Tesis Ing Sist
101
UNIVERSIDAD NACIONAL JOSÉ FAUSTINO SÁNCHEZ CARRIÓN FACULTAD DE INGENIERÍA INDUSTRIAL, SISTEMAS E INFORMÁTICA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN LA SOCIEDAD DE COMERCIO EXTERIOR DEL PERÚ, 2014 Tesis para optar el Título de Ingeniero de Sistemas Autores: Bachiller. ELVERT MORALES GUERRERO Bachiller. JOSÉ CARLOS TORERO ESPIRITU Asesor: Mg. EDGARDO CARREÑO CISNEROS Huacho, Perú 2015
-
Upload
sandra-cavero-la-rosa -
Category
Documents
-
view
235 -
download
5
description
TESIS ING. SISTEMAS
Transcript of Tesis Ing Sist
UNIVERSIDAD NACIONAL JOSÉ FAUSTINO SÁNCHEZ CARRIÓN
FACULTAD DE INGENIERÍA INDUSTRIAL, SISTEMAS E INFORMÁTICA
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN EN LA SOCIEDAD DE
COMERCIO EXTERIOR
DEL PERÚ, 2014
Tesis para optar el Título de Ingeniero de Sistemas
Autores:
Bachiller. ELVERT MORALES GUERRERO
Bachiller. JOSÉ CARLOS TORERO ESPIRITU
Asesor:
Mg. EDGARDO CARREÑO CISNEROS
Huacho, Perú 2015
2
Dedicatoria
Para Ivonne, mi Madre. Por todo su
sacrificio. Esta meta lo logramos juntos
y para mi mamita Domitila por su tan
valioso apoyo.
José C. Torero E.
Para Isidro, mi hermano. Que desde el
cielo me sigue brindando toda la fuerza.
Para lograr esta mera Y a mi madre
Gabriela por su tan valioso apoyo.
Elvert Morales G.
3
Índice
1. CAPITULO I: PLANTEAMIENTO DEL PROBLEMA ......................... 11
1.1. Descripción de la Realidad Problemática ................................... 11
1.2. Formulación del Problema .......................................................... 12
1.2.1. Problema General ................................................................ 12
1.2.2. Problemas Específicos ......................................................... 12
1.3. Objetivos de la Investigación ...................................................... 12
1.3.1. Objetivo General .................................................................. 12
1.3.2. Objetivos Específicos ........................................................... 12
1.4. Justificación de la Investigación .................................................. 13
1.5. Delimitaciones de la investigación .............................................. 13
1.5.1. Delimitación Espacial ........................................................... 13
1.5.2. Delimitación Temporal .......................................................... 13
2. CAPITULO II: MARCO TEÓRICO .................................................... 14
2.1. Antecedentes de la Empresa o institución .................................. 14
2.2. Antecedentes de la Investigación ............................................... 15
2.2.1. Antecedentes de la Investigación Internacionales................ 15
2.2.2. Antecedentes de la Investigación Nacionales ...................... 17
2.3. Bases teóricas ............................................................................ 19
2.3.1. Sistemas de Información ...................................................... 19
2.3.2. Seguridad de la Información ................................................ 20
2.3.3. Aproximación al concepto de seguridad de información ...... 25
2.3.4. Análisis de riesgos ............................................................... 27
2.3.5. Sistema de Gestión de la Seguridad de la Información (SGSI) 33
2.3.6. Relación de los estándares de la Familia ISO/IEC 27000 .... 34
2.4. Definiciones conceptuales .......................................................... 52
2.5. Formulación de hipótesis ............................................................ 54
2.5.1. Hipótesis General ................................................................. 54
2.5.2. Hipótesis específicas ............................................................ 54
2.6. Operacionalización de Variables e Indicadores .......................... 54
3. CAPITULO III: METODOLOGÍA ....................................................... 56
3.1. Enfoque Metodológico ................................................................ 56
3.2. Tipo y Nivel de Investigación ...................................................... 56
3.2.1. Tipo de Investigación ........................................................... 56
4
3.2.2. Nivel de investigación ........................................................... 56
3.3. Método y Diseño de la Investigación .......................................... 56
3.3.1. Diseño de la Investigación ................................................... 56
3.3.2. Método de la Investigación ................................................... 56
3.4. Población y Muestra ................................................................... 56
3.5. Técnicas de recolección de datos ............................................... 57
3.6. Técnicas para el procesamiento de la información ..................... 58
4. CAPÍTULO IV: RESULTADOS ......................................................... 59
4.1. Presentación de tablas, figuras e interpretaciones. .................... 59
4.1.1. Validez y fiabilidad del instrumento ...................................... 59
4.1.2. Análisis e interpretación de resultados de la Variable: Sistema de Gestión de Seguridad de la Información ...................................... 60
4.1.3. Análisis e interpretación de resultados de las Dimensiones . 63
4.1.4. Resultado del procesamiento del cuestionario de la variable sistema de gestión de seguridad de la información .......................... 69
4.1.5. Descripción metodológica de la matriz de análisis de riesgo 94
5. CAPÍTULO V: CONCLUSIONES Y RECOMENDACIONES ............. 96
5.1. CONCLUSIONES ....................................................................... 96
5.2. RECOMENDACIONES ............................................................... 97
6. CAPÍTULO VI: FUENTES DE INFORMACIÓN ................................ 98
6.1. Fuentes Bibliográficas................................................................. 98
5
Índice de Tablas
Tabla 2.1 Operacionalización de Indicadores y variables ........................ 55 Tabla 4.1 Validez de contenido: Instrumento-Cuestionario de la variable sistema de gestión de la seguridad de la información ............................. 59 Tabla 4.2 Criterios de fiabilidad de valores que toma el Alfa de Cronbach ................................................................................................................. 60
Tabla 4.3 Resumen de procedimiento de casos de la Variable Sistema de Gestión de Seguridad de la Información .................................................. 60 Tabla 4.4 Estadísticas de fiabilidad del sistema de gestión de seguridad de la información........................................................................................... 60 Tabla 4.5 Sistema de gestión de seguridad de la información ................. 61 Tabla 4.6 Estadísticos descriptivos de Sistema de gestión de seguridad de la información........................................................................................... 62 Tabla 4.7 Dimensión Confidencialidad ..................................................... 63
Tabla 4.8 Estadísticos descriptivos de la dimensión disponibilidad ......... 64 Tabla 4.9 Dimensión Integridad ............................................................... 65 Tabla 4.10 Estadísticos descriptivos de la dimensión integridad ............. 66 Tabla 4.11 Dimensión Integridad ............................................................. 67
Tabla 4.12 Estadísticos descriptivos de la dimensión disponibilidad ....... 68 Tabla 4.13 Los sistemas de información de COMEXPERU presentan fallas ................................................................................................................. 69 Tabla 4.14 Cuando el sistema de información de COMEXPERU falla, existen procedimientos que salvaguardan mi información ....................... 70
Tabla 4.15 En más de una ocasión, las fallas producidas por los sistemas de información de COMEXPERU han producido daños irreversibles ...... 71
Tabla 4.16 Los sistemas de información y los equipos informáticos de COMEXPERU constantemente son sometidos a mantenimientos preventivos............................................................................................... 72 Tabla 4.17 El periodo de vida útil de los equipos informáticos de COMEXPERU es largo ............................................................................ 73
Tabla 4.18 Los equipos informáticos y los sistemas de información de COMEXPERU muestran un desempeño óptimo...................................... 74
