological management plans and information security management systems, which
contribute to the assurance of information.
xi
INTRODUCCIÓN
2
CAPÍTULO I
REVISIÓN DE LITERATURA
3
tratamientos (Ho: µ1= µ2=…= µa o de manera equivalente, Ho: t1= t2=…= ta = 0).
puesto que se ha supuesto que los errores eij (residuos generados durante el análisis)
siguen una distribución normal e independiente con media cero y varianza σ2, las
observaciones yij tienen una distribución normal e independiente con media µ + ti y
varianza σ2 (Montgomery, 2004). El análisis estadístico es una forma de comprobar
un resultado a través de la prueba estadística, si la prueba resulta significante (p-
valor < α) aceptamos la hipótesis de diferencias (Ha); en caso contrario: (p-valor >
α) aceptamos la hipótesis de igualdades (Ho). Estos procedimientos contribuyen a
la validación, incluyendo al presente.
Al analizar los datos cuantitativos se debe recordar dos cuestiones: primero, que
los modelos estadísticos son representaciones de la realidad, no la realidad misma;
y segundo, los resultados numéricos siempre se interpretan en contexto, por
ejemplo, un mismo valor de presión arterial no es igual en un bebé que en una
persona de la tercera edad (Hernández, Fernández, 2014).
4
1.1.7 Alfa de Cronbach
5
1.1.10 Análisis de Varianza
1.1.12 API
1.1.14 Cobit
6
También se le puede definir como un conjunto de herramientas de soporte
empleadas por los gerentes para reducir la brecha entre los requerimientos de
control, los temas técnicos y los riesgos del negocio. Así, mediante COBIT se
puede desarrollar una política clara que permite el control de las Tecnologías de la
información en la organización. La aplicación de este marco incide especialmente
en el cumplimiento regulatorio y ayuda a incrementar el valor asociado al área de
Tecnologías de información de la organización (Peña, 2012).
1.1.15 Confidencialidad
7
Figura 1. Diagrama de Componentes Reutilizables
8
Claramente se puede distinguir la dependencia entre aplicaciones, por tanto para que el
sistema operativo sea funcional requiere de múltiples componentes que administren y
controles las operaciones que lleva a cabo entre el Sistema Operativo. En la Figura 02 se
observa claramente la función (CallWindowsProc) del user32.dll, función que es
reutilizada para entre otras cosas la sustracción de datos con ayuda de un Hook.
9
intervinientes) claro esta previa evidenciación de que afectan al resultado final.
Todo esto contribuye en generar un diseño experimental robusto y adecuado.
1.1.20 Disponibilidad
1.1.25 Firewall
11
Figura 3. El Firewall y su entorno operacional
1.1.26 Librería Gdi32.dll
1.1.30 Integridad
12
seguridad en las tecnologías de la información (TICs), aborda los problemas
generales de administración que son esenciales para la planificación,
implementación y operación de la seguridad de las TICs. (ISO/IEC 13335-1,
2004).
1.1.31 Intrusismo
1.1.34 Mype
13
extracción, transformación, producción, comercialización de bienes o prestación
de servicios (SUNAT, 2017).
Existen factores que pueden hacer que un equipo sea más vulnerable a los
ataques de software malicioso, como defectos en el diseño del sistema operativo,
que todos los equipos de una red ejecuten el mismo Sistema Operativo, que los
14
equipos estén conectados al internet (Norton, 2018). Debido a la popularidad de
Microsoft, la mayoría del software malicioso se escribe para el sistema
Windows.
15
desconocida. En un estudio no paramétrico, se elimina el supuesto de
normalidad. Los métodos no paramétricos son útiles cuando no se cumple el
supuesto de normalidad y el tamaño de la muestra es pequeño. Sin embargo, las
pruebas no paramétricas no están completamente libres de supuestos acerca de
los datos. Por ejemplo, es fundamental presuponer que las observaciones de las
muestras son independientes y provienen de la misma distribución. Además, en
los diseños de dos muestras, se requiere el supuesto de igualdad de forma y
dispersión (Minitab, 2018).
1.1.42 Seguridad
Es una parte del amplio espectro que se debe abordar para no vivir con una
sensación ficticia de seguridad. Como ya se ha indicado, el activo más
importante que se posee en el contexto computacional es la información, y por lo
tanto deben existir técnicas y mecanismos, más allá de la seguridad física, que la
garanticen el aseguramiento (Basaldúa, 2005).
