Seguridad Informatica El impacto de la prdida de informacin en Instituciones Gubernamentales

Universidad Mundo Maya Campus Villahermosa Octubre 2011

PLANTEAMIENTO DEL PROBLEMA

Los sistemas de informacin se han constituido como una base imprescindible para el desarrollo de cualquier actividad empresarial; estos sistemas han evolucionado de forma extraordinariamente veloz, aumentando la capacidad de gestin y almacenamiento. El crecimiento ha sido constante a lo largo de las ltimas dcadas, sin embargo, esta evolucin tecnolgica tambin ha generado nuevas amenazas y vulnerabilidades para las organizaciones. La difusin de las noticias relacionadas con la seguridad informtica ha transcendido del mbito tcnico al mbito social. Es por eso que hablando de empresas, nos encontramos con el Hospital Regional de Alta Especialidad Dr. Juan Graham Casass, que forma parte de las instituciones gubernamentales del estado de Tabasco. Dicha institucin cuenta con el departamento de Informtica y Sistemas que tiene como misin y visin:
Ser una unidad que impulsa la utilizacin de herramientas informticas en la administracin hospitalaria del diario vivir para el beneficio del usuario.

Apoyar la gestin administrativa y hospitalaria, proporcionando herramientas tecnolgicas que agilicen las tareas y sistemas, a fin de llevar a unidades a una pronta y cumplida gestin .(Manual de
organizacin 2011)

Este departamento, es el encargado de apoyar a los usuarios brindndoles las herramientas necesarias para la optimizacin de sus procesos laborales, adems de salvaguardar la informacin que se obtiene y maneja la institucin.

Conociendo la informacin que se obtiene de los procesos desarrollados diariamente en la institucin, se tienen datos alarmantes, debido a que, frecuentemente los usuarios notifican por medio del sistema de ordenes de servicios (segestman) que tienen perdidas de informacin, lo que hace que sus procesos laborales se retrasen o tengan problemas serios por no contar con la informacin necesaria. Este problema mantiene en constante preocupacin al departamento de informtica y sistemas, y a la propia institucin, debido al riesgo de que la informacin que se administra se pueda perder masivamente, afectando a servidores de datos, asi como a la existencia de vulnerabilidades que permitan a estafadores o personal del ciber-crimen, manipular de manera incorrecta la informacin valiosa, poniendo a la institucin en riesgo.

PREGUNTAS Es por eso, que en esta investigacin, se formulan las siguientes preguntas que guiarn el proceso: 1.- Por qu se pierde la informacin relacionada con el Hospital? 2.- Cuales son los factores de riesgo y amenazas que se tiene en el Hospital para perder la informacin? 3.- Qu medidas preventivas se han establecido por el departamento de informtica y sistemas en cuanto a la perdida de informacin? 4.- Cules son las estrategias bsicas para mantener la informacin segura? 5.- Cmo implementar una poltica de seguridad en el Hospital de Alta Especialidad Dr. Juan Graham Casass?

OBJETIVOS Desde el inicio de esta investigacin, se confirm que la opcin idnea para el entorno de la institucin era contar con un enfoque global, multidisciplinario, sistemtico y con una evaluacin efectiva de los problemas que enmarcan la perdida de la informacin en dicha institucin. Una investigacin aplicable, donde se tomaran en cuenta tanto aspectos tcnicos como "no tcnicos" que afectan la seguridad de la informacin y que determinan como caso problemtico la perdida de la informacin. Por lo anterior se plantean los objetivos de esta investigacin. Objetivo General: Identificar la situacin que prevalece en el departamento de informtica y sistemas para contribuir a delimitar las soluciones necesarias para mantener la informacin segura en la institucin. Identificando como se pierde la informacin, las causas y consecuencias, adems de las estrategias necesarias para encontrar resultados alentadores que mantengan la informacion segura.

Objetivo Especifico: Identificar cules son los factores de riesgos que se tienen en el Hospital que involucren la perdida de la informacin. Evaluar por qu se pierde la informacin relacionada con el Hospital. Identificar qu medidas preventivas se han establecido por el

departamento de informtica y sistemas en cuanto a la perdida de informacin. Determinar cules son las estrategias bsicas para mantener la informacin segura. Delimitar cmo implementar una poltica de seguridad en el hospital de Alta Especialidad Dr. Juan Graham Casass.