Tabla 4.19 El nivel de privacidad de mi información dentro de COMEXPERU es confiable ...................................................................... 75 Tabla 4.20 El nivel de confianza ante la protección de mi información dentro de COMEXPERU es óptima .................................................................... 76 Tabla 4.21 Creo que mi información se encuentra expuesta dentro de mi centro de trabajo ...................................................................................... 77 Tabla 4.22 Sospecho que parte de mi información en algún momento ha sido vista por personas ajenas a mi área de trabajo ................................ 78 Tabla 4.23 Me es fácil conseguir información de otras áreas sin el consentimiento del propietario ................................................................. 79
Tabla 4.24 A menudo el envío de mi información es interrumpida por algún suceso informático ................................................................................... 80
Tabla 4.25 Puedo confiar en los reportes que son generados por los sistemas de información de COMEXPERU debido a que nunca han generado reportes erróneos .................................................................... 81
6
Tabla 4.26 Sospecho que existen programas o medios informáticos que intersecten mi comunicación vía email o telefónicamente ....................... 82 Tabla 4.27 En más de una ocasión he perdido información valiosa ........ 83 Tabla 4.28 La mayoría de veces que he tenido problemas con mi información ha sido producto de un mal funcionamiento del sistema ...... 84 Tabla 4.29 En alguna ocasión he sido culpable de la pérdida de mi información .............................................................................................. 85 Tabla 4.30 Acostumbro a cambiar constantemente mis contraseñas ...... 86 Tabla 4.31 Siempre me aseguro que la información que he enviado haya llegado a su destinatario .......................................................................... 87 Tabla 4.32 El sistema de información de COMEXPERU me brinda información de manera oportuna ............................................................. 88 Tabla 4.33 El tiempo de respuesta que me ofrecen los sistemas de información en COMEXPERU es óptima ................................................. 89
Tabla 4.34 El nivel de accesibilidad a mi información es adecuada ........ 90 Tabla 4.35 Los sistemas de información de COMEXPERU me brindan información completa y exacta ................................................................. 91
Tabla 4.36 Los sistemas de información de COMEXPERU conservan la integridad de mi información .................................................................... 92
Tabla 4.37 El nivel de seguridad de la información dentro de COMEXPERU es alta ...................................................................................................... 93 Tabla 4.38 Análisis de Riesgo promedio .................................................. 94
7
Índice de Gráficas
Gráfica 2.1 Contexto normativo de un SGSI ............................................ 34 Gráfica 2.2 Relación de los estándares de la familia del SGSI ................ 36 Gráfica 2.3 Modelo PDCA aplicado a los procesos de un SGSI. ............. 38 Gráfica 4.1 Variable Sistema de gestión de seguridad de la información 61 Gráfica 4.2 Dimensión Confidencialidad .................................................. 63
Gráfica 4.3 Dimensión Integridad ............................................................. 65 Gráfica 4.4 Dimensión Disponibilidad ...................................................... 67 Gráfica 4.5 Los sistemas de información de COMEXPERU presentan fallas ................................................................................................................. 69 Gráfica 4.6 Cuando el sistema de información de COMEXPERU falla, existen procedimientos que salvaguardan mi información ....................... 70
Gráfica 4.7 En más de una ocasión, las fallas producidas por los sistemas de información de COMEXPERU han producido daños irreversibles ...... 71
Gráfica 4.8 Los sistemas de información y los equipos informáticos de COMEXPERU constantemente son sometidos a mantenimientos preventivos............................................................................................... 72 Gráfica 4.9 El periodo de vida útil de los equipos informáticos de COMEXPERU es largo ............................................................................ 73 Gráfica 4.10 Los equipos informáticos y los sistemas de información de COMEXPERU muestran un desempeño óptimo...................................... 74 Gráfica 4.11 El nivel de privacidad de mi información dentro de COMEXPERU es confiable ...................................................................... 75
Gráfica 4.12 El nivel de confianza ante la protección de mi información dentro de COMEXPERU es óptima ......................................................... 76
Gráfica 4.13 Creo que mi información se encuentra expuesta dentro de mi centro de trabajo ...................................................................................... 77
Gráfica 4.14 Sospecho que parte de mi información en algún momento ha sido vista por personas ajenas a mi área de trabajo ................................ 78 Gráfica 4.15 Me es fácil conseguir información de otras áreas sin el consentimiento del propietario ................................................................. 79 Gráfica 4.16 A menudo el envío de mi información es interrumpida por algún suceso informático ................................................................................... 80 Gráfica 4.17 Puedo confiar en los reportes que son generados por los sistemas de información de COMEXPERU debido a que nunca han generado reportes erróneos .................................................................... 81 Gráfica 4.18 Sospecho que existen programas o medios informáticos que intersecten mi comunicación vía email o telefónicamente ....................... 82 Gráfica 4.19 En más de una ocasión he perdido información valiosa ...... 83
Gráfica 4.20 La mayoría de veces que he tenido problemas con mi información ha sido producto de un mal funcionamiento del sistema ...... 84 Gráfica 4.21 En alguna ocasión he sido culpable de la pérdida de mi información .............................................................................................. 85 Gráfica 4.22 Acostumbro a cambiar constantemente mis contraseñas ... 86
Gráfica 4.23 Siempre me aseguro que la información que he enviado haya llegado a su destinatario .......................................................................... 87
8
Gráfica 4.24 El sistema de información de COMEXPERU me brinda información de manera oportuna ............................................................. 88 Gráfica 4.25 El tiempo de respuesta que me ofrecen los sistemas de información en COMEXPERU es óptima ................................................. 89 Gráfica 4.26 El nivel de accesibilidad a mi información es adecuada ...... 90 Gráfica 4.27 Los sistemas de información de COMEXPERU me brindan información completa y exacta ................................................................. 91 Gráfica 4.28 Los sistemas de información de COMEXPERU conservan la integridad de mi información .................................................................... 92 Gráfica 4.29 El nivel de seguridad de la información dentro de COMEXPERU es alta .............................................................................. 93
Gráfica 4.30 Análisis de factores de riesgo .............................................. 95
9
INTRODUCCIÓN
A menudo las organizaciones se ven abocadas a los rápidos y constantes cambios del entorno, en el actual mundo globalizado, se deben buscar estrategias gerenciales que permitan que las organizaciones de hoy sean capaces de anticiparse y adaptarse permanentemente a los cambios, logrando el máximo aprovechamiento de sus recursos. Para ello es necesario la implementación de sistemas de gestión de seguridad de la información, que logren direccionar sus actividades en un mundo competitivo y que les permita identificarse como compañías de calidad en seguridad de la información. En este sentido el objetivo general de la presente investigación es medir el nivel de seguridad de la información del Sistema de Gestión de Seguridad de la información en la Sociedad de Comercio Exterior del Perú, 2014.
La presente investigación se encuentra estructurada de la siguiente manera:
Capítulo I: se presenta el planteamiento del problema.
En este capítulo se describe la realidad problemática, se formulan los problemas y objetivos generales y específicos.
Capítulo II: se presenta el marco teórico.
En este capítulo se presentan los antecedentes de la empresa, antecedentes de la investigación, definiciones conceptuales, formulación de hipótesis y la operacionalización de la variable.
