capitulo iii. metodologia de la investigacion 1....
TRANSCRIPT
CAPITULO III. METODOLOGIA DE LA INVESTIGACION
1. GENERALIDADES En la etapa de investigación de campo, se realizó la fase que nos permitió
establecer una comunicación con el universo de trabajo, ésta se realizó en las
grandes empresas comerciales ubicadas en el área metropolitana de San
Salvador que poseen página Web, con el fin de conocer si un Sistema de medidas
de Seguridad de Aplicación Integral que evite que los ataque informáticos
traspasen las paredes de fuego, es una herramienta necesaria y fundamental para
la confidencialidad y seguridad de la información que ellas manejan.
En este capítulo se desarrollarán los aspectos necesarios que contribuirán a
realizar la investigación de campo.
2. OBJETIVOS DE LA INVESTIGACIÓN 2.1 Objetivo general
Determinar si empresas comerciales del área metropolitana de San Salvador
cuentan con un sistema medidas de seguridad de aplicación integral, que eviten
que los ataques informáticos traspasen las paredes de fuego y así conocer la
seguridad informática que estas poseen.
2.2 Objetivos específicos
2.2.1 Determinar el nivel de disposición por parte de las empresas
comerciales de la zona metropolitana de San Salvador para usar las
medidas de seguridad
2.2.2 Conocer la opinión de los sujetos de estudio en cuanto a la
implementación de un sistema de medidas de seguridad que ayuden a
evitar que los ataques informáticos traspasen las paredes de fuego para
lograr la seguridad informática de las grandes empresas comerciales.
3. IMPORTANCIA DE LA INVESTIGACIÓN. La importancia de nuestra investigación se encuentra en conocer cuales son los
factores que impiden que las grandes empresas comerciales que poseen pagina
Web ubicadas en el área metropolitana de San salvador, logren evitar los ataques
informáticos traspasen sus paredes de fuego, para lograr la seguridad informática.
4. METODOLOGÍA DE LA INVESTIGACIÓN.
4.1 Identificación de las Fuentes de Información.
4.1.1 Fuentes Primarias
Se refiere a toda aquella información que se obtiene directamente de aquellas
empresas, a las cuales se les pasara un cuestionario dirigido al personal
encargado del área de informática, ubicadas en el área metropolitana de San
Salvador para conocer la opinión de los sujetos de análisis.
4.1.2 Fuentes Secundarias
Se refiere a aquellos datos que se obtendrán, de organizaciones que no
forman parte de las grandes empresas comerciales que nos brindaron
información sobre el tema de investigación, esto con darle respuesta a nuestra
hipótesis planteada y así poder emitir conclusiones y recomendaciones
favorables. La entidad que consideramos fue la asociación nacional de
empresas privadas ANEP, ya que es la única entidad que tiene clasificada por
grandes empresas comerciales que poseen página Web. Otos datos
segundarios fueron libros, revistas y paginas de Internet.
4.2 Ámbito de la Investigación. El ámbito de la investigación nos referimos a conocer el lugar geográficamente
dónde realizamos la investigación fue en el área metropolitana de San
Salvador, se eligió a las grandes empresas comerciales considerando que
poseen un tráfico de información entre las redes privadas y públicas, lo que
nos proporcionaron datos que permitieron establecer la falta de un Modelo
Aplicativo Integral de los paredes de fuego.
4.3 Alcance de la investigación.
Identificar las medidas de seguridad que eviten que los ataques informáticos
traspasen las paredes de fuego que utilizan las grandes empresas
comerciales del área metropolitana de San Salvador.
4.4 Determinación del universo.
Para determinar el universo de la investigación se utilizo el criterio de
Fundación Salvadoreña para el Desarrollo Económico y Social. El universo se
conformará por las 16 grandes empresas dedicadas a la comercialización en
general en el área metropolitana de San Salvador, este dato fue proporcionado
por la Asociación Nacional de la Empresa Privada ANEP, siendo esta la más
representativa por su clasificación de las grandes empresas comerciales que
poseen pagina Web; en el cuadro Nº 6 se explican los criterios de clasificación
de las empresas.
Cuadro Nº 6 Criterios de Clasificación de las Empresas
INSTITUCIÓN MICRO PEQUEÑA MEDIANA GRANDE
ANEP Con un grupo de empleados menor a 5 personas
Con un grupo de empleados igual a 5 y menor que 20
Con un grupo de empleados igual a 20 y menor que 100
Con grupo de empleados mayor que 100
BCR Con ventas inferiores a los $68,571.43 anuales y con menos de 11 empleados
Ventas menores a $685,714.29 y un número de empleados de 11 a 49
Con ventas anuales menores a $4,571,428.57 y con número de empleados de 50 a 199.