JUSTIFICACIN Es importante dar a conocer que las instituciones de gobierno requieren de un alto grado de madurez en la administracin de la informacin para disminuir vulnerabilidades y evitar riesgos que incapaciten a la institucin a realizar sus trabajos de manera adecuada Los aspectos para analizar en esta investigacin son amplios y la inversin a realizar es igualmente importante, sin embargo, es preciso definir una estrategia que planifique las actuaciones a realizar, tanto para comprometer recursos econmicos como humanos. Es necesario que todas las instituciones aborden la problemtica de la Seguridad de la Informacin y el cumplimiento de sus obligaciones legales, debido a que la falta de estrategias afecta el desarrollo de las actividades institucionales Esta investigacin pretende ser el primer paso para que la organizacion tome conciencia de este hecho e inicien acciones dirigidas a poner en marcha sus planes de seguridad. Cabe sealar, que en el trimestre Junio-Agosto 2011, se obtuvieron detalles alarmantes en cuanto a perdida de informacin, reflejado en las graficas planteadas por el sistema segestman, que determinan que el problema de prdida de informacin va en aumento, delimitando que el tipo de informacin que involucran la perdida, son documentos de oficinas (memorndums, oficios) archivos de registros de sistemas, adems que las aplicaciones de nomina se ven afectadas en las maquinas clientes.

Ordenes de servicios (Perdida de informacin)

1er trim. 2 trim. 3er trim.

Hospital Regional de Alta Especialidad Dr. Juan Graham Casass, Informatica y sistemas,Manual informativo trimestral, 2011, p. 18.

Sin dudarlo, se menciona que este problema afecta constante y directamente el funcionamiento optimo de los procesos de la institucin, ya que para realizar sus trabajos los usuarios requieren de su informacin almacenada y al percatarse que no la encuentran se crea el descontento,involucrando la baja de servicios y calidad laboral. Por ltimo, destacar que la seguridad no es un producto sino un proceso, cuya implantacin exige un cambio cultural y organizativo en las empresas, que debe ser liderado y asi mantener segura la informacin.

VIABILIDAD A continuacin se mencionan los costos y los beneficios que tiene que cubrir para poder realizar de manera ptima y eficaz la investigacin mencionada. RECURSO/RUBRO Personal Honorarios del investigador Equipos Computadora Internet Impresora DESCRIPCIN Pago al investigador por honorarios Se contemplan la renta de medios para poder realizar parte de la COSTO

investigacin, se mencionan las ms usuales.

Viajes Trasporte (Casa-Hospital) (Casa-Bibliotecas) Encuestas

Se involucra el gasto de la gasolina para el transporte necesario para estar en los puntos marcados para la realizacin de la investigacin, adems del gasto que se tiene que hacer para cubrir las encuentas.

Materiales Papelera y artculos de escritorio Servicios tcnicos Elaboracin de testeos conocer vulnerabilidades

Lo necesario para plasmar y recabar la informacin. Son las pruebas necesarias para hacer

para

los

anlisis

correspondientes

en

cuanto a seguridad de la informacin

TOTAL $

INDICE TENTATIVO

1.- Antecedentes del departamento de Informatica y Sistemas del Hospital Regional de Alta Especialidad Dr. Juan Graham Casass. 2.- Historia de la seguridad de la informacin 3.- Concepcin de la seguridad de la informacin 4.- Planteamiento del problema 5.- Preguntas de Investigacion 6.- Objetivos General Especifico

7.- Justificacion 8.- Marco Referencial Prdida de la informacion en empresas Preocupacion en Lationoamerica por la prdida de la informacion de las

empresas. 9.- Hiptesis 10.-Metodologia de estudio 11.-Diseo de la investigacion Tipo de investigacion

12.-Tipo de muestra Fuente de datos primarios Fuente de datos secundarios

13.-Instrumento 14.-Analisis de datos 15.- Conclusin 16.- Glosario 17.- Bibliografa

MARCO REFERENCIAL Desde tiempo inmemorables el hombre ha resguardado y protegido con celo sus conocimientos debido a la ventaja y poder que ste le produca sobre otros hombres o sociedades.En la antigedad surgen las bibliotecas, lugares donde se poda resguardar la informacin para trasmitirla y para evitar que otros la obtuvieran, dando as algunas de las primeras muestras de proteccin de la informacin.
Sun Tzu en El arte de la guerra (2000), seala la importancia de la informacin sobre los adversarios y el cabal conocimiento de sus propsitos para la toma de decisiones. Durante la Segunda Guerra Mundial se crean la mayora de los servicios de inteligencia del mundo con el fin de obtener informacin valiosa e influyente, crendose grandes redes de espionaje. Como forma de proteccin surge la contrainteligencia.

Es por eso, que con el devenir de los aos, al incrementarse el alcance de la tecnologa, el cuidado de la informacin se ha vuelto crucial para los hombres, las organizaciones y las sociedades.