Capítulo III: se presenta la metodología.
En este capítulo se presenta el diseño metodológico, se determina la muestra, técnicas de recolección de datos y técnicas para el procesamiento.
Capítulo IV: se presenta el análisis e interpretación de resultados.
En este capítulo se presentan los resultados con sus respectivas interpretaciones
Capítulo V: se presenta las conclusiones y recomendaciones.
En este capítulo se presentan las discusiones, conclusiones, recomendaciones.
10
RESUMEN
Este trabajo de investigación tuvo como objetivo medir el nivel de seguridad de la información del Sistema de Gestión de Seguridad de la información en la Sociedad de Comercio Exterior del Perú, 2014. La investigación es de tipo tecnológica, de método descriptivo, el diseño es no experimental de corte transversal y de nivel descriptivo. La variable Sistemas de Gestión de Seguridad de la Información tuvo como dimensiones la confiabilidad, disponibilidad e integridad basadas en las características de seguridad de la información. Para tal propósito se realizó una encuesta aplicando como instrumento un cuestionario para la variable, validado en el ámbito científico cuya adaptación alcanzó una confiabilidad aceptable (88,8%). Se obtuvo una muestra probabilística con selección sistemática de 30 trabajadores. Los resultados obtenidos demuestran con un 95% de probabilidad que existe…
Palabras clave: Seguridad de la información, Sistema de gestión de seguridad de la información.
11
1. CAPITULO I: PLANTEAMIENTO DEL PROBLEMA
1.1. Descripción de la Realidad Problemática
La Seguridad de la Información tiene como fin la protección de la información y de los sistemas de la información, del acceso, uso, divulgación, interrupción o destrucción no autorizada.
Es así, que en la Sociedad de Comercio Exterior del Perú (COMEXPERÚ) gremio privado que agrupa a las principales empresas vinculadas al Comercio Exterior brindado servicio de asesoría e información comercial a sus asociados, también implica esta necesidad de proteger la información.
Dentro de la Sociedad de Comercio Exterior del Perú podemos apreciar diferentes problemas de seguridad de información que ocurren día a día, tal es el caso de los malos hábitos tecnológicos que si bien es cierto son pequeños pueden conllevar a errores irremediables, como por ejemplo el simple hecho de acostumbrar a utilizar la función de “autocompletar" de Microsoft Outlook cuando los empleados están creando su mensaje de correo electrónico, sin darse cuenta seleccionan a otros destinatarios. El empleado cree que envía un mensaje de correo electrónico a “Eric Amigable”, pero en vez de eso, la función autocompletar lo envía a “Eric Enemigo”. El simple hecho de desactivar algo como el autocompletar, podría evitar muchos dolores de cabeza extra.
Otro caso muy recurrente dentro de COMEXPERU es la divulgación de contraseñas y otra información confidencial a pesar de que los usuarios son alertados acerca de situaciones como el pishing, programas de spyware y sitios web hackeados, muchos usuarios aún proporcionan información delicada cuando se les solicita creyendo ciegamente en la legitimidad de un sitio web o correo electrónico. La forma más fácil de robarle la información a una persona es simplemente pidiéndosela.
Otra debilidad en los usuarios de COMEXPERU radica en asumir que está bien mandar información delicada, tales como datos de recursos humanos, datos contables, bases de datos, informes de investigación, etc. a colegas o proveedores de servicios outsourcing. El problema está en que el empleado asume que las personas a las que se les brindó la información no divulgarán y lo mantendrán seguros. Siendo esto uno de los mayores riesgos que se corre dentro de la organización.
Dentro de las debilidades también se encuentra la confianza por parte del administrador de sistemas al pensar que para salvaguardar la información solo basta con instalar antivirus, parches y otras actualizaciones de software, donde se piensa que son acciones simples y suficientes y no se necesita de más trabajo.
12
Para fortalecer estas debilidades es necesario utilizar controles de seguridad de información tal es el caso de la Norma ISO/IEC 27001:2008 y Gestión de Riesgos que nos proporcionarán las metodologías del uso correcto de la información.
1.2. Formulación del Problema
1.2.1. Problema General
¿Cuál es el nivel de seguridad de la información del Sistema de Gestión de Seguridad de la información en la Sociedad de Comercio Exterior del Perú, 2014?
1.2.2. Problemas Específicos
¿Cuál es el nivel de Confidencialidad de la información del Sistema de Gestión de Seguridad de la información en la Sociedad de Comercio Exterior del Perú, 2014?
¿Cuál es el nivel de integridad de la información del Sistema de Gestión de Seguridad de la información en la Sociedad de Comercio Exterior del Perú, 2014?
¿Cuál es el nivel de Disponibilidad de la información del Sistema de Gestión de Seguridad de la información en la Sociedad de Comercio Exterior del Perú, 2014?
1.3. Objetivos de la Investigación
1.3.1. Objetivo General
Medir el nivel de seguridad de la información del Sistema de Gestión de Seguridad de la información en la Sociedad de Comercio Exterior del Perú, 2014
1.3.2. Objetivos Específicos
Medir el nivel de Confidencialidad de la información del Sistema de Gestión de Seguridad de la información en la Sociedad de Comercio Exterior del Perú, 2014
Medir el nivel de Integridad de la información del Sistema de Gestión de Seguridad de la información en la Sociedad de Comercio Exterior del Perú, 2014
13
Medir el nivel de Disponibilidad de la información del Sistema de Gestión de Seguridad de la información en la Sociedad de Comercio Exterior del Perú, 2014
1.4. Justificación de la Investigación
La presente investigación tiene relevancia porque permitirá conocer el nivel de seguridad de la información dentro de la Sociedad de Comercio Exterior del Perú.
En el aspecto Teórico: Esta investigación permitirá conocer las mejores herramientas que ayuden a medir, mejorar y controlar la seguridad de la información
En el aspecto Metodológico: Los métodos, procedimientos, técnicas e instrumentos empleados en la presente investigación una vez demostrado su validez y confiabilidad podrán ser utilizadas en otras investigaciones similares. Además es importante que los empleados de COMEXPERU adopten estas nuevas medidas de seguridad que ayudarán a proteger la información y continuidad del negocio.
En el aspecto Práctico: Esta investigación será bien aprovechado por las autoridades de la organización durante el proceso de toma de decisiones que influyan positivamente en el clima organizacional y fomentará la concientización entre los empleados respecto al uso correcto de la información.
En el aspecto Social: La siguiente investigación ayudará a mejorar la comunicación de los objetivos de la empresa y promoverá la colaboración de los empleados de manera integrada y elevará el compromiso entre ellos para trabajar en conjunto bajo un mismo objetivo.
1.5. Delimitaciones de la investigación
1.5.1. Delimitación Espacial
El estudio se realizará en la oficina principal de la Sociedad de Comercio Exterior del Perú (COMEXPERU) situada en el distrito de Miraflores – Lima con los empleados que lo integran.
1.5.2. Delimitación Temporal El estudio se realizará desde Agosto del 2014 a Mayo del 2015
14
2. CAPITULO II: MARCO TEÓRICO
2.1. Antecedentes de la Empresa o institución
ComexPeru es el gremio privado que agrupa a las principales empresas vinculadas al Comercio Exterior en el Perú.
ComexPeru basa su política y estrategias en tres importantes líneas:
Promover el desarrollo del Comercio Exterior
Defender el Libre Mercado.
