ANEXOS

ANEXO 2. Operacionalizacin de variables

Variable Sub variable Indicadores Valores
Caractersticas Infraestructura -CPU
computacional -Disco duro
(instalaciones de -RAM
trabajo, sistema de -Tarjeta madre
cableado y -Caja de conexiones
servidor) -Conectores
especiales
-Servidor de archivo
-Servidor de
aplicaciones
-Servidor proxy

-nmero de tcnicos
-capacidad tcnica
Usuarios -Experiencia
-Antigedad laboral

-numero de archivos

La informacin
Medidas de Seguridad fsica: -huellas digitales
seguridad -autentificacin -complejidad de
contraseas
-mantenimiento de -actualizacin
integridad de datos constante de
contraseas
-tarjeta inteligente
-encriptacin
-funciones hash
-

Control de acceso -restringir el acceso

humano de personas.
- lista de control de
acceso a la
informacin
-norma de acceso
802.1x
-utilizacin de
archivos, datos y
programas por el
procedimiento
 establecido
-operadores no
pueden modificar
programas solo con
Jerarqua supervisin
informtica -destinatarios
correctos o filtros
direccionales

-claves distintas
Tecnologas -roles y permisos
repelentes establecidos para
c/u de los sistemas
o aplicaciones

-sistema de
prevencin de
intrusos firewalls
-sistema deteccin
Control de la Red de intrusos-
antispyware
-antivirus
-llaves de
proteccin para
software

-monitoreo del
acceso a internet
--puntos de entrada
Respaldo de -redes perimetrales
informacin de seguridad o DMZ

-sistemas de
informacin
actualizados

-copias de
seguridad
-respaldo de datos
automtico

Vulnerabilidad de Equipos sin

las bases de vigilancia
datos Redes inalmbricas
desprotegidas
BUSCAR

Amenazas: Usuarios o -No siguen

causas y efectos Personal tcnico: protocolos
Errores de -
programacin -Satisfaccin con el
trabajo
-satisfaccin con el
salario
-Satisfaccin con el
trato
-carga de trabajo
-Horario
-Ambiente laboral
-fallos electrnicos

Programas -malware:
maliciosos -spyware
-gusano
-troyano

Intrusos -hackers

Efectos -robo de
informacin
-destruccin de
informacin
-anulacin de
funcionamiento de
los sistemas
-publicacin de
datos confidenciales

Identificar las Riesgos Sistemas y

situaciones de software en uso en 12,13, 14
riesgo que afectan la empresa.
la seguridad Permisos para 2,17,18
informtica acceso a la
informacin. 1,2,6,16
Normas para el
 uso de la
informacin y
Amenazas equipos de 2, 11
computacin.
15,16,17,18
Normas para
respaldo de datos.
Vulnerabilidades Control de acceso
a sistemas de
informacin 7,8,9

Control de 22
acceso y seguridad
fsica de las
Controles para instalaciones de la
Herramientas Aplicaciones empresa. 12
necesarias para el 13
control de la Auditorias de Plizas de seguros.
seguridad Sistemas y Control 19,20
Informtica. interno Uso de antivirus.
Uso de Firewalls
1,2,3,10, 21
Auditoria de
sistemas e
Identificacin de 24
problemas.
Polticas de
seguridad para uso
Lineamientos de la de la informacin.
norma ISO-17799. Conocimiento de 23
Proponer un las Normas jurdicas
conjunto de para el uso de la 1,2,19,20
lineamientos informacin.
sobre seguridad
informtica. Conocimiento de la 4,5
norma ISO-17799.
Polticas
documentadas para
el uso de la
informacin.
Asignacin de
responsabilidades
en materia de
seguridad de la
informacin.
 ANEXO 3. Cuestionario

UNIVERSIDAD NACIONAL DE INGENIERIA

A. Caractersticas de los usuarios de bases de datos de las

empresas

1. Cul es su Edad? a) 20 30 aos:_____, b) 31-40 aos:____, c)

41-50 aos:____, Ms de 50 aos:____
2. Cul es su Sexo? a)Masculino:____, b) Femenino:____
3. Cul es su capacidad tcnica? a)ingeniero en
computacin:_____, b) ingeniero de sistema:_____, c)tcnico en
computacin:_____
4. Cul es su Experiencia laboral? a)Menos de 1 ao, b) De 1 5
aos:____, c) De 6 10 aos:_____, Ms de 10 aos:______
5. Cul es su Antigedad laboral?