En la seguridad de la informacin, es importante sealar que su manejo est basado en la tecnologa y debemos de saber que puede ser confidencial porque la informacin est centralizada y puede tener un alto valor. Puede ser divulgada, mal utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad y la pone en riesgo. La informacin es poder, y segn las posibilidades estratgicas que ofrece tener a acceso a cierta informacin, sta se clasifica como: Crtica: Es indispensable para la operacin de la empresa. Valiosa: Es un activo de la empresa y muy valioso. Sensible: Debe de ser conocida por las personas autorizadas Existen dos palabras muy importantes que son riesgo y seguridad: Riesgo: Es todo tipo de vulnerabilidades, amenazas que pueden ocurrir sin previo aviso y producir numerosas prdidas para las empresas. Los riesgos ms perjudiciales son a las tecnologas de informacin y comunicaciones. Seguridad: Es una forma de proteccin contra los riesgos. La seguridad de la informacin comprende diversos aspectos entre ellos la disponibilidad, comunicacin, identificacin de problemas, anlisis de riesgos, la integridad, confidencialidad, recuperacin de los riesgos, virus. Vease en el glosario
de trminos.

A continuacin se mencionan las referencias que delimitan un punto de partida para la toma de decisiones de esta investigacin y asi, lograr los objetivos planteados y el propsito de la misma. Prdida de informacin en las empresas

Desde principios de ao, importantes empresas de Estados Unidos han perdido o les han robado bases de datos con informacin de millones de personas. Lo que a primera vista parece una oleada es, segn los expertos, algo normal. La diferencia est en que nadie lo denunciaba, hasta la aparicin de una ley en California que obliga a las empresas que sufran fugas a darlo a conocer pblicamente.
La ley californiana "Security Breach Information Act"(2003), ha destapado la caja de los truenos de una situacin hasta ahora subterrnea: los frecuentes robos y prdidas de bases de datos en todo tipo de empresas e instituciones de Estados Unidos. La ley, que entr en vigor a mediados del ao pasado, obliga a las empresas que realicen negocios en California a avisar a los usuarios en caso de que la informacin que almacenan sobre ellos sea comprometida.

(2003), A raz de la entrada en vigor de la ley califormiana, empez una ola de notificaciones de robos y prdidas de datos personales que ha sacudido la opinin pblica y ha provocado que el congreso norteamericano estudie poner en marcha leyes parecidas para todo el pas. El ltimo caso, la semana pasada, cuando alguin rob datos de los titulares de 40 millones de tarjetas de crdito de entidades financieras como MasterCard, Visa o American Express.

Estos casos muestran que la mayora de empresas ven comprometidas sus bases de datos informticas de tres formas: por la prdida de discos de "back-up", que suele gestionar una tercera empresa, por la entrada de intrusos o los propios empleados en los sistemas informticos y por el robo de ordenadores.
Segn Rober Tons (2011), afirma que la desaparicin de "back-ups" ha afectado a pesos pesados como Citibank, que a principios de junio perda los datos de 3,9 millones de clientes; el Bank of America, que en febrero perda informacin financiera de 1,2 millones de personas; el programa gubernamental SmartPay, con ms de un milln de clientes afectados; la firma Ameritrade, que perdi en abril los datos de 200.000 clientes, y Time Warner, cuyas cintas de "back-up" con datos de 600.000 empleados se volatilizaban en mayo, durante un transporte.

(2011) En cuanto a la entrada en sistemas informticos, el Bank of America, junto a otros grandes bancos, es protagonista de uno de los mayores robos de datos bancarios en EEUU. A finales de mayo se supo que empleados de estos bancos vendieron informacin de ms de 670.000 clientes.

En febrero, diversas personas se hicieron pasar por clientes de ChoicePoint para entrar en sus sistemas y llevarse nombres, direcciones, nmeros de Seguridad Social e informes financieros de 140.000 usuarios. En marzo, se descubra que haban usado el mismo truco con Seisint, una filial de LexisNexis, para llevarse datos de 310.000 personas. El mismo mes, la empresa de calzado DSW notificaba que les haban robado los nmeros y nombres asociados a un milln y medio de tarjetas de crdito.

Muchas veces no se tienen bien establecidas en las instituciones o empresas el uso de controles de acceso a personas no identificadas, debido a esto existen casos de robo de informacion, lo que hace a sus sistemas vulnerables a multiples ataques y perdidas generales.

Segn Estaban Ferds Seguridad en las empresas (2011), afirma, las universidades son blanco frecuente de los intrusos informticos. Slo en los ltimos tres meses, la Universidad Estatal de California, el Boston College, la Universidad George Mason y la Universidad Carnegie Mellon han sufrido robos de informacin de miles de alumnos y empleados. Un acceso no autorizado al proveedor de telefona mvil T-Mobile comprometa los datos de 400 clientes, entre ellos estrellas de Hollywood cuyos nmeros de telfono se hicieron pblicos en Internet.