Ventas mayores a $4,571,428.57 y más de 199 empleados.
BMI Con ventas inferiores a los $68,571.43 anuales y con menos de 11 empleados
Ventas menores a $685,714.29 y número de empleados de 11 a 49
Con ventas anuales menores a $4,571,428.57 y con número de empelados de 50 a 199.
Ventas mayores a $4,571,428.57 y más de 199 empleados.
FUSADES Menos de 11 empleados, cuyo activo total no excede de $11,428.57
De 11 a 19 empleados, cuyo activo total no excede de $85,714.29
De 20 a 99 empleados, cuyo activo total no excede de $228,571.43
De 100 a más empleados, y activo total mayor de $228,571.43
MINISTERIO DE HACIENDA
No definido Paga impuestos menores a $5,714.29
Paga impuestos hasta $34,285.71
Paga impuestos mayores a $34,385.71
Fuente: Fundación Salvadoreña para el Desarrollo Económico y Social
4.5. Sujetos de Estudio
Se buscó a la persona más idónea que esta relacionada con la seguridad
informática de las empresas, para que contesten las encuestas, para lo cual se
visitaron personalmente a cada una de las empresas que conforman el
universo del cual se realizo un censo.
4.6. Elaboración del Instrumento de Investigación
Para recolectar la información contenida en este trabajo se diseño un
cuestionario estructurado; el cual costa de las siguientes partes.
a) Solicitud y Saludo Este espacio se utiliza para solicitar colaboración a los sujetos de análisis e
identificar el objetivo que se pretende con dicha investigación; además de
los agradecimientos por tiempo brindado al contestar dicho cuestionario.
b) Datos de Clasificación Características que se relaciona directamente con el encuestado
c) Cuerpo del Cuestionario En este punto se proporcionan las indicaciones del cuestionario para sus
respuestas, de tal manera que los sujetos de análisis comprendan el
contenido del cuestionario. También contiene las preguntas que permiten
tener una visión respecto de los sujetos de análisis en estudio.
Los tipos de pregunta de encuestas que se eligieron son:
Preguntas de dos opciones: que consiste en preguntas únicamente tiene
dos repuestas posibles: si y no
Preguntas de opción múltiple: estas presentas mas de tres respuestas
posibles, las cuales deben de ser ordenas según una secuencia especifica.
Preguntas Abiertas: son todas aquellas que no se pueden contestar con
un Si o con un No como respuestas.
d) Datos del Investigador En este ítem se ha proporcionado un espacio en blanco para que la
persona que realizo la encuesta, lo de ha conocer, así mismo incluye la
fecha de la encuesta y la correspondiente firma del encuestador
4.7. Prueba Piloto
Dentro del proceso de la investigación la prueba piloto se realizo con el único
objetivo de verificar el entendimiento del cuestionario estructurado.
Se realizo en forma concreta y consistió en encuestar al 10% de los
elementos de la población con el fin de validar el instrumento.
También se consultaron expertos en la elaboración de investigaciones
siempre con el propósito de validar el uso correcto del cuestionario, lo cual
permitió ajustar o modificar algunas preguntas que puedan ser de ambigua
interpretación
4.8. Administración del Cuestionario
Esta actividad consistió en recabar la información de todos los sujetos de
análisis, en este caso, las grandes empresas comerciales ubicadas en el área
metropolitana de San Salvador; de tal manera que se cubrieron, de esta forma,
los ámbitos deseados a través de un cuestionario.
4.9 Tabulación y Análisis de la Información 4.9.1 Datos de Clasificación
4.9.1.1 Cargo que desempeña
Total
Alternativa Fr %
Gerente o Jefe de Sistemas 10 63%
Soporte Técnico 3 19%
Analista de Sistemas 2 13%
Jefe Regional de e-commerce 1 6%
Totales 16 94%
Datos de Clasificación
62%19%
13%6%
Gerente o Jefe de Sistemas Soporte TécnicoAnalista de Sistemas Jefe Regional de e-commerce
4.9.2 Cuerpo del Cuestionario
Pregunta #1 ¿Poseen página Web?
Objetivo: Conocer si la empresa cuenta con una pagina Web
Datos de Clasificación Total
Alternativa
Gerente o Jefe
del área de
Sistemas
Soporte Técnico
Analista de
Sistema Jefe regional e-commerce Fr %
Si 10 3 2 1 16 100%
No 0 0 0 0 0 0%
Totales 10 3 2 1 16 100%
Gráfico de la Pregunta #1
100%
0%
Si No
Análisis: Los resultados obtenidos en esta pregunta muestran que el 100% de las
empresas encuestadas poseen página Web, dado el objetivo de la investigación
era necesario que todas la tuvieran
Pregunta #2 ¿Esta inscrita en la SVNET?