Alentar la Inversión Privada.
ComexPeru analiza constantemente el desempeño económico del Perú y sus socios comerciales, y el estado de las reformas y procesos que el Perú necesita desarrollar para alcanzar su desarrollo. Como parte de ese trabajo, emite para sus asociados, mensualmente, boletines sobre la performance económica del país, y bimensualmente, la revista Negocios Internacionales, que aborda en cada edición, un tema de interés primordial para las empresas vinculadas al comercio exterior y el comercio de servicios.
En la línea de los principios de ComexPeru -promover el comercio exterior, el libre mercado y la inversión privada como herramientas de desarrollo-, y cuando institucionalmente se requiere, su equipo de estudios económicos desarrolla análisis y propuestas específicas de solución a casos sobre regulación o aplicación de ésta, así como una evaluación de la regulación aplicada a uno o más sectores de la economía peruana.
En esta tarea, ComexPeru ha abordado casos sobre la regulación y práctica de la administración pública en comercio exterior y mercancías que comprende, así como en negociaciones comerciales internacionales, comercialización de alimentos, productos farmacéuticos, insumos para la agricultura, transporte y logística, bienes vinculados a la construcción, productos farmacéuticos, y distintos ámbitos de la tecnología.
15
2.2. Antecedentes de la Investigación
2.2.1. Antecedentes de la Investigación Internacionales
Barra, A. A. (2012)1,Universidad de Chile – Santiago de Chile, la presente Investigación tuvo como objetivo general diseñar, conceptualmente, un proceso para el funcionamiento de una entidad prestadora de servicios de certificación tendiente a ser acreditada legalmente para la comunidad objetivo.
El desarrollo de la presente tesis busco describir los procesos de funcionamiento de una entidad prestadora de servicios de certificación. En este sentido, el objetivo que se persigue es diseñar conceptualmente dichos procesos y subprocesos, permitiendo con ello un mejor entendimiento de la operación de una entidad prestadora de servicios de certificación.
Y como recomendación el modelo desarrollado permite el establecimiento de un sistema lo suficientemente robusto que garantiza la disponibilidad, confidencialidad, integridad y autenticidad en la generación, almacenamiento, transporte, acceso y distribución de información a través de los sistemas de comunicaciones propios de la organización, utilizando un modelo de confianza centralizado y depositado en una autoridad de certificación.
Aguirre, J. D. y Aristizabal, C. (2012)2, Universidad Tecnológica de Pereira – Colombia, el objetivo general de la investigación fue diseñar el sistema de gestión de seguridad de la información para el Grupo Empresarial La Ofrenda.
Los pasos que se siguió en la investigación son, estudio de los diferentes riesgos y amenazas, con el propósito de documentar y argumentar la investigación, el desarrollo e implementación del sistema de seguridad de la información.
Diseño de encuestas y entrevistas a personal con manejo de procesos y sub procesos importantes de la empresa, Validación de los riesgos encontrados, Diseño del sistema de gestión de la seguridad de la información y Pruebas y validación del SGSI.
Se recomendó que para diseñar, implementar e implantar adecuadamente el SGSI, se utilicen estándares y buenas prácticas que sean ampliamente aceptadas. No necesariamente se tiene que aplicar
1 BARRA MOSCOSO, Adolfo Aníbal. Propuesta Diseño de Proceso y Sistema de Gestión de
Seguridad de Una Entidad Prestadora de Servicios De Certificación. Universidad de, Chile Santiago de Chile. 2012. 2 AGUIRRE CARDONA y ARISTIZABAL BETANCOURT. Propuesta Diseño del sistema de gestión de seguridad de la información para el grupo empresarial la OFRENDA, Universidad Tecnológica de Pereira. Pereira Colombia. 2012.
16
lo que se ha mostrado en este documento, ya que existen varias herramientas de buenas prácticas, como ITIL para implementar un SGSI. Es importante usar los estándares y buenas prácticas de guía, pero no se debe implementar todo de la manera indicada. La implementación va a depender de las necesidades de la empresa. Cabe resaltar que estos estándares indican que es aquello que se debe controlar, pero no indica el cómo.
Gavilanes, V. I. (2011)3, Escuela Superior Politécnica de Chimborazo – Riobamba Ecuador, el objetivo general de esta investigación es Elaborar una Metodología aplicando la norma ISO/IEC 27001 en la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) en el DESITEL de la ESPOCH.
El tema de Investigación se encuentra dentro del paradigma Crítico – Propositivo, porque se diagnostica y analiza el Sistema de Seguridad de la Información existente en el DESITEL y se formula una alternativa de solución a la falta de seguridad existente.
Se utilizaron técnicas como encuestas, entrevistas a los empleados del departamento y observaciones directas a los activos de la información.
Con estas herramientas se pudo identificar los activos en riesgo y vulnerabilidades, determinando las políticas que se deben mejorar para garantizar la seguridad de la información en el departamento.
Se recomienda poner en práctica el contenido de la metodología y los aspectos allí descritos para la gestión de la seguridad de la información, de esta manera se respaldan el objetivo del trabajo que se convierte en los inicios del camino de certificación para el DESITEL bajo la Norma ISO 27001.
Es recomendable que una vez evaluada la gestión de seguridad del DESITEL se implemente las medidas necesarias para subir el nivel de eficiencia del mismo y mantener altos niveles de seguridad de la información, este aspecto es motivo de una nueva investigación.
3 GAVILANES PILCO, Verónica Isabel. Propuesta Elaborar una Metodología Aplicando la Norma ISO/IEC 27001 en la Implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) en el Desitel de la Espoch, Escuela Superior Politécnica de Chimborazo, Riobamba Ecuador. 2011.
17
2.2.2. Antecedentes de la Investigación Nacionales
Condori, H. I. (2012)4, Universidad Inca Garcilaso de la Vega – Lima, Determinar, mediante un modelo estructural, el grado de influencia que ejercen los Factores Críticos de Éxito en la intención del usuario para la Implementación de Seguridad de Sistemas de Información en la Universidad Nacional del Altiplano Puno durante el año 2011.
Fue una investigación explicativo, pues determina las causas a un determinado fenómeno, mediante el análisis de la relación entre dos o más variables, ya sea por relación de causalidad, correlación o asociación, en el presente caso los factores críticos de éxito y su efecto la intención del usuario y Es de tipo transversal.
Tuvo una población de personal administrativo en las diferentes dependencias de un total de 681 y se optó por la selección de una muestra de 143 usuarios, se utilizó el instrumento la encuesta.
Se desarrolló el Modelo de Evaluación de Factores Críticos de Éxito en la Implementación de Seguridad de Sistemas de Información para determinar su influencia en la intención del usuario, con nueve factores y tres dimensiones, adecuadamente sustentadas, tomando como base la teoría del comportamiento planificado (TPB).
Espinoza, H. R. (2013)5, Pontificia Universidad Católica del Perú – Lima, el objetivo de esta investigación es analizar y diseñar un sistema de gestión de seguridad de información, basado en la norma ISO/IEC 27001:2005 para una empresa dedicada a la producción y comercialización de alimentos de consumo masivo y Se realizó un tipo de investigación aplicada, con diseño exploratoria.