Cabe sealar, que las perdidas de informacin muchas veces o mejor dicho siempre ocurre por fuga o espacios que se dejan abiertos y que de ninguna manera se le pone la mas minima atencion en las empresas hasta que ocurre el incidente, existen universidaddes, hasta instituciones, que no cuentan con un

adecuado sistema de control accesos, lo que proporciona focos rojos en cuento a seguridad.
(2011) En cuanto al robo de ordenadores, desapareco un porttil de MCI, con informacin personal de 16.500 empleados. En abril, robaban dos mquinas del San Jos Medical Group, con informacin mdica y financiera de 185.000 pacientes. En marzo, un contratista del gobierno, Science Applications International Corp, sufra el robo de diversos ordenadores con detalles sobre empleados actuales y pasados, entre ellos secretarios de Defensa y directivos de la CIA.

Tambin en marzo, el robo de un ordenador porttil de la Universidad de Berkeley comprometa la informacin personal de 98.000 personas. La misma universidad haba sufrido, en agosto del ao pasado, una entrada en sus sistemas de donde se llevaron una base de datos con ms de un milln de registros.

Las empresas mencionadas enteriormente han sufrido un sin numero de perdida de informacion relevantes, lo que proporciona un desastre total en sus operaciones. Se tiene que seguir recordando en cada instante, que lo mas importante para las empresas, lo que los hace unicas y ademas lo que pone el extra para desarrollarse como una empresa competitiva es su informacion, y sin

ella, se queda vulnerables a ser una de las muchas empresas fracasadas y no seguras para sus clientes.

Estados Unidos siempre ha destacado por su permisiva legislacin en proteccin de datos, que empieza a cambiar para acercarse a la normativa europea, ms proteccionista. Esto sera la explicacin del los problemas y desorden en sus bases de datos. Pero, segn los expertos, la situacin no es mejor, slo que las empresas no estn obligadas a hacer pblicas las fugas.
Segn el diario de negocios "Vedomosti" (2005), A nivel europeo, el caso ms sonado de perdida de informacion, ha sucedido en el Banco Central de Rusia, donde en cuatro meses les han robado dos veces las bases de datos, que contienen todas sus operaciones en los ltimos dos aos. Se venden en el mercado negro por 3.000 rublos (85 euros). Agencia de proteccion de datos Seguridad total (2005), En Espaa, el caso ms reciente ha sido el Hospital de Legans, que se sometio a una auditoria informtica, despus de detectarse

"accesos atpicos", como la manipulacin y el intento de borrado de algunos registros de sus bases de datos de pacientes.

Cabe sealar que aun, los Hospitales estan expuestos a perdida de la informacin, seguramente se piensa que los datos almacenados y distribuidos en las instituciones de salud no son relevantes, con el caso anterior podemos delimitar que, la informacion que se distribuye es altamente importante y esta expuesta a robos y perdidas que pongan en riesgo tanto a usuarios, pacientes y por consecuente con la institucin. Con respecto al caso anterior se puede mencionar que la filtracin de los datos publicados ha tenido que deberse a un incumplimiento de la normativa de seguridad que rige para los ficheros de nivel alto, y a la ignorancia de los trabajadores respecto de su deber de precaucin en el tratamiento de los datos de

salud contenidos en los ficheros del Hospital, ya que se ha producido un acceso indebido a los ficheros del Hospital por parte de personal ajeno al mismo.

Segn los expertos en temas de seguridad de la informacin en el artculo publicado para la revista Magazine Seguridad en las empresas (2006), debaten y analizan los casos de perdida de informacin y la ley de proteccion de datos de california, por lo que afirman lo siguiente:
Segn Daniel Cruz, responsable del Departamento de Planificacin de Seguridad de esCERT/InetSecur, "los robos de datos con informacin personal suceden tambin en Espaa, donde siempre ha existido un mercado de datos. Mucha veces no son robos de terceros sin que las fugas provienen de la propia organizacin, por errores voluntarios o involuntarios". El motivo de estos robos, cada vez ms frecuentes segn Cruz, suele ser "obtener datos de los clientes de la competencia".

Albert Gabs, gerente de Astabis Data Management y miembro del Chaos Computer Club, explica: "Las bases de datos espaolas no son ms seguras que las americanas. Aqu siempre se ha pagado a "crackers" para obtenerlas: en su da daban bastantes millones por la base de datos de una importante operadora de mviles". Gabs recuerda que "casi toda intrusin en un sistema lleva asociado el acceso a la base de datos de usuarios y contraseas. Las webs de sexo son uno de los principales objetivos, porque tienen suculentos listados de tarjetas de crdito y poca seguridad".

Mariano Jos Benito, Director del Departamento de Seguridad de SGI Soluciones Globales Internet, explica: "Al no ser denunciados, no hay estadsticas fiables de estos robos en Espaa, pero la sensacin general es que hay incidentes de este tipo con cierta frecuencia y que han tenido lugar en buen nmero de compaas de todos los sectores, desde grandes empresas a PYMES". Segn Benito, el origen son "'spammers', la competencia e incluso mafias, muy a menudo transnacionales. Se conocen casos de intentos de estafa basados en datos financieros de un fichero robado.