17
1.1.46 Sistema de gestión de Seguridad de la Información (SGSI)
18
información es gestionada correctamente, se debe hacer uso de un proceso
sistemático, documentado y conocido por toda la organización, desde un
enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI.
1.1.48 Vulnerabilidad
19
1.2 Antecedentes
Aguirre & Fabian (2015) plantean un Plan de Seguridad Informática para la ESPE sede
Latacumga, dicho trabajo de investigación tuvo por objetivo principal: Realizar el Plan
de Seguridad Informática aplicable para la Universidad de las Fuerzas Armadas ESPE
extensión Latacunga, mediante la utilización del Marco de referencia COBIT 5, COBIT
para la Seguridad de la Información y la normas técnicas ecuatorianas NTE INEN-
ISO/IEC 27000 para la gestión de seguridad de la información, como resultado se
indicó: que los activos más relevantes identificados durante la ejecución de las
entrevistas y la recepción de la información proporcionado por las partes interesadas
fueron: el inventario de activos. El proyecto se desarrolló por cada activo además se
realizó el análisis con los respectivos responsables, acerca de las posibles amenazas
potenciales.
Amparo (2015) propone el diseño e implantación de una red privada virtual (VPN) a
través de la infraestructura como servicio (IAAS) para el acceso a una entidad bancaria
mediante single sign on (SSO), El objetivo principal de este trabajo fue diseñar e
implantar una red privada virtual (VPN) a través de la Infraestructura como Servicio
(IaaS) para el acceso a una entidad bancaria mediante Single Sign On (SSO). Con el fin
de alcanzar este objetivo se realizaron diversos análisis sobre la plataforma tecnológica.
Se llevó a cabo un estudio de la situación actual con la finalidad de conocer el mejor
escenario que se adaptara tanto a nivel técnico como al retorno de inversión a mediano
plazo. En el levantamiento de información también se consideraron las bases teóricas
20
sobre los aspectos concernientes a la seguridad de los datos de acceso de los usuarios y
todas aquellas actividades necesarias para poder establecer políticas, normas y
procedimientos apropiados. El diseño e implantación se logró de forma satisfactoria,
solventando así las innumerables llamadas al Help Desk por no contar una clave única
para el inicio de sesión en las diferentes aplicaciones que se tienen con proveedores de
servicio que se encuentran en la nube.
Díaz (2000) aborda el estudio del núcleo de seguridad para un Sistema Operativo
orientado a objetos y soportado por una máquina abstracta. Describe un mecanismo de
protección basado en capacidades diseñado para un Sistema Integral Orientado a
Objetos (SIOO), que cumple los requisitos generales de diseño de un mecanismo de
seguridad y los específicos para un SIOO. Además, aporta propiedades adicionales,
como una protección automática de las capacidades y permisos de longitud variable.
Todo ello configura un sistema que soluciona de manera más elegante y completa las
necesidades de protección de un SIOO, con un rendimiento adecuado.
Parra (2014) contempla al ISO 27001 aplicado a las Mypes. El objetivo principal fue
proponer una metodología de implementación de la ISO 27001 para que sea aplicada en
la implementación de Sistemas de Gestión de Seguridad de la Información en PYMES.
Como resultados indica que las grandes compañías pueden tener más desarrollo en
infraestructura tecnológica, pero también deben hacer esfuerzos importantes en la
capacitación de los usuarios, para concienciarlos de los riesgos potenciales que tienen
en sus manos, por el simple hecho de tener acceso a la tecnología; así mismo indica que
no es suficiente tener muchas implementaciones de medidas de seguridad, si estas no
van acompañadas de políticas y procedimientos, que ayuden a consolidar mecanismos
de defensa, en favor de la seguridad informática. Por otro lado, indica que se pueden
generalizar los procedimientos y políticas a todos los tipos de empresas, realizando las
adecuaciones que las personalicen, ya que complementan las que existan en las
empresas, aunque se tengan soluciones costosas y sofisticadas.