El proyecto tomo en cuenta los aspectos más importantes de la norma ISO/IEC 27001:2005, a partir de los cuales se buscará poder desarrollar cada una de las etapas del diseño de un sistema de gestión de seguridad de información para poder emplearlo en una empresa dedicada a la producción de alimentos de consumo masivo en el Perú, lo cual permitirá que ésta cumpla con las normas de regulación vigentes en lo que respecta a seguridad de información.
En primera instancia se recomienda a la empresa de producción de alimentos de consumo masivo que en base al diseño presentado en este proyecto, se dedique en concientizar a todos los empleados que forman parte de dicha empresa, sobre la seguridad de la información y
4 CONDORI ALEJO, Henry Iván, Propuesta Un Modelo de Evaluación de Factores Críticos de Éxito
en la Implementación de la Seguridad en Sistemas de Información para determinar su influencia en la intención del usuario, Universidad Inca Garcilaso de la Vega. Lima Perú. 2012 5 ESPINOZA AGUINAGA, Hans Ryan. Propuesta Análisis y diseño de un sistema de gestión de
seguridad de información basado en la norma ISO/IEC 27001:2005 para una empresa de producción y comercialización de productos de consumo masivo, Pontificia Universidad Católica del Perú. Lima Perú. 2013.
18
su importancia, y realizar evaluaciones periódicas a los indicadores de seguridad de la empresa y de los riesgos encontrados.
Luego, se recomienda aplicar esfuerzos para poder realizar la implementación de este diseño para que permita que en el futuro se pueda gestionar la seguridad de información de tal manera que se pueda aspirar a una certificación, ya que el diseño ha sido realizado con la norma ISO/IEC 27001, la cual es certificable.
De la Cruz, C. W. y Vásquez, J. C. (2008)6, Universidad Católica Santo Toribio De Mogrovejo – Chiclayo, EL objetivo de esta investigación fue elaborar y aplicar un sistema de gestión de seguridad de la información (SGSI) para mejorar la seguridad de las tecnologías de información y las comunicaciones en la Universidad Católica Santo Toribio de Mogrovejo, es una investigación descriptiva - aplicada y tiene una población de 5771 y la muestra se determinó utilizando la técnica de muestreo aleatorio simple y fue de 453 personas y los instrumentos usados son entrevista, encuestas y observación.
Se reveló que la gran mayoría de la comunidad universitaria de la USAT asume su responsabilidad respecto a sus equipos informáticos; pero también se encontró que existe un gran número de usuarios que intentan solucionar algún problema que se les presente con su equipo informático, esto se manifestó en relación a que a veces el servicio de atención de taller de cómputo por momentos está ocupada y demoran en darles solución.
6 LA CRUZ GUERRERO Y VASQUEZ MONTENEGRO, Elaboración y aplicación de un sistema de
gestión de la seguridad de la información (SGSI) para la realidad tecnológica de la USAT, Universidad Católica Santo Toribio de Mogrovejo. Chiclayo Perú. 2008
19
2.3. Bases teóricas
2.3.1. Sistemas de Información7
La información constituye uno de los activos estratégicos más importantes para las empresas. El funcionamiento de toda organización depende de un adecuado abastecimiento, tratamiento y en definitiva gestión de ese recurso que constituye la información.
La información y el conocimiento son los instrumentos mediantes los cuales las organizaciones pueden conocer las necesidades de la sociedad, la dinámica de la competencia, las oportunidades a explotar, los posible aliados en el mercado, a sus trabajadores y sus necesidades, etc. Con un adecuado flujo de información las empresas y organizaciones en general pueden funcionar eficientemente y competir explotando sus capacidades más distintivas.
Sin embargo, conseguir ese recurso ya sea desde el exterior de la empresa o del interior de la misma así como tratarlo y utilizarlo de manera adecuada y eficiente no es tarea fácil.
Para ello se hace necesario contar con un conjunto de medios materiales, humanos y técnicos que estén adecuadamente estructurados y coordinados, bien integrados en la estructura de la organización y en sintonía con su estrategia corporativa. Ese conjunto de recursos constituiría el llamado sistema de información empresarial.
El sistema de información empresarial es diseñado e implantado en la organización no sólo para gestionar la información y el conocimiento sino también como medio para mejorar los procesos empresariales y en última instancia para crear valor. Un sistema de información, por tanto, será tanto más eficiente y mejor cuanto más capaz sea de mejorar los procesos de negocios y los de toma de decisiones en la empresa conduciendo a una mayor rentabilidad y, o a unos menores costes. Por esa razón un sistema de información que no proporcione un conocimiento o información de salida de mayor valor, en términos de utilidad, que el coste de producirlos u obtenerlos no debe de ser mantenido por la empresa.
Desde el punto de vista técnico y apoyándonos en el llamado enfoque sistémico un sistema de información es todo aquel conjunto de recursos organizados e interrelacionados dinámicamente que permiten el procesamiento de uno de esos recursos – la información- para que sus
7 HERMOSO AGIUS,J.C., HEREDERO, C.P., MARTÍ-ROMO ROMERO, S., MEDINA SALGADO,
S., MONTERO NAVARRO, A., NÁJERA SÁNCHEZ, J.J.,(2006), Dirección y Gestión de los Sistemas de Información en la Empresa: Una visión integradora 2da Edición, Madrid – España, ESIC Editorial, Pág 104-105
20
usuarios puedan tomar decisiones y ejecutar sus funciones para el cumplimiento de los objetivos empresariales.
Un sistema de información por tano realiza tres grandes funciones para conseguir el objetivo de satisfacer las necesidades de información:
Captura o recolecta datos tanto externos como internos
Trata esos datos mediante procesos que operan con ellos
Distribuye la información resultante a los usuarios y actividades que la requiera
Además y como cualquier sistema que evolucione en el tiempo de manera controlada dispone de procesos de retroalimentación que permiten corregir y mejorar el procesamiento y en general todas las funciones del sistema.
El modo en que los sistemas de información realizan sus funciones, los recursos con los que cuentan y el tipo de usuarios a los que satisfacen definen el alcance de los mismos.
Así podemos encontrarnos dentro de una misma organización: un sistema formal que permita la facturación o elaboración de nóminas, que utilice ordenadores y que sólo sea utilizado por los trabajadores sin responsabilidad gerencial; o un sistema informal que utilice herramientas de trabajo en equipo basadas en ordenador para transmitir el conocimiento entre directivos de nivel medio alto de distintas unidades de negocio; o incluso sistemas manuales para desarrollar procesos sencillos. Todos ellos son válidos, coexisten dentro de la organización y efectivamente forman parte del sistema de información empresarial.
2.3.2. Seguridad de la Información8
La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.
El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.
8 GODOY LEMUS, Rodolfo, (2014), Seguridad de la Información. Revista de la Segunda Cohorte
del Doctorado en Seguridad Estratégica, Primera Edición, diciembre. Universidad San Carlos de Guatemala.
21
Para el hombre como individuo, la seguridad de la información tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo.
La seguridad de la Información tiene como fin la protección de la información y de los sistemas de la información del acceso, uso, divulgación, interrupción o destrucción no autorizada.
La seguridad es un concepto asociado a la certeza, falta de riesgo o contingencia; se puede entender como seguridad, un estado de cualquier sistema o tipo de información (informático o no) que nos indica que ese sistema o información está libre de peligro, daño o riesgo. Se entiende como peligro o daño todo aquello que pueda afectar a su funcionamiento directo a los resultados que se obtienen.