Objetivo: Conocer si tiene un nombre que identifique a la entidad dentro del
espacio de nombres en Internet, asignados a la república de El Salvador
Datos de Clasificación Total
Alternativa
Gerente o Jefe
del área de
Sistemas
Soporte Técnico
Analista de
Sistema Jefe regional e-commerce Fr %
Si 4 1 2 1 8 50%
NO 6 2 0 0 8 50%
Totales 10 3 2 1 16 100%
Gráfico de la Pregunta #2
50%50%
Si
NO
Análisis: El 50% está inscrito en la SVNet para tener un nombre que identifique a
la entidad dentro del espacio de nombres en Internet, asignados a la república de
El Salvador y el otro 50% no está inscrito, y no aparecen bajo el dominio asignado
por nuestro país.
Pregunta #3
¿Hay personal encargado de la seguridad de la página Web?
Objetivo: Conocer si dentro del personal de área informática existe
especialización para la seguridad de la página Web.
Datos de Clasificación Total
Alternativa Gerente
o Jefe del área de
Sistemas
Soporte Técnico
Analista de Sistema
Jefe regional e-commerce Fr %
Si 2 1 1 1 5 31%
No 8 2 1 0 11 69%
Totales 10 3 2 1 16 100%
Gráfico de la Pregunta #3
31%
69%
Si No
Análisis: El 69% de la población encuestada no tienen dentro del área informática
un personal especializado que se ocupe de la seguridad de la información de la
página Web, el 31% sí lo tienen; al realizar la encuesta se pudo observar que el
personal encargado de la seguridad de la página Web, en su mayoría, no es un
personal especializado en área. Por lo tanto la vulnerabilidad en sus páginas Web
es alta al no haber alguien con los conocimientos y la experiencia necesaria para
contrarrestar o prevenir un ataque.
Pregunta #4
¿Se han detectado intrusos que puedan causar daños en la información de la
empresa?
Objetivo: Conocer, si la empresa ha sufrido o esta sufriendo de ataques
informáticos, que puedan causar daños a la información de la empresa
Datos de Clasificación Total
Alternativa
Gerente o Jefe
del área de
Sistemas
Soporte Técnico
Analista de
Sistema
Jefe regional e-commerce
Fr %
Si 8 2 2 1 13 81%
No 2 1 0 0 3 19%
Totales 10 3 2 1 16 100%
Gráfico de la Pregunta #4
81%
19%
Si No
Análisis: El 81% de la población encuestada ha detectado intrusos que pueden
causar daños a la información de la empresa y el 19% no los ha detectado; Se
destaca que al no tener el personal adecuado para la protección de sus páginas
Web, las empresas no están preparadas para poder detectar un ataque
informático.
Pregunta #5
¿Especifique que medidas se tomarían (o tomaron) para que no ocurran entrada
de intrusos?
Objetivo: Determinar cuales son las medidas de seguridad con las que cuenta la
empresa y si entre estas se encuentran las paredes de fuego
Datos de Clasificación Total
Alternativa
Gerente o Jefe
del área de
Sistemas
Soporte Técnico
Analista de
SistemaJefe regional e-commerce Fr %
Paredes de
Fuego 8 2 0 0 10 47%
Antivirus 2 0 0 0 2 10%
Restricciones de
dominios 3 0 0 0 3 14%
Otros 1 1 1 1 4 19%
No contesta 1 0 1 0 2 10%
Totales 15 3 2 1 21 100%
Gràfico de la Pregunta #5
47%
10%14%
19%
10%
Paredes de Fuego Antivirus Restricciones de dominios Otros No contesta
Análisis: El 47% de las empresas han tomado o tomaran como medidas para
evitar los ataques informáticos el colocar Paredes de Fuego, el 19% dio varias
respuestas, el 14% Restringen los dominios, otro 10% aplica antivirus y al final un
a similar 10% no contestó la pregunta; la mayoría de la empresa posee un
antivirus y toman medidas para la protección contra ataques.
Pregunta #6 ¿Existen accesos externos a los datos de la empresa?
Objetivo: Conocer si hay personal externo que pueda acceder a los datos de
la empresa
Datos de Clasificación Total
Alternativa
Gerente o Jefe
del área de
Sistemas
Soporte Técnico
Analista de
Sistema Jefe regional e-commerce Fr %
Si 3 1 1 0 5 31%
No 7 2 1 1 11 69%
Totales 10 3 2 1 16 100%
Gráfico de la Pregunta #6
31%
69%
Si No
Análisis: Un 69 % no tiene personal externo que pueda acceder a los datos de la
empresa y el 31% si permite ese tipo de accesos, debido a que el acceso externo
a los datos de la empresa es un porcentaje menor, puede concluirse que la
vulnerabilidad con respecto a ataques mediante acceso externo es poca.