Peña (2016) muestra el diseño e implementación de una red privada virtual cuyas siglas
en ingles son VPN-SSL, utilizo el método de autenticación LDAP en una empresa
privada, La investigación tuvo como propósito diseñar e implementar una Red Privada
Virtual (VPN-SSL) utilizando el método de autenticación LDAP en una empresa
22
privada, con el objetivo de proteger las conexiones de acceso remoto hacia la
organización a través del contenido cifrado, garantizando la integridad, confidencialidad
y seguridad de los datos. En su desarrollo, se abordaron aspectos teóricos de una VPN,
seguridad y documentación de los protocolos que se utilizan actualmente para las
conexiones seguras de acceso remoto. En relación a la metodología, se desarrolló bajo
el esquema de proyecto factible. Para la obtención de los resultados, se empleó la
técnica de observación documental y arqueo bibliográfico, en base a ello se llevaron a
cabo cada una de las fases planificadas, logrando la implementación de una VPN-SSL
integrada con el protocolo LDAP. Se realizaron una serie de adecuaciones y
configuraciones en la empresa privada en el que se definió la política de acceso remoto
a la red, se comparó el protocolo SSL con respecto al IPSec, se estudió el protocolo
LDAP, se definió la arquitectura de implementación de la VPN-SSL, se configuró e
integró el firewall con el directorio activo de la empresa, se establecieron las políticas
de firewall para la conectividad de los usuarios de la VPN, se verificó la redundancia en
la conectividad a través de pruebas de conexión a través de la VPN-SSL, y por último
desarrolló un manual el cual permitió gestionar la conexión a través de la VPN. Entre las
conclusiones más relevantes se destacan: la arquitectura utilizada permite redundancia
en la conexión vía SSL-VPN, se garantiza la continuidad del negocio permitiendo
establecer conexión desde cualquier ubicación geográfica.
24
Yesid (2015) plantea una metodología de gestión y administración de incidentes de
Seguridad de la Información digital y Gestión de riesgos para la plataforma SIEM de
una Entidad Financiera basada en los estándares ISO/IEC 27035 e ISO/IEC 27005. El
referido trabajo de investigación tuvo por objetivo: Definir e implementar una
metodología de gestión de incidentes de seguridad informática y gestión de riesgos
asociados a los incidentes identificados por la plataforma SIEM de la Entidad
Financiera, teniendo como referencia los estándares ISO/IEC 27035 e ISO/IEC 27005,
llegando así a los siguientes resultados: logra construir un modelo completo que aborda
la gestión de incidentes y la gestión de riesgos asociada a estos incidentes, los cuales
permitieron la identificación y el análisis de los componentes que hacen parte del
establecimiento del contexto bajo el cual se implementaron las normas – estándares.
25
CAPÍTULO II
27
indicados busca contribuir en la Seguridad de la Información de las Mypes,
evidenciando así las deficiencias de sus Sistemas, incluido el Sistema Operativo que
usan, en el presente trabajo se incluye una aplicación de software que permite
evidenciar la inseguridad en el Sistema Operativo, su identificación y detección por
parte de los Software antivirus comerciales hacia este es ineficiente, debido a que no
registran sus rasgos y atributos en los bancos de datos de dichos software antivirus. Es
por lo que existe riesgo de inseguridad, la adición de capas para salvar los problemas de
desadaptación que presenta el paradigma de la orientación a objetos provoca una serie
de inconvenientes cuando se acrecienta el proyecto (Díaz, 2000). Por otro lado los
antivirus informáticos contribuyen en la seguridad de los sistemas, sin embargo estos
solo ven el aspecto lógico operacional del software. No controlan protocolos de
seguridad física en las Mypes así como las Estrategias de Seguridad Informática por
capas (Estrada, 2011). La cual plantea incrementar la seguridad a través de capas. Estos
procedimientos reducen los riesgos de inseguridad a través de la implementación de
mecanismos especializados no solo a nivel de software si no a niveles físico-lógicos. El
presente trabajo de investigación aborda y cuantifica la inseguridad a través del
suministro de modelos de aseguramiento en las Mypes, buscando así evidenciar las
vulnerabilidades para reducir del riesgo de inseguridad en las Mypes. Por todo lo
mencionado me planteo la siguiente interrogante ¿Se evidencia la falsa percepción de
seguridad en las Mypes muestreadas?
2.3 Justificación
28
2.4 Objetivos
2.5 Hipótesis
29
CAPÍTULO III
MATERIALES Y METODOS
3.2 Población
3.3 Muestra
N * Z12 /2 * S2
n 2 30
d * (N 1) Z12 /2 * S 2
Dónde:
S 2 : Varianza
N : Tamaño de la población
A través de la formula arriba y con los parámetros N=231; α = 0.05 (Error de tipo I –
tolerancia de la prueba); S=2.0 (antigüedad de las Mypes a través de una muestra piloto)
y d = 0.57. Con los cuales se determinó el tamaño muestral indicado n = 40.