2.3.2.1. Concepción de la Seguridad de la información
En la seguridad de la información es importante señalar que su manejo está basado en la tecnología y debemos de saber que puede ser confidencial: la información está centralizada y puede tener un alto valor. Puede ser divulgada, mal utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad y la pone en riesgo. La información es poder, y según las posibilidades estratégicas que ofrece tener acceso a cierta información, ésta se clasifica como:
Crítica: Es indispensable para la operación de la empresa.
Valiosa: Es un activo de la empresa y muy valioso.
Sensible: Debe de ser conocida por las personas autorizadas
Existen dos palabras muy importantes que son riesgo y seguridad:
Riesgo: Es la materialización de vulnerabilidades identificadas, asociadas con su probabilidad de ocurrencia, amenazas expuestas, así como el impacto negativo que ocasione a las operaciones de negocio.
Seguridad: Es una forma de protección contra los riesgos.
La seguridad de la información comprende diversos aspectos entre ellos
la disponibilidad, comunicación, identificación de problemas, análisis de
riesgos, la integridad, confidencialidad, recuperación de los riesgos.
Precisamente la reducción o eliminación de riesgos asociado a una
cierta información es el objeto de la seguridad de la información y la
seguridad informática.
22
2.3.2.2. Principios Básicos9
La seguridad de la información comprende diversos aspectos entre ellos
la disponibilidad, comunicación, identificación de problemas, análisis de
riesgos, la integridad, confidencialidad, recuperación de los riesgos.
Precisamente la reducción o eliminación de riesgos asociado a una
cierta información es el objeto de la seguridad de la información y la
seguridad informática. Más concretamente, la seguridad de la
información tiene como objeto los sistemas el acceso, uso, divulgación,
interrupción o destrucción no autorizada de información.1 Los términos
seguridad de la información, seguridad informática y garantía de la
información son usados frecuentemente como sinónimos porque todos
ellos persiguen una misma finalidad al proteger la confidencialidad,
integridad y disponibilidad de la información. Sin embargo, no son
exactamente lo mismo existiendo algunas diferencias sutiles. Estas
diferencias radican principalmente en el enfoque, las metodologías
utilizadas, y las zonas de concentración.
Además, la seguridad de la información involucra la implementación de
estrategias que cubran los procesos en donde la información es el activo
primordial. Estas estrategias deben tener como punto primordial el
establecimiento de políticas, controles de seguridad, tecnologías y
procedimientos para detectar amenazas que puedan explotar
vulnerabilidades y que pongan en riesgo dicho activo, es decir, que
ayuden a proteger y salvaguardar tanto información como los sistemas
que la almacenan y administran. La seguridad de la información
incumbe a gobiernos, entidades militares, instituciones financieras, los
hospitales y las empresas privadas con información confidencial sobre
sus empleados, clientes, productos, investigación y su situación
financiera.
En caso de que la información confidencial de una empresa, sus
clientes, sus decisiones, su estado financiero o nueva línea de
productos caigan en manos de un competidor; se vuelva pública de
forma no autorizada, podría ser causa de la pérdida de credibilidad de
los clientes, pérdida de negocios, demandas legales o incluso la quiebra
de la misma.
Por más de veinte años la Seguridad de la Información ha declarado
que la confidencialidad, integridad y disponibilidad (conocida como la
9 GODOY LEMUS, Rodolfo, (2014), Seguridad de la Información. Revista de la Segunda Cohorte
del Doctorado en Seguridad Estratégica, Primera Edición, diciembre. Universidad San Carlos de Guatemala.
23
Tríada CIA, del inglés: "Confidentiality, Integrity, Availability") son los
principios básicos de la seguridad de la información.
La correcta Gestión de la Seguridad de la Información busca establecer
y mantener programas, controles y políticas, que tengan como finalidad
conservar la confidencialidad, integridad y disponibilidad de la
información, si alguna de estas características falla no estamos ante
nada seguro. Es preciso anotar, además, que la seguridad no es ningún
hito, es más bien un proceso continuo que hay que gestionar
conociendo siempre las vulnerabilidades y las amenazas que se ciñen
sobre cualquier información, teniendo siempre en cuenta las causas de
riesgo y la probabilidad de que ocurran, así como el impacto que puede
tener. Una vez conocidos todos estos puntos, y nunca antes, deberán
tomarse las medidas de seguridad oportunas.
2.3.2.3. Confidencialidad
La confidencialidad es la propiedad que impide la divulgación de
información a personas o sistemas no autorizados. A grandes rasgos,
asegura el acceso a la información únicamente a aquellas personas que
cuenten con la debida autorización.
Por ejemplo, una transacción de tarjeta de crédito en Internet requiere
que el número de tarjeta de crédito a ser transmitida desde el comprador
al comerciante y el comerciante de a una red de procesamiento de
transacciones. El sistema intenta hacer valer la confidencialidad
mediante el cifrado del número de la tarjeta y los datos que contiene la
banda magnética durante la transmisión de los mismos. Si una parte no
autorizada obtiene el número de la tarjeta en modo alguno, se ha
producido una violación de la confidencialidad.
La pérdida de la confidencialidad de la información puede adoptar
muchas formas. Cuando alguien mira por encima de su hombro,
mientras usted tiene información confidencial en la pantalla, cuando se
publica información privada, cuando un laptop con información sensible
sobre una empresa es robado, cuando se divulga información
confidencial a través del teléfono, etc. Todos estos casos pueden
constituir una violación de la confidencialidad.
24
2.3.2.4. Integridad
Es la propiedad que busca mantener los datos libres de modificaciones
no autorizadas. (No es igual a integridad referencial en bases de datos.)
Grosso modo, la integridad es el mantener con exactitud la información
tal cual fue generada, sin ser manipulada o alterada por personas o
procesos no autorizados.
La violación de integridad se presenta cuando un empleado, programa
o proceso (por accidente o con mala intención) modifica o borra los
datos importantes que son parte de la información, así mismo hace que
su contenido permanezca inalterado a menos que sea modificado por
personal autorizado, y esta modificación sea registrada, asegurando su
precisión y confiabilidad. La integridad de un mensaje se obtiene
adjuntándole otro conjunto de datos de comprobación de la integridad:
la firma digital Es uno de los pilares fundamentales de la seguridad de
la información
2.3.2.5. Disponibilidad
La disponibilidad es la característica, cualidad o condición de la
información de encontrarse a disposición de quienes deben acceder a
ella, ya sean personas, procesos o aplicaciones. Grosso modo, la
disponibilidad es el acceso a la información y a los sistemas por
personas autorizadas en el momento que así lo requieran.
En el caso de los sistemas informáticos utilizados para almacenar y
procesar la información, los controles de seguridad utilizados para
protegerlo, y los canales de comunicación protegidos que se utilizan
para acceder a ella deben estar funcionando correctamente. La Alta
disponibilidad sistemas objetivo debe estar disponible en todo
momento, evitando interrupciones del servicio debido a cortes de
energía, fallos de hardware, y actualizaciones del sistema.
Garantizar la disponibilidad implica también la prevención de ataque de
denegación de servicio. Para poder manejar con mayor facilidad la
seguridad de la información, las empresas o negocios se pueden ayudar
con un sistema de gestión que permita conocer, administrar y minimizar
los posibles riesgos que atenten contra la seguridad de la información
del negocio.