B. Satisfaccin laboral
6. Satisfaccin con el trabajo
7. satisfaccin con el salario
8. Satisfaccin con el trato
9. carga de trabajo
10. Horario
11. Ambiente laboral

C. Entrevista al equipo encargado de anlisis y captura de

requerimientos en empresa desarrolladora de software.

Qu aspectos de la seguridad informtica se toman en cuenta

como criterio en las fases de anlisis y diseo de las
aplicaciones desarrolladas?
 Considera la realizacin de administracin y
mantenimiento de las bases de datos tomando en cuenta los
mecanismos de seguridad de acceso a los datos?

Cmo considera la asesora en seguridad que se

reciben los analistas desarrolladores en el diseo e
implementacin de base de datos?

Considera que al administrar la seguridad se toman en

cuenta las regulaciones y cumplimientos como parte del
proceso de construccin de software?

De 1 a 5, siendo 1 lo ms deficiente y 5 excelente, que

tan buena considera la implementacin de metodologas de
seguridad para el proceso de desarrollo de software?

ANEXO 4. GUIA DE OBSERVACION PARA IDENTIFICAR LAS

VULNERABILIDAS

Nombre de la Empresa 1 Empresa 2 Empresa 3

empresa
Vulnerabilidad
Equipos sin X
vigilancia
Redes inalmbricas X
desprotegidas
 ANEXO 5. CHECK LIST PARA IDENTIFICAR LAS MEDIDAS
IMPLEMENTADAS

Nombre de la Empresa 1 Empresa 2 Empresa 3

empres
Medidas X
implementadas
huellas digitales X
complejidad de X
contraseas
Actualizacin X
constante de
contraseas
Tarjeta inteligente X
Encriptacin X x X
Funciones hash X
 ANEXO 7. MATRIZ DE RIESGO
RT (Riesgo total) = probabilidad X Impacto promedio

Tipo de Riesgos Probabilidad Impacto Riesgo

Relacin recurso/amenaza/vulnerabilid
 Recurso Amenaza Vulnerabilidades
Vulnerabilidad 1
Amenaza 1 Vulnerabilidad 2
...
Recurso 1
Vulnerabilidad 1
Amenaza 2 Vulnerabilidad 2
...
Vulnerabilidad 1
Recurso 2 Amenaza 1 Vulnerabilidad 2
...

Nivel del riesgo

Posibilidad de ocurrencia
Impacto Alta Media Baja
Alta A A M
Media A M M
Baja B B B

Existen muchos aspectos sobre el problema de la seguridad,

entre ellos se encuentran los siguientes. (Date, 2001, pg. 504)
Aspectos legales, sociales y ticos (por ejemplo, la persona que
hace la peticin tiene derecho legal para conocer la informacin
solicitada como, digamos, el crdito de un cliente?).
Controles fsicos (por ejemplo, el lugar en donde se encuentra
la computadora o terminal est bajo llave o con alguna otra
proteccin?).
Cuestiones de poltica (por ejemplo, cmo decide la empresa
propietaria del sistema a quin y a qu se le permite tener
acceso?).
Problemas operacionales (por ejemplo, si se utiliza un esquema
de contraseas, cmo se les mantiene en secreto? Con cunta
frecuencia son cambiadas?).
Controles de hardware (por ejemplo, la unidad de
procesamiento proporciona alguna caracterstica de seguridad,
como claves de proteccin de almacenamiento o un modo de
operacin protegido?).
Soporte del sistema operativo (por ejemplo, el sistema
operativo subyacente borra el con tenido de la memoria
principal y los archivos de disco cuando ha terminado de
utilizarlos?); y por ltimo
 Los asuntos que conciernen nicamente al sistema de base de
datos (por ejemplo, tiene el sistema de base de datos un
concepto de propiedad de los datos?).