31
3.4.2 Validez de la confiabilidad del Instrumento
Tabla 1
Estadísticas de fiabilidad
Grupo N de Alfa de
N
Tratamiento elementos Cronbach
1 01 04 90,5
2 02 04 94,4
3 03 04 94,2
4 04 04 93,3
Indicadores obtenidos sobre la fiabilidad de los instrumentos
32
VALIDACIÓN DE CUESTIONARIO POR PREGUNTA E INSTRUMENTO
GLOBAL
==============================================================
Pertinencia Adecuación
==============================================================
Referente al Segundo objetivo específico se hizo uso del método estadístico en varios
tramos del estudio así como el diseño factorial completo al azar (Montgomery, 2004), a
continuación, la descripción elemental de las pruebas estadísticas involucradas en el
estudio:
3.5.1 McNemar
33
CAPÍTULO IV
RESULTADOS Y DISCUSIÓN
MODELO TEORICO
34
Tabla 2
Combinación de tratamientos del Diseño factorial completo al azar
GRUPO /
TRATAMIENTO Gestión de Seguridad Gestión Tecnológica Nivel de Inseguridad
SGSI GDTI 73
SGSI GDTI 72
SGSI GDTI 68
SGSI GDTI 73
1 SGSI GDTI 73
SGSI GDTI 76
SGSI GDTI 73
SGSI GDTI 70
SGSI GDTI 76
SGSI GDTI 70
SGSI GDCIA 76
SGSI GDCIA 70
SGSI GDCIA 65
SGSI GDCIA 70
2 SGSI GDCIA 74
SGSI GDCIA 72
SGSI GDCIA 71
SGSI GDCIA 75
SGSI GDCIA 67
SGSI GDCIA 72
COBIT GDTI 70
COBIT GDTI 74
COBIT GDTI 72
COBIT GDTI 75
3 COBIT GDTI 75
COBIT GDTI 73
COBIT GDTI 70
COBIT GDTI 68
COBIT GDTI 75
COBIT GDTI 68
COBIT GDCIA 70
COBIT GDCIA 73
COBIT GDCIA 66
COBIT GDCIA 73
4 COBIT GDCIA 71
COBIT GDCIA 77
COBIT GDCIA 73
COBIT GDCIA 69
COBIT GDCIA 70
COBIT GDCIA 70
35
La información presentada en los 4 grupos cumple con los supuestos de normalidad y
homogeneidad entre los grupos, a continuación presentamos los resultados usando las
pruebas no paramétricas Kolmogorov-Smirnov, Shapiro Wilk y Prueba de
homogeneidad de varianzas de Levene. Las cuales nos permiten saber si los grupos
tienen distribución normal y si están homogeneizadas:
Tabla 3
Estadísticas de normalidad de datos
Pruebas de normalidad
Kolmogorov-Smirnova Shapiro-Wilk
Grupo
Estadístico Gl Sig. Estadístico gl Sig.
Nivel de 1 .207 10 ,200* .920 10 .356
Inseguridad 2 .163 10 ,200* .963 10 .822
3 .160 10 ,200* .872 10 .104
4 .173 10 ,200* .946 10 .623
*. Esto es un límite inferior de la significación verdadera.
a. Corrección de significación de Lilliefors
Tabla 4
Estadísticas de homogeneidad de varianzas
Prueba de igualdad de Levene de varianzas de error
F df1 df2 Sig.
.287 3 36 .834
Del cual podemos indicar que existe homogeneidad entre los 4 grupos, lo cual significa
que la variabilidad interna de cada grupo es equivalente a la variabilidad de los demás
puesto que según el planteamiento de la hipótesis de homogeneidad se acepta la
hipótesis nula puesto que P-valor = 0.834 =83.4% el cual se encuentra por encima del
36
nivel de significancia. Concluyendo así que los grupos si tienen homogeneidad de
varianzas. Cumpliendo los supuestos de normalidad y homogeneidad es razonable
desarrollar el análisis factorial univariante, debido a que se demostró analíticamente que
los resultados presentados son basales y estructuralmente comparables.
(Ha): Existe diferencia entre las combinaciones de tratamientos (grupos) por tanto la
inseguridad es menor en algún tratamiento (grupo) debido a la eficiencia de algún
tratamiento lo que conlleva a no tener la falsa percepción de Seguridad.