Pregunta #7 ¿Quienes tienen datos externos a los datos de la empresa?
Objetivo: Conocer que tipo de trafico de la red enfrenta las medidas de
seguridad de la empresa
Datos de Clasificación Total
Alternativa
Gerente o Jefe
del área de
Sistemas
Soporte Técnico
Analista de
Sistema Jefe regional e-commerce Fr %
Clientes 2 0 1 0 3 15%
Proveedores 1 0 0 0 1 5%
Empleados 3 1 1 0 5 25%
Nadie 7 2 1 1 11 55%
Totales 13 3 3 1 20 100%
Gráfico de la Pregunta #7
15%
5%
25%55%
Clientes Proveedores Empleados Nadie
Análisis: De las empresas el 55% no permite que ningún personal externo que
pueda acceder a los datos de la empresa para poder evitar robo de información de
la empresas, el 25% permite que empleados, generalmente sucursales, para
poder tener restricciones en sus bases de datos el 15% que son clientes y el 5%
que son proveedores también tienen acceso a la información interna de la
empresa por lo tanto la vulnerabilidad de sus equipos es mayor.
Pregunta #8 ¿Que procedimientos se tiene en cuenta para mantener la integridad y
confiabilidad de los datos?
Objetivo: Conocer cuales procedimientos posee la empresa para proteger la
información.
Datos de Clasificación
Total
Alternativa Gerente o Jefe del área de
Sistemas
Soporte Técnico
Analista de
Sistema
Jefe regional e-commerce
Fr %
Alguna forma de identificación o
autenticación 9 2 2 1 14
13
%
Control de acceso a los
programas fuente 10 3 2 1 16
14
%
Control de acceso para limitar lo
que se ve 9 3 2 1 15
14
%
Control de acceso para limitar lo
que se borra 8 3 1 1 13
12
%
Control de acceso para limitar lo
que se modifica 6 3 1 1 11
10
%
Firmas digitales 4 0 0 0 4 4%
Copias de seguridad de la
información publica en distintas
maquinas
8 3 0 1 1211
%
Verificación de los programas he
información publica para que no
tengan virus
8 3 1 1 1312
%
Separación de los datos que se
publican en Internet de los datos
del interior de la empresa
6 2 1 1 10 9%
Otros 2 0 0 1 3 3%
Totales 70 22 10 9 111100
%
Gráfico de la Pregunta #8
13%
13%
13%12%10%4%
11%
12%9% 3%
Alguna forma de identicacion o autenticacionControl de acceso a los programas fuenteControl de acceso para limitar lo que se veControl de acceso para limitar lo que se borraControl de acceso para limitar lo que se modificaFirmas digitalesCopias de seguridad de la informacion publica en distintas maquinasVerif icacion de los programas he informacion publica para que no tengan virusSeparacion de los datos que se publican en Internet de los datos del interior de la empresaOtros
Análisis: Los resultados que se pudieron obtener de esta pregunta fueron que de
los procedimientos que se tiene en cuenta para mantener la integridad y
confiabilidad de los datos el 14.4% toma en cuenta el control de acceso de los
programas fuente, un 13.5 % controla el acceso para limitar lo que se ve, un
12.6% posee alguna forma de identificación o autentificación, un 11.7 % Controla
los accesos para limitar lo que se borra, al igual que un 11.7% Verifica los
programas e información pública para que no tenga virus, un 10.8% hace copias
de seguridad de la información pública en distintas máquinas, un 9.9% controla el
acceso para limitar lo que se modifica, un 9% separa los datos que se publican en
Internet de los datos del interior de la empresa, un 3.6% posee firmas digitales y el
2.7% dieron otras respuestas, por lo que concluimos que las empresas cuentan
con procedimientos para proteger la información.
Pregunta #9 ¿Poseen un Firewalls (Pared de Fuego)?
Objetivo: Conocer si la empresa posee Pared de fuego
Datos de Clasificación Total
Alternativa
Gerente o Jefe
del área de
Sistemas
Soporte Técnico
Analista de
Sistema
Jefe regional
e-commerce Fr %
Si 10 3 2 1 16 100%
No 0 0 0 0 0 0%
Totales 10 3 2 1 16 100%
Gráfico de la Pregunta #9
100%
0%
Si No
Análisis: De las empresas el 55% no permite que ningún personal externo que
pueda acceder a los datos de la empresa, el 25% permite que empleados,
generalmente sucursales, el 15% que son clientes y el 5% que son proveedores
también tienen acceso a la información interna de la empresa, las paredes de
fuego en nuestro país se están implementando, por lo tanto se deben tener
políticas para que estas funcionen y se cumplan para el buen funcionamiento de
las paredes de fuego.