La disponibilidad además de ser importante en el proceso de seguridad
de la información, es además variada en el sentido de que existen varios
mecanismos para cumplir con los niveles de servicio que se requiera.
Tales mecanismos se implementan en infraestructura tecnológica,
25
servidores de correo electrónico, de bases de datos, de web, etc,
mediante el uso de clusters o arreglos de discos, equipos en alta
disponibilidad a nivel de red, servidores espejo, replicación de datos,
redes de almacenamiento (SAN), enlaces redundantes, etc. La gama
de posibilidades dependerá de lo que queremos proteger y el nivel de
servicio que se quiera proporcionar.
2.3.3. Aproximación al concepto de seguridad de información
Una de las acepciones de la RAE para el término seguro, que es la que aquí no interesa, es la de estar libre y exento de todo peligro, daño o riesgo. Este es el concepto en el que se basa el contenido de este libro y tiene el mismo sentido aplicado a sistemas de información y sistemas informáticos
La seguridad informática es la disciplina que se ocupa de diseñar normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable”.
Un sistema de información, no obstante las medidas de seguridad que se le apliquen, no deja de tener siempre un margen de riesgo.
Para afrontar el establecimiento de un sistema de seguridad es necesario conocer:
Cuáles son los elementos que componen el sistema. Esta información se obtiene mediante entrevistas con los responsables o directivos de la organización para la que se hace el estudio de riesgos y mediante apreciación directa.
Cuáles son los peligros que afectan al sistema, accidentales o provocados. Se deducen tanto de los datos aportados por la organización como por el estudio directo del sistema mediante la realización de pruebas y muestreos sobre el mismo.
Cuáles son las medidas que deberían adoptarse para conocer, prevenir, impedir, reducir o controlar los riesgos potenciales. Se trata de decidir cuáles serán los servicios y mecanismos de seguridad que reducirán los riesgos al máximo posible.
Tras el estudio de riesgos y la implantación de medidas, debe hacerse un seguimiento periódico, revisando y actualizando las medidas adoptadas.
26
Todos los elementos que participan en un sistema de información pueden verse afectados por fallos de seguridad, si bien se suele considerar la información como el factor más vulnerable. El hardware y otros elementos físicos se pueden volver a comprar o restaurar, el software puede ser reinstalado, pero la información dañada no siempre es recuperable, lo que puede ocasionar daños de diversa índole sobre la economía y la imagen de la organización y, a veces, también causar perjuicios a personas. Otro aspecto a tener en cuenta es que la mayoría de los fallos de seguridad se deben al factor humano.
2.3.3.1. Tipos de seguridad:
2.3.3.1.1. Activa
Comprende el conjunto de defensas o medidas cuyo objetivo es evitar o reducir los riesgos que amenazan al sistema.
Ejemplos: impedir el acceso a la información a usuarios no autorizados mediante introducción de nombres de usuario y contraseña; evitar la entrada de virus instalando un antivirus; impedir, mediante encriptación, la lectura no autorizada de mensajes.
2.3.3.1.2. Pasiva
Está formada por las medidas que se implantan para, una vez producido el incidente de seguridad, minimizar la repercusión y facilitar la recuperación del sistema; por ejemplo, teniendo siempre al día copias de seguridad de los datos.
2.3.3.2. Propiedades de un sistema de información seguro
Los daños producidos por falta de seguridad pueden causar pérdidas económicas o de credibilidad y prestigio a una organización
Su origen puede ser:
Fortuito. Errores cometidos accidentalmente por los usuarios,
accidentes, cortes de fluido eléctrico, averías del sistema,
catástrofes naturales.
Fraudulento. Daños causados por software malicioso, intrusos
o por mala voluntad de algún miembro del personal con acceso
al sistema, robo o accidentes provocados.
Se considera seguro un sistema que cumple con las propiedades de integridad, confidencialidad y disponibilidad de la información. Cada una
27
de estas propiedades conlleva la implantación de determinados servicios y mecanismos de seguridad que se estudiarán más adelante.
2.3.4. Análisis de riesgos10
A la hora de dotar de seguridad a un sistema de información, hay que tener en cuenta todos los elementos que lo componen, analizar el nivel de vulnerabilidad de cada uno de ellos ante determinadas amenazas y valorar el impacto que un ataque causaría sobre todo el sistema.
“La cadena siempre se rompe del eslabón más débil”.
La persona o el equipo encargado de la seguridad deberán analizar con esmero cada uno de los elementos. A veces es descuido de un elemento considerado débil ha producido importantes fallos de seguridad. Al estar interrelacionados todos los elementos este descuido puede producir errores en cadena con efectos insospechados sobre la organización.
2.3.4.1. Elementos de estudio
Para comenzar a analizar un sistema de información al que se pretende dotar de unas medidas de seguridad, hay que tener en cuenta los siguientes elementos: activos, amenazas, riesgos, vulnerabilidades, ataques e impactos.
2.3.4.1.1. Activos
Son los recursos que pertenecen al propio sistema de información o que están relacionados con este. La presencia de los activos facilita el funcionamiento de la empresa u organización y la consecución de sus objetivos. Al hacer un estudio de los activos existentes hay que tener en cuenta la relación que guardan entre ellos y la influencia que ejercen: cómo afectaría en uno de ellos un daño ocurrido a otro.
Podemos clasificarlos en los siguientes tipos:
Datos.- Constituyen el núcleo de todas la organización, hasta
tal punto que se tiende a considerar que el resto de los activos
están al servicio de la protección de los datos. Normalmente
están organizados en bases de datos y almacenados en
soporte de diferente tipo. El funcionamiento de una empresa
10 AGUILERA LÓPEZ, Purificación, (2010). Seguridad Informática, Primera Edición, Madrid,
España, Editorial Editex
28
u organización depende de sus datos, que pueden ser de todo
tipo: económicos, fiscales, de recursos humanos, clientes o
proveedores.
Cada tipo de dato merece un estudio independiente de riesgo por la repercusión que su deterioro o pérdida pueda causar, como por ejemplo los relativos a la intimidad y honor de las personas u otros de índole confidencial.
Software.- constituido por los sistemas operativos y el
conjunto de aplicaciones instalas en los equipos de un
sistema de información que reciben y gestionan o transforman
los datos para darles el fin que se tenga establecido.
Hardware.- Se trata de los equipos (servidores y terminales)
que contienen las aplicaciones y permiten su funcionamiento,
a la vez que almacenan los datos del sistema de información.
Incluimos en este grupo los periféricos y elementos
accesorios que sirven para asegurar el correcto
funcionamiento de los equipos o servir de vía de transmisión
de los datos (módem, router, instalación eléctrica o sistemas
de alimentación interrumpida, destructores de soportes
informáticos)
Redes Desde las redes locales de la propia organización hasta la metropolitanas o internet. Representan la vía de comunicación y transmisión de datos a distancia.
Soportes Los lugares en donde la información queda registrada y almacenada durante largos periodos o de forma permanente (DVD, CD, tarjeta de memoria, discos duros externos dedicados al almacenamiento, microfilms e incluso papel).
Instalaciones Son los lugares que albergan los sistemas de información y de comunicaciones. Normalmente se trata de oficinas, despachos, locales o edificios, pero también pueden ser vehículos y otros medios de desplazamiento.