El problema para mi punto de vista, de prdida de informacin son las propias PYMES y las empresas grandes. En la mayora no desconfan de sus empleados ni de los informticos externos que prestan los servicios a las instituciones, muchas veces sin relacin de contratos ni clusulas de confidencialidad por los trabajos que se realicen, permiten que todos puedan acceder a todo y no hay ningn control, y pocas son las que cumplen con la ley.
Daniel Cruz afirma: "El cumplimiento de la LOPD es escaso. El porcentaje de organizaciones que tienen inscritos sus ficheros en la Agencia de Proteccin de Datos no supera el 10% y la inscripcin es la fase ms sencilla. En cuanto al Reglamento de Medidas de Seguridad, su implantacin tampoco es la adecuada porque, en el caso de ficheros de nivel alto, el proceso es complicado y costoso para las pequeas empresas y, en general, las organizaciones descuidan la gestin de su seguridad".

Los Hospitales, compaas de seguros mdicos, sindicatos, partidos polticos, agrupaciones religiosas, tienen en su poder datos del nivel ms alto, que requieren medidas de proteccin muy estrictas y caras. La tentacin est ah. En muchos casos, suele deberse a desconocimiento". El problema, no es que la normativa sea complicada sin que "la complicacin est en la propia organizacin: en muchos casos no queda claro quin se encarga de qu, en otros las tareas se interfieren entre s.

Es fundamental el cifrado de toda la informacin, en cualquiera de las etapas del ciclo, desde su entrada, pasando por el almacenamiento y transporte. Lo que deberia adaptarse el actual Reglamento de Medidas de Seguridad, y las medidas mnimas que una organizacin que maneje datos personales debe tener implantadas son: Correctos sistemas de identificacin de usuarios (correcta gestin de privilegios de usuarios y de las contraseas de los mismos) Cifrado de las informaciones as como de las comunicaciones Copias de seguridad correctas y con la periodicidad adecuada. Cuidado con las informaciones que las organizaciones puedan tener en

soporte papel.

El Computer Security Institute realiz el ao pasado una encuesta a 276 compaas de EEUU para saber por qu no denunciaban a las fuerzas de la ley los robos en sus bases de datos. Las respuestas:
51%. Por la mala publicidad 35%. Por miedo a que la competencia se aproveche del incidente 20%. Porque un remedio interno parece la mejor opcin 18%. Por desconocimento del inters de las fuerzas de la ley en estos casos.

Preocupacin en Latinoamerica por la prdida de la informacin en las empresas. ESET, proveedor global de soluciones antimalware de ltima generacin, anuncia el lanzamiento de una nueva edicin del ESET Security Report para Latinoamrica, informe que analiza el estado de la seguridad informtica en la regin y revela las principales preocupaciones para las empresas, donde fueron consultados ms de 3200 profesionales de distintas organizaciones.
Segn Eset Security Report, encuestas (2011), los profesionales latinoamericanos sealan la prdida de datos o fuga de informacin como la principal preocupacin en materia de seguridad informtica, con el 42.52% del total de las respuestas. El grado de concientizacin en torno al valor de la informacin se ve en franco aumento, por lo que los incidentes relacionados a este recurso inquietan profundamente a las organizaciones tanto por los costos asociados a los mismos como por los riesgos relacionados a la reputacin de la empresa. Asimismo, la amplia repercusin del caso Wikileaks, ocurrido a fines del 2010, contribuy a posicionar en primera plana la problemtica.

Por lo anterior, cabe sealar que en la institucion donde se comienza con el punto de partida para esta investigacion, es de vital importancia conocer los avances que se obtienen en cuento a seguridad de la informacin para resolver los problemas que se tienen de prdida de datos.

(2011) En segundo lugar se ubica el malware con el 35.36% de los votos, preocupacin que se mantiene en el podio en todos los ESET Security Report realizados. Los cdigos maliciosos, identificados como preocupacin por una de cada tres personas, son las amenazas automatizadas que ms afectan a usuarios y organizaciones en todo el mundo. En este sentido, vale destacar que el 38% de las empresas se infectaron con malware durante el 2010.

Las posibilidades o motivos de prdida de la informacin pudiera ser por malware, que son bichos infiltrados por medio de accesos o vulnerabilidades de internet que se propagan a las demas pcs por medio de la red de la empresa, en dicha institucion se manejan los protocolos de redes por medios de vlans, que en la mayoria de los casos no se tiene un monitoreo constante.
(2011) El 17% de los encuestados indicaron no haber sufrido ningn incidente de seguridad en el ltimo ao, lo que puede indicar tanto la real falta de incidentes de seguridad como tambin el desconocimiento de la existencia de alguno ya que tan slo una de cada cuatro empresas manifestaron contar con herramientas de deteccin de incidentes.