Prueba Estadística
Para este tipo de datos representados en más de un factor, además de estructurarse sus
factores en categorías, es pertinente contrastar la hipótesis planteada con una prueba
multifactorial univariante debido a que en el modelo teórico se contempla solo una
variable dependiente numérica aleatoria (efecto en el diseño).
Tabla 5
Estadísticas análisis de factores inter-sujetos
Factores Etiqueta de
N
valor
Gestión Seguridad 1 SGSI 20
2 COBIT 20
Gestión Tecnológica 1 GDTI 20
2 GDCIA 20
37
Tabla 6
Pruebas de efectos inter-sujetos variable dependiente: Nivel de inseguridad
Tipo III de
Media
Origen suma de gl F Sig.
cuadrática
cuadrados
Modelo corregido 10,800a 3 3,600 ,411 ,746
Gestion_Seguridad ,400 1 ,400 ,046 ,832
Gestion_Tecnologica 10,000 1 10,000 1,141 ,293
Gestion_Seguridad*
,400 1 ,400 ,046 ,832
Gestion_Tecnologica
Error 315,600 36 8,767
Total 205962,000 40
Total corregido 326,400 39
a. R al cuadrado = ,033 (R al cuadrado ajustada = -,047)
Interpretación General
Del mismo modo obtenemos resultados para el factor Gestión de Seguridad, en el cual
resulta el P-valor: 0.832 = 83.2% siendo no significante: con lo cual concluimos que no
hay diferencia entre los tratamientos COBIT y SGSI(los resultados obtenidos en ambos
casos son equivalentes).
38
Interpretación específica para el segundo factor (Gestión Tecnológica)
Por otro lado obtenemos resultados para el factor Gestión Tecnológica, en el cual resulta
el P-valor: 0.293 = 29.3% siendo no significante: con lo cual concluimos que no hay
diferencia entre los tratamientos GDTI y GDCIA(los resultados obtenidos en ambos
casos son equivalentes).
Interpretación de interacción
Tabla 7
Gestión Seguridad * Gestión Tecnológica.
Intervalo de confianza al
95%
Gestión Seguridad Gestión Tecnológica Media Error estándar
Límite Límite
inferior superior
SGSI GDTI 72,400 ,936 70,501 74,299
GDCIA 71,200 ,936 69,301 73,099
COBIT GDTI 72,000 ,936 70,101 73,899
Donde podemos evidenciar que la peor combinación entre tratamientos resulto ser SGSI
y GDTI debido a que en los descriptivos de la interacción de factores nos dio como
resultado: Media = 72,400 siendo este valor el de mayor inseguridad después de haber
aplicado los tratamientos multifactoriales.
39
Figura 5. Medidas marginales estimadas de nivel de inseguridad
40
En referencia al primer objetivo específico se tiene:
Dvd-Rom Cd-Rom
Memory
Other Data Usb Device
Stick
Device
Figura 6. Reconocimiento de Hardware.
41
PROCESO DE SUSTRACCIÓN DE DATOS
42
Figura 8. Visualización de conexión del ordenador con el dispositivo usb
43
Datos sustraídos en directorio destino
Dvd-Rom Cd-Rom
Memory
Other Data Device Usb Device
DATA
44
En referencia al Segundo objetivo específico se tiene:
En función a los resultados obtenidos en el análisis multifactorial univariante, tomamos
la tabla 8, que corresponde al cuadro comparativo de los descriptivos.
Tabla 8
Gestión Seguridad * Gestión Tecnológica, comparaciones post-hoc.
Intervalo de confianza al
95%
Gestión Seguridad Gestión Tecnológica Media Error estándar
Límite Límite
inferior superior
SGSI GDTI 72,400 ,936 70,501 74,299
GDCIA 71,200 ,936 69,301 73,099
COBIT GDTI 72,000 ,936 70,101 73,899
GDCIA 71,200 ,936 69,301 73,099
Tabla 9
Grado de Inseguridad
GRUPO 1 Media Nivel de Inseguridad Nivel de Seguridad Total
SGSI GDTI 72,400 72,4% 27.6% 100%
GRUPO 2 Media Nivel de Inseguridad Nivel de Seguridad Total
SGSI GDCIA 71,200 71,2% 28,8% 100%
GRUPO 3 Media Nivel de Inseguridad Nivel de Seguridad Total
COBIT GDTI 72,00 72% 28% 100%
GRUPO 4 Media Nivel de Inseguridad Nivel de Seguridad Total
COBIT GDCIA 71,20 71,2% 28.8% 100%
45
Nivel de Seguridad
27.6%
Nivel de Inseguridad
72.4 %
Nivel de Seguridad
28.8%
Nivel de Inseguridad
71.2 %
46
Nivel de Seguridad
28 %
Nivel de Inseguridad
72 %
Nivel de Seguridad
28.8 %
Nivel de Inseguridad
71.2 %
47
En función a los resultados obtenidos determinamos el grado Real se Seguridad
encontrado en las pymes Muestreadas = 28,3%.