Pregunta #10
¿Por que poseen una Pared de Fuego?
Objetivo: Conocer el porque usan una Pared de Fuego
Datos de Clasificación Total
Alternativa
Gerente o Jefe
del área de
Sistemas
Soporte Técnico
Analista de
Sistema
Jefe regional
e-commerceFr %
Por seguridad 10 1 1 1 13 65%
Por control 3 1 0 0 4 20%
Otros 1 1 0 0 2 10%
No contesto 0 0 1 0 1 5%
Totales 14 3 2 1 20 100
%
NOTA: La frecuencia varía del total de los encuestados debido a que algunos respondieron
más de una alternativa
Gráfico de la Pregunta #10
65%
20%
10% 5%
Por seguridad Por control Otros No contesto
Análisis: Del total de los encuestados el 65% dijo que posee una Pared de Fuego
por seguridad, un 20% por control, un 10% dio otras respuestas, y un porcentaje
del 5% no contestó esta pregunta; se determino que las paredes de fuego son una
de las partes importantes para la seguridad de la información que se
implementan.
Pregunta #11 ¿Cuál es el costo de la Pared de Fuego que actualmente poseen?
Objetivo: Conocer el costo de las Paredes de Fuego que se comercializan en El
Salvador
Datos de Clasificación Total
Alternativa
Gerente o Jefe
del área de
Sistemas
Soporte Técnico
Analista de
Sistema
Jefe regional
e-commerce Fr %
Sin costo alguno 5 1 0 0 6 38%
menos de $500.00 0 0 0 0 0 0%
$501.00 a $1000.00 0 0 0 0 0 0%
$1001,00 a $10,000.00 3 1 0 0 4 25%
$10,001.00 a $20,000.00 0 0 0 1 1 6%
Mas de $20,000.00 1 0 0 0 1 6%
No contesta 1 1 2 0 4 25%
Totales 10 3 2 1 16 100%
Gráfico de la Pregunta #11
38%
0%0%25%
6%6%
25%
Sin costo alguno menos de $500.00 $501.00 a $1000.00 $1001,00 a $10,000.00
$10,001.00 a $20,000.00 Mas de $20,000.00 No contesta
Análisis: Al preguntar cual era el costo de la Pared de Fuego que poseía la
empresa el 38% respondió que no tenía ningún costo ya que fue fabricado por
algún empleado o adquirido gratuitamente, un 25% dice que el costo esta entre los
$1,001 Y LOS $10,000, y un 6% dice que el precio está entre los $10,000 y los
$20,000, otro 6% dice que el precio está arriba de los $20,000 y un 25% no
contestó esta pregunta por considerar que es información confidencial. Se pudo
observar que el costo es variable y accesible para cada empresa.
Pregunta #12 ¿En que máquina (servidor) se encuentra la Pared de Fuego?
Objetivo: Conocer cual es la máquina o servidor que esta protegiendo la
información por medio de la Pared de Fuego
Datos de Clasificación Total
Alternativa
Gerente o Jefe
del área de
Sistemas
Soporte Técnico
Analista de
Sistema
Jefe regional e-commerce
Fr %
Maquina dedicada 8 2 0 1 11 69%
Servidor de Internet 1 1 1 0 3 19%
No contesta 1 0 1 0 2 13%
Totales 10 3 2 1 16 100%
Gráfico de la Pregunta #12
68%
19%
13%
Maquina dedicada Servidor de Internet No contesta
Análisis: Se obtuvo como resultado que un 69% tiene la Pared de Fuego en una
máquina dedicada, un 19% en el servidor de Internet y un 13% no contestó.
Pregunta #13
¿Qué tipo de Pared de Fuego utiliza?
Objetivo: Conocer el tipo de pared de fuego que posee la empresa y determinar
cuál es la mas común
Datos de Clasificación Total
Alternativa
Gerente o Jefe
del área de
Sistemas
Soporte Técnico
Analista de
Sistema
Jefe regional e-commerce
Fr %
Gateways de filtrado de
paquetes 0 0 0 0 0 0%
Gateways de Aplicación 4 1 1 0 6 38%
Gateways Híbridos o
complejos 6 2 1 1 10 63%
Totales 10 3 2 1 16 100%