En lnea con esta tendencia cabe destacar que slo 4 de cada 10 personas indicaron que cuentan en su empresa con herramientas de deteccin de incidentes, un valor por dems bajo teniendo en cuenta la gran preocupacin por la prdida de datos. En estos casos, se destacan como las medidas de seguridad ms populares en las empresas en Latinoamrica los software antivirus, firewall, copias de respaldo y herramientas antispam.

Federico Pacheco, Gerente de Educacin e Investigacin de ESET Latinoamrica (2011) Los indicadores resaltan un avance en la concientizacin sobre amenazas virtuales , sin embargo, existen dificultades como el presupuesto o la capacitacin para llevarse a la prctica. De este modo, mientras que 8 de cada 10 usuarios consideran que la educacin en seguridad es muy importante, menos de la mitad de las empresas implementan de forma peridica planes de concientizacin.

El crecimiento en el uso de las redes sociales aade un nuevo interrogante a la poltica de seguridad de las empresas. Mientras el 36.2% de las compaas latinoamericanas permite el uso libre de todo tipo de redes sociales, el 29.8% las bloquea en su totalidad; cuestin que demuestra que an no existe una tendencia clara a la hora de permitir o no el acceso a los empleados. Sumado a esto, el 50% de los usuarios considera que no hay cdigos maliciosos en las redes sociales.

En casos de acceso a plataformas o redes sociales, muchas veces se plantean estrategias que faciliten y ayuden a la buena administracin de los accesos, pero surgen inconvenientes, ya que en institucines gubernamentales se encuentran con mitos y realidades que todas las personas quieren tener el acceso libre de internet devido a razones o motivos no reales.
Sebastin Bortnik, Coordinador de Awareness & Research de ESET Latinoamrica (2011), Resulta importante destacar que el hecho de permitir el uso de las redes sociales en las empresas no implica necesariamente una exposicin indiscriminada a riesgos asociados a cdigos maliciosos. Sin embargo, es importante que las organizaciones conozcan cules son las medidas preventivas que se deben tomar para evitar incidentes que puedan afectar a la compaa.

HIPTESIS 1 Hipotesis: Con la adecuada administracin de los sistemas de informacin, el resguardo de la informacin mejorar, teniendo un control de seguridad informtica en un 80%, disminuyendo la perdida de la informacin.

Variables Independientes Administracin Dependientes Informacin Seguridad informatica

Definiciones conceptuales:

Informacin: Es un conjunto de elementos que interactan entre s con el fin de apoyar las actividades de una organizacin.

Seguridad informtica: Es una disciplina que se relaciona a diversas tcnicas, aplicaciones y dispositivos encargados de asegurar la integridad y privacidad de la informacin de un sistema informtico y sus usuarios.

Administracin: Es la ciencia social y tcnica encargada de la planificacin, organizacin, direccin y control de los recursos (humanos, financieros, materiales, tecnolgicos, el conocimiento, etc) de la organizacin, con el fin de obtener el mximo beneficio posible.

Definiciones operacionales:

Seguridad Informtica: Registro usuarios y control de la informacin

HIPTESIS 2 Hiptesis: Los problemas de perdida de datos en una empresa, son en ms de la mitad de los casos por problemas de usuario, debido a su poco conocimiento o la poca importancia que estos demuestran para con sus datos e informacin.

Variables Independientes Dependientes Nivel de experiencia del usuario en cuanto a manejo de la informacin

Seguridad de la red en la que se encuentran los datos Conciencia del usuario sobre el robo de datos Confianza de los usuarios Nivel de exposicin de la informacin

HIPTESIS 3

Hiptesis: La Infeccin maliciosa de virus, es el motivo ms usual para robo o perdida de la informacin.

METODOLOGIA DE ESTUDIO En este punto se pretende establecer los pasos por los cuales se desarrollar el trabajo de investigacin. Para esto se bas en la teoria del libro "Metodologia de la investigacin" (Hernandez, Fernandez y Baptista, 2003) con lo cual se pretende llevar a cabo los objetivos de la investigacin. DISEO DE LA INVESTIGACIN La palabra mtodo se deriva del griego meta: hacia, a lo largo, y odos que significa camino, por lo que podemos deducir que mtodo significa el camino ms adecuado para lograr un fin. Hablando de metodos de investigacion, se puede determinar que existen muchas clasificaciones, pero en este estudio hablaremos del metodo inductivo, devido a que se pretende la obtencin de conclusiones generales a partir del anlisis de un hecho en particular o de modo ms restringido. Por lo anterior y conociendo otras definiciones, se puede expresar que el termino diseo se refiere al plan o estrategia concebida para obtener la informacin que se desea, en la literarura sobre la investigacin es posible identificar clasificaciones de los tipos de diseos: Investigacion experimental e investigacion no experimental, a su vez la primera puede dividirse de acuerdo con la clasificacion categorias de Campbell y Stanley (1986).