Grado Real de
Seguridad
encontrado en las
Mypes muestreadas,
28.3%
Grado Real de
Inseguridad encontrado
en las Mypes
muestreadas, 71.7%
49
CONCLUSIONES
50
de la Seguridad de la Información a una más tecnológica basado en la Inteligencia
Artificial (IA) aplicado a comportamiento humano y su interacción con los
ordenadores, debido a que con la IA cuando a una maquina se le da nueva
información esta aprende, ajusta sus respuestas y comportamiento, lo que la hace
más precisa y eficiente. Con lo cual se permitirá disminuir significativamente la
inseguridad en los sistemas de información porque la IA creará nuevas realidades
informáticas que permitirán predecir las intrusiones antes de que ocurran.
51
RECOMENDACIONES
52
BIBLIOGRAFIA
Congreso de la República del Perú. Ley No 30096 – Ley de delitos informáticos, Pub. L.
No. Capitulo II, Articulo 2 (2013). Perú: Congreso de La Republica del Perú.
Retrieved from http://www.leyes.congreso.gob.pe/Documentos/Leyes/30096.pdf
George, & Mallery. (2012). Spss for Windows step by step: A Simple Guide and
Reference. 11.0. Revista De Educacion, 2(359), 260–273.
https://doi.org/10.4438/1988-592X-RE-2011-359-094
53
Información y Comunicaciones en la Clínica Ortega. Universidad Nacional del
Centro del Perú.
54
ISO/IEC 9126, I. (2005). Estandar de calidad de Software.
Real Academia Española. (2018). Intrusismo. 2018. Madrid, España. Retrieved from
http://www.rae.es/
55
Supo, J. (2016). Análisis de la Causalidad con Diseños Experimentales, 127. Retrieved
from http://dexperimentales.com/
Sabar, N. R., Yi, X., & Song, A. (2018). A Bi-objective Hyper-Heuristic Support Vector
Machines for Big Data Cyber-Security. Journal IEEE Access, 6, 10421-10431.
Sukumara, Sudarsan, Starck, J., & Vittor, T. R. (2017). Cyber security – security
strategy for distribution management system and security architecture
considerations. CIRED, IET Journal, 2653–2656
56
ANEXOS
57
Anexo 1. Cuestonario
59
a) No conozco
b) Si conozco aspectos básicos
b) Si conozco regular
c) Si conozco bien
d) Si conozco muy bien
11.- Indique si conoce el proceso de buenas prácticas del control de la información con
Cobit (Marque solo una alternativa) – X11**
a) No conozco
b) Si conozco aspectos básicos
b) Si conozco regular
c) Si conozco bien
d) Si conozco muy bien
12.- Indique si le conoce los requerimientos mínimos para trabajar con Cobit (Marque
solo una alternativa) – X12**
a) Nada
b) Poco
b) Regular
c) Bien
d) Muy bien
13.- Conoce el tema de Gestión y Dirección de tecnologías de Información (Marque
solo una alternativa) – X13***
a) Si
b) No / No conoce
14.- Conoce los requerimientos para realizar la Gestión y Dirección de tecnologías de
Información (Marque solo una alternativa) – X14***
a) Si
b) No / No conoce
15.- Indique usted si ve correcto el hecho de implementar tecnologías se Seguridad
física –hardware (Firewalls) en la entidad que dirige. (Marque solo una alternativa) –
X15 ***
a) Si
b) No / No conoce
60
16.- Indique usted si ve correcto el hecho de implementar tecnologías se Seguridad
lógica –Software en la entidad que dirige. (Marque solo una alternativa) – X16***
a) Si
b) No / No conoce
17.- Conoce el tema de Gestión y Dirección de construcción de infraestructura
apropiada para el desarrollo de TI (Marque solo una alternativa) – X17***
a) Si
b) No / No conoce
18.- Conoce los requerimientos para realizar la Gestión y Dirección de construcción de
infraestructura apropiada para el desarrollo de TI (Marque solo una alternativa) –
X18***
a) Si
b) No / No conoce
19.- Indique usted si ve correcto el hecho de contemplar en sus futuras construcciones
empresariales la incorporación de planos arquitectónicos especializados sobre el flujo
de las redes físicas de datos (Marque solo una alternativa) – X19***
a) Si
b) No / No conoce
20.- Indique usted si ve correcto el hecho de contemplar en sus futuras construcciones la
compra e inclusión de materiales adecuados para una adecuada instalación de las redes
físicas de datos (cableados). (Marque solo una alternativa) – X20***
a) Si
b) No / No conoce
Donde:
* Cada alternativa marcada tiene un peso de 01(inseguridad).