La investigacion no experimental se subdivide en diseos transaccionales o transversal y diseos longitudinales. De acuerdo a la metodologia de clasificacion que se utilizar para el diseo de la investigacion, sera una investigacion no experimental transversal descriptiva, esto por que la informacin que aqu se pretende, se llevar a cabo sin manipular deliberadamente las variables, lo que hace en la investigacion no experimental es obervar fenomenos tal y como se dan en su contexto natural determinado para despues ser analizados. Como seala Kerlinger (2002, p. 420): "En la investigacion no experimental no es posible manipular las variables o asignar aleatoriamente a los participantes o tratamientos" En este estudio no experimental se observarn situaciones ya existentes, no provocadas intencionalmente, ni por el investigador, debido a que las variables independientes ya han ocurrido y no es posible manipularlas Los diseos transaccionales descriptivos tienen como objeto indagar la incidencia y los valores en los que se manifiestan una o mas variables o ubicar, categorizar y proporcionar una vision, un evento, un contexto o situacion. en un tiempo

Tipo de investigacion El tipo de investigacion que se realizara es de tipo descriptivo, puesto que se pretende recolectar una serie de datos de la empresa denominada Hospital Regional de Alta Especialidad Dr. Juan graham Casass, con esto se pretende explicar situaciones, eventos y hechos respecto a la perdida de la informacion que ah prevalece. Esto es, decir como es y como se manifiesta el fenonemo de perdida de informacion en dica organizacin. Los estudios descriptivos buscan especificar las propiedades caracteristicas y los perfiles importantes de personas, grupos, comunidades o cualquier fenomeno que se someta a un analisis (Danhke, 1989). Es por eso, que se medirn, evaluarn y se obtendr recoleccin de datos sobre diversos aspectos, dimensiones y componentes acerca de el problema de perdida de informacin.

TIPO DE MUESTRA Las muestras se clasifican en dos grupos: las muestras no probabilisticas y las muestras probabilisticas, en las ultimas todos los elementos de la poblacin tienen la misma probabilidad de ser seleccionados. Esto se obtiene mediante la definicion de las caracteristicas de la poblacion, el tamao de la muestra y a traves de una seleccion aleatoria o mecanica de las unidades de analisis. En el caso de esta investigacion, se realizar una muestra no probabilistica, ya que supone un procedimiento de seleccion informal, en las muestra de este tipo la eleccion de los sujetos no depende de que todos tengan la misma probabilidad de ser elegidos. Se tomo esta opcion, ya que las encuestas que se aplicaran asi como la informacion de la que se dispondr, sera proporcionada por 300 personas de esta organizacin, por lo que se seleccionarn arbitrariamente anulando la posibilidad de que todos tengan la misma probabilidad de ser elegidos.

Fuente de datos primarios Se realizaran 300 encuestas al personal de la empresa de las firerentes areas Personal administrativo Personal mdico (Medicos residentes)

Con lo que se pretende identificar informacion de el proceso que actualmente utilizar en sus actividades diarias. Fuente da datos secundarios Los datos secundarios se obtendrn mediante la clasificacin de las fuentes internas, devido a que se contar con informacin propia de la empresa como: datos historicos, control de sus procesos, balances de perdida de la informacin etc. Estos datos son internos debido a que se originan dentro de la propia organizacin para la cual se realizar la investigacin.

INSTRUMENTO La recoleccion de datos implica tres actividades estrechamente relacionadas entre ellas: Seleccionar el instrumento o mtodo de recoleccin de datos entre los posibles, en el rea de estudio, en el cual se inserte la investigacin o se desarrolle uno, este instrumento debe ser valido y confiable, de lo contrario no se puede basar en los resultados Aplicar este instrumento o metodo de recolectar datos, es decir, obtener observaciones, registros o mediciones de variables , sucesos. contextos, categorias u objetos que son de interes para el estudio, Preparar observaciones, registros y mediciones obtenidas para que se analicen correctamente. Segun las caracteristicas anteriores, para este estudio, se ha llegado a la conclusion de utilizar la encuenta de tipo liker debido a que este tipo........... ANLISIS DE DATOS Para el anlisis de datos se pretenden usar softwares (programas de computacion) como los siguientes: Microsoft Officce Excel 2010 (Para la elaboracion de graficas, tablas y promedios de la poblacion encuestada) Programa SPSS v 12 (Para sacar balances y estadisticas generales)

GLOSARIO

Virus informtico Un virus informtico es un malware que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el cdigo de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en un ordenador, aunque tambin existen otros ms inofensivos, que solo se caracterizan por ser molestos. Confidencialidad La confidencialidad es la propiedad de prevenir la divulgacin de informacin a personas o sistemas no autorizados. Integridad Para la Seguridad de la Informacin, la integridad es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No es igual a integridad referencial en bases de datos.) La violacin de integridad se presenta cuando un empleado, programa o proceso (por accidente o con mala intencin) modifica o borra los datos importantes que son parte de la informacin, as mismo hace que su contenido permanezca inalterado a menos que sea modificado por personal autorizado, y esta modificacin sea registrada, asegurando su precisin y confiabilidad. La integridad de un mensaje se obtiene adjuntndole otro conjunto de datos de comprobacin de la integridad: la firma digital Es uno de los pilares fundamentales de la seguridad de la informacin.

Disponibilidad La disponibilidad es la caracterstica, cualidad o condicin de la informacin de encontrarse a disposicin de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. Protocolos de Seguridad de la Informacin

Los protocolos de seguridad son un conjunto de reglas que gobiernan dentro de la transmisin de datos entre la comunicacin de dispositivos para ejercer una confidencialidad,integridad, autenticacin y el no repudio de la informacin. Actores que amenazan la seguridad Un hacker es cualquier persona con amplios conocimientos en tecnologa, bien puede ser informtica, electrnica o comunicaciones, mantiene permanentemente actualizado y conoce a fondo todo lo relacionado con programacin y sistemas complejos; es un investigador nato que se inclina ante todo por conocer lo relacionado con cadenas de datos cifrados y las posibilidades de acceder a cualquier tipo de "informacin segura". Su formacin y las habilidades que poseen les da una experticia mayor que les permite acceder a sistemas de informacin seguros, sin ser descubiertos, y tambin les da la posibilidad de difundir sus conocimientos para que las dems personas se enteren de cmo es que realmente funciona la tecnologa y conozcan las debilidades de sus propios sistemas de informacin.

Un cracker, es aquella persona con comportamiento compulsivo, que alardea de su capacidad para reventar sistemas electrnicos e informticos. Un cracker es un hbil conocedor de programacin de Software y Hardware; disea y fabrica programas de guerra y hardware para reventar software y comunicaciones como el telfono, el correo electrnico o el control de otros computadores remotos.

Un lammer es aquella persona deseosa de alcanzar el nivel de un hacker pero su poca formacin y sus conocimientos les impiden realizar este sueo. Su trabajo se reduce a ejecutar programas creados por otros, a bajar, en forma indiscriminada, cualquier tipo de programa publicado en la red.

Un copyhacher' es una persona dedicada a falsificar y crackear hardware, especficamente en el sector de tarjetas inteligentes. Su estrategia radica en establecer amistad con los verdaderos Hackers, para copiarles los mtodos de ruptura y despus venderlos los bucaneros. Los copyhackers se interesan por poseer conocimientos de tecnologa, son aficionados a las revistas tcnicas y a leer todo lo que hay en la red. Su principal motivacin es el dinero.

Un "bucanero" es un comerciante que depende exclusivamente de de la red para su actividad. Los "bucaneros" no poseen ningn tipo de formacin en el rea de los sistemas, si poseen un amplio conocimiento en rea de los negocios.

Un phreaker se caracterizan por poseer vastos conocimientos en el rea de telefona terrestre y mvil, incluso ms que los propios tcnicos de las compaas telefnicas; recientemente con el auge de los celulares, han tenido que ingresar tambin al mundo de la informtica y del procesamiento de datos.

Un newbie o "novato de red" es un individuo que sin proponrselo tropieza con una pgina de hacking y descubre que en ella existen reas de descarga de buenos programas de hackeo, baja todo lo que puede y empieza a trabajar con ellos.

Un script kiddie o skid kiddie, es un simple usuariosde Internet, sin conocimientos sobre hackeo o crackeo que, aunque aficionado a estos tema, no los conoce en profundidad limitndose a recopilar informacin de la red y a buscar programas que luego ejecuta, infectando en algunos casos de virus a sus propios equipos.

BIBLIOGRAFA Libros Cun Rober, Sistemas de Informacin, Prdida de informacin en las empresas, 2010, p.53-54. Hospital Regional de Alta Especialidad Dr. Juan Graham Casass, Manual de organizacin,2010, p. 10-30. Sun Tzu El arte de la guerra, 2000, p34 Diario Vedomosti Perdida de informacion en Hospital Severo Ochoa, 2005. p13. Web Extraido el 19 de Septiembre 2011, California Security Breach Information Act (SB-1386),http://searchcio.techtarget.com/definition/California-SecurityBreach-Information-Act Extraido el 3 de Octubre 2011, ESET presenta su informe ESET Security Report,http://www.zma.com.ar/noticias-eset-presenta-su-informe-esetsecurity-report-en-argentina-132.html Magazine Seguridad en las empresas ,2006, p.22.

Extraido el 06 de Octubre 2011, En el caso de ficheros de nivel alto el registro de acceso no podr quedar desactivado

http://www.madrid.org/cs/Satellite?c=CM_Texto_FA&cid=1142480894762&i dPage=1109179336864&language=es&pagename=APDCM%2FCM_Texto _FA%2FmuestraTextoFA_APDCM.