** Peso de las alternativas a = 05 ; b=04; c=03 ; d=02 ; e=01 (inseguridad)
*** Peso de las alternativas a = 01 ; b = 05 (inseguridad)
61
Anexo 2. Registro de datos del escrutinio del cuestionario
62
Anexo 3. Librerías exportables del Sistema Operativo
Librería Advapi32.dll
I_ScGetCurrentGroupStateW CloseCodeAuthzLevel
A_SHAFinal CloseEncryptedFileRaw
A_SHAInit CloseEventLog
A_SHAUpdate CloseServiceHandle
AbortSystemShutdownA CloseTrace
AbortSystemShutdownW CommandLineFromMsiDescriptor
AccessCheck ComputeAccessTokenFromCodeAuth
AccessCheckAndAuditAlarmA ControlService
AccessCheckAndAuditAlarmW ControlTraceA
AccessCheckByType ControlTraceW
AccessCheckByTypeAndAuditAlarmA ConvertAccessToSecurityDescriptorA
AccessCheckByTypeAndAuditAlarmW ConvertAccessToSecurityDescriptorW
AccessCheckByTypeResultList ConvertSDToStringSDRootDomainA
AccessCheckByTypeResultListAndAuditAlarm ConvertSDToStringSDRootDomainW
AccessCheckByTypeResultListAndAuditAlarm ConvertSecurityDescriptorToAccessA
AccessCheckByTypeResultListAndAuditAlarm ConvertSecurityDescriptorToAccessN
AccessCheckByTypeResultListAndAuditAlarm ConvertSecurityDescriptorToAccessN
AddAccessAllowedAce ConvertSecurityDescriptorToAccessW
AddAccessAllowedAceEx ConvertSecurityDescriptorToStringSe
AddAccessAllowedObjectAce ConvertSecurityDescriptorToStringSe
AddAccessDeniedAce ConvertSidToStringSidA
AddAccessDeniedAceEx ConvertSidToStringSidW
AddAccessDeniedObjectAce ConvertStringSDToSDDomainA
Hadase ConvertStringSDToSDDomainW
63
AddAuditAccessAce ConvertStringSDToSDRootDomainA
AddAuditAccessAceEx ConvertStringSDToSDRootDomainW
AddAuditAccessObjectAce ConvertStringSecurityDescriptorToSe
AddUsersToEncryptedFile ConvertStringSecurityDescriptorToSe
AdjustTokenGroups ConvertStringSidToSidA
AdjustTokenPrivileges ConvertStringSidToSidW
AllocateAndInitializeSid ConvertToAutoInheritPrivateObjectSe
AllocateLocallyUniqueId CopySid
AreAllAccessesGranted CreateCodeAuthzLevel
AreAnyAccessesGranted CreatePrivateObjectSecurity
BackupEventLogA CreatePrivateObjectSecurityEx
BackupEventLogW CreatePrivateObjectSecurityWithMulti
BuildExplicitAccessWithNameA CreateProcessAsUserA
BuildExplicitAccessWithNameW CreateProcessAsUserSecure
BuildImpersonateExplicitAccessWithNameA CreateProcessAsUserW
BuildImpersonateExplicitAccessWithNameW CreateProcessWithLogonW
BuildImpersonateTrusteeA CreateRestrictedToken
BuildImpersonateTrusteeW CreateServiceA
BuildSecurityDescriptorA CreateServiceW
BuildSecurityDescriptorW CreateTraceInstanceId
BuildTrusteeWithNameA CreateWellKnownSid
BuildTrusteeWithNameW CredDeleteA
BuildTrusteeWithObjectsAndNameA CredDeleteW
BuildTrusteeWithObjectsAndNameW CredEnumerateA
BuildTrusteeWithObjectsAndSidA CredEnumerateW
BuildTrusteeWithObjectsAndSidW CredFree
BuildTrusteeWithSidA CredGetSessionTypes
BuildTrusteeWithSidW CredGetTargetInfoA
64
CancelOverlappedAccess CredGetTargetInfoW
ChangeServiceConfig2A CredIsMarshaledCredentialA
ChangeServiceConfig2W CredIsMarshaledCredentialW
ChangeServiceConfigA CredMarshalCredentialA
ChangeServiceConfigW CredMarshalCredentialW
CheckTokenMembership CredProfileLoaded
ClearEventLogA CredReadA
Librería Urlmon.dll
ShowTrustAlertDialog PrivateCoInstall
URLDownloadA QueryAssociations
URLDownloadToCacheFileA QueryClsidAssociation
URLDownloadToCacheFileW RegisterBindStatusCallback
URLDownloadToFileA RegisterFormatEnumerator
URLDownloadToFileW RegisterMediaTypeClass
URLDownloadW RegisterMediaTypes
URLOpenBlockingStreamA RegisterWebPlatformPermanentSecurityManager
URLOpenBlockingStreamW ReleaseBindInfo
URLOpenPullStreamA RevokeBindStatusCallback
URLOpenPullStreamW RevokeFormatEnumerator
URLOpenStreamA SetAccessForIEAppContainer
UrlMkBuildVersion SetSoftwareUpdateAdvertisementState
UrlMkGetSessionOption ShouldDisplayPunycodeForUri
65
Librería Kernel32.dll
AddVectoredExceptionHandler ConvertFiberToThread
AllocConsole ConvertThreadToFiber
AllocateUserPhysicalPages CopyFileA
AreFileApisANSI CopyFileExA
AssignProcessToJobObject CopyFileExW
AttachConsole CopyFileW
BackupRead CopyLZFile
BackupSeek CreateActCtxA
BackupWrite CreateActCtxW
BaseCheckAppcompatCache CreateConsoleScreenBuffer
BaseCleanupAppcompatCache CreateDirectoryA
BaseCleanupAppcompatCacheSupport CreateDirectoryExA
BaseDumpAppcompatCache CreateDirectoryExW
BaseFlushAppcompatCache CreateDirectoryW
BaseInitAppcompatCache CreateEventA
BaseInitAppcompatCacheSupport CreateEventW
BaseProcessInitPostImport CreateFiber
BaseQueryModuleData CreateFiberEx
BaseUpdateAppcompatCache CreateFileA
BasepCheckWinSaferRestrictions CreateFileMappingA
Beep CreateFileMappingW
BeginUpdateResourceA CreateFileW
66
Anexo 4. Diagrama de Actividades basado en UML de la Aplicación SustractFile
/**************************************************************************************************************
COPYRIGHT(C) : Jhon Richard Huanca Suaquita
PROYECTO: Aplicación de sustracción de datos
ARCHIVO: SustarctFile.exe
PLATAFORMA: Windows 7 y 8.
REQUERIMIENTOS: en Windows Service pack 2 o Superior,
DESCRIPCIÓN: SustracFile.exe es una aplicación de 32 bits compatible con 64 bits, esta
Aplicación permite sustraer información de dispositivos extraíbles sin solicitar la
Autorización del usuario final que interactúa con el ordenador. Copia toda la
Información del dispositivo en un directorio previamente personalizado.
Nota: La aplicación se implementó solo con propósitos académicos y demostrativos, no
buscando comercializar ni buscar beneficio alguno a través de la aplicación SustractFile.exe
**************************************************************************************************************/
67
En la Figura 17 se ilustra el proceso CopyFile_Scanfolder, el cual toma como argumento el
directorio origen de los datos a ser copiados, información que es depositada en el directorio
d:\joao\, copia que realiza con remplazo, es decir si existe archivos con el mismo nombre
entonces se reemplaza.
68
Figura 19. Diagrama de actividad de verificación de ruta de destino
70
Figura 22. Diagrama de actividad del proceso de reconocer dispositivos extraíbles.
72
En la Figura 24 se ilustra el proceso de verificación de los dispositivos extraíbles que estén
conectados al computador, por otro lado, en la Figura 25 se muestra el proceso de actualización
cada 02 segundos, es decir el programa busca componentes extraíbles cada 02 segundos.
73