Personal
El conjunto de personas que interactúan con el sistema de información: administradores, programadores, usuarios internos y externos y resto de personal de la empresa. Los estudios calculan que se producen más fallos de seguridad
29
por intervención del factor humano que por fallo en la tecnología.
Servicios
Que se ofrecen a clientes o usuarios: productos, servicios, sitios web, foros, correo electrónico y otros servicios de comunicaciones, información, seguridad, etc.
2.3.4.1.2. Amenazas
En sistemas de información se entiende por amenaza la presencia de uno o más factores de diversa índole (personas, máquinas o sucesos) que – de tener la oportunidad- atacarían al sistema produciéndole daños aprovechándose de su nivel de vulnerabilidad. Hay diferentes tipos de amenazas de las que hay que proteger al sistema, desde las físicas como cortes eléctricos, fallos del hardware o riesgos ambientales hasta los errores intencionados o no de los usuarios, la entrada de software malicioso (virus, troyanos, gusanos) o el robo, destrucción o modificación de la información.
En función del tipo de alteración, daño o intervención que podrían producir sobre la información, las amenazas se clasifican en cuatro grupos:
o De interrupción: El objetivo de la amenaza es deshabilitar el
acceso a la información; por ejemplo, destruyendo los
componentes físicos como el disco duro, bloqueando el
acceso a los datos, o cortando o saturando los canales de
comunicación.
o De interceptación: Personas, programas o equipos no
autorizados podrían acceder a un determinado recurso del
sistema y captar información confidencial de la organización,
como puede ser datos, programas o identidad de personas.
o De modificación: Personas, programas o equipos no
autorizados no solamente accederían a los programas y
datos de un sistema de información sino que además los
modificarían. Por ejemplo, modificar la respuesta enviada a
un usuario conectado o alterar el comportamiento de una
aplicación instalada.
o De fabricación: Agregarían información falsa en el conjunto
de información del sistema.
30
Según su origen las amenazas se clasifican en:
o Accidentales: Accidentes meteorológicos, incendios,
inundaciones, fallos en los equipos, en las redes, en los
sistemas operativos o en el software, errores humanos.
o Intencionadas: Son debidas siempre a la acción humana,
como introducción de un software malicioso – malware-
(aunque este penetre en el sistema por algún procedimiento
automático, su origen es siempre humano), intrusión
informática (con frecuencia se produce previa la introducción
del malware en los equipos), robos o hurtos. Las amenazas
intencionadas pueden tener su origen en el exterior de la
organización o incluso en el personal de la misma.
2.3.4.1.3. Riesgos
Se denomina riesgo a la posibilidad de que se materialice o no una amenaza aprovechando una vulnerabilidad. No constituye riesgo una amenaza cuando no hay vulnerabilidad ni una vulnerabilidad cuando no existe amenaza para la misma.
Ante un determinado riesgo, una organización puede optar por tres alternativas distintas:
o Asumirlo sin hacer nada. Esto solamente resulta lógico
cuando el perjuicio esperado no tiene valor alguno o cuando
el coste de aplicación de medidas superaría al de la
reparación del daño.
o Aplicar medidas para disminuirlo o anularlo.
o Transferirlo (por ejemplo, contratando un seguro).
2.3.4.1.4. Vulnerabilidades
Probabilidades que existen de que una amenaza se materialice contra un activo. No todos los activos son vulnerables a las mismas amenazas. Por ejemplo, los datos son vulnerables a la acción de los hackers, mientras que una instalación eléctrica es vulnerable a un cortocircuito. Al hacer el análisis de riesgos hay que tener en cuenta la vulnerabilidad de cada activo.
31
2.3.4.1.5. Ataques
Se dice que se ha producido un ataque accidental o deliberado contra el sistema cuando se materializado una amenaza.
En función del impacto causado a los activos atacados, los ataques se clasifican en:
o Activos: Si modifican, dañan, suprimen o agregan
información, o bien bloquean o saturan los canales de
comunicación.
o Pasivos: Solamente acceden sin autorización a los datos
contenidos en el sistema. Son los más difíciles de detectar.
Un ataque puede ser directo o indirecto, si se produce desde el atacante al elemento “victima” directamente, o a través de recursos o personas intermediarias.
2.3.4.1.6. Impactos
Son las consecuencias de la materialización de una o más amenazas sobre uno o varios activos aprovechando la vulnerabilidad del sistema o, dicho de otra manera, el daño causado.
Los impactos pueden ser cuantitativos, si los perjuicios pueden cuantificarse económicamente, o cualitativos, si suponen daños no cuantificables, como los causados contra los derechos fundamentales de las personas.
2.3.4.2. Proceso de análisis de riesgos
Para implantar una política de seguridad en un sistema de información es necesario seguir un esquema lógico.
o Hacer inventario y valoración de los activos
o Identificar y valorar las amenazas que puedan afectar a la
seguridad de los activos
o Identificar y evaluar las medidas de seguridad existentes
o Identificar y valorar la vulnerabilidades de los activos a las
amenazas que les afecten
o Identificar los objetivos de seguridad de la organización
o Determinar sistemas de medición de riesgos
o Determinar el impacto que produciría un ataque
o Identificar y seleccionar las medidas de protección
32
2.3.4.3. Herramientas de análisis de gestión de riesgos
2.3.4.3.1. Política de seguridad11
La política de seguridad es una declaración de intenciones de alto nivel que cubre la seguridad de los SI y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán. La política se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen las distintas medidas a tomar para proteger la seguridad del sistema, las funciones y responsabilidades de los distintos componentes de la organización y los mecanismos para controlar su correcto funcionamiento.
Son los directivos, junto con expertos en tecnología de la información, quienes deben definir los requisitos de seguridad, identificando y priorizando la importancia de los distintos elementos de la actividad realizada, con lo que los procesos más importantes recibirán más protección. La seguridad debe considerarse como parte de la operativa habitual, no como un extra añadido. El compromiso de la Dirección con la SSI debe tomar la forma de una política de seguridad de los SI formalmente acordada y documentada. Dicha política tiene que ser consistente con las prácticas de seguridad de otros departamentos, puesto que muchas amenazas (incendio, inundaciones) son comunes a otras actividades de la organización. A la hora de establecer una política de seguridad hay que responder a las siguientes preguntas esenciales:
¿Qué se necesita proteger?
¿De qué se necesita protegerlo?
¿Cómo se va a protegerlo?
El intento de encontrar la respuesta adecuada y precisa tiene que conducir a la ejecución de los siguientes pasos básicos:
1. Determinar los recursos a proteger y su valor
2. Analizar las vulnerabilidades y amenazas del sistema a proteger.
También estimar la probabilidad de las amenazas se materialicen
en ataques y su coste en el caso de que hayan ocurrido.
3. Definir las medidas a establecer para proteger el sistema. Estas
medidas deben de ser proporcionales a lo definido en los pasos
11 SÁNCHEZ GARRETA, J.S., CHALMETA ROSALEN, R., COLTELL SIMÓN, O. (2003). Ingeniería
de Proyectos Informáticos: actividades y procedimientos. Castelló de la Plana, Universitat Jaume I
33
anteriores. Las medidas deben establecerse a todos los niveles:
físico, lógico, humano y logístico. Además, debe definirse una
estrategia a seguir en caso de fallo.
4. Monitorizar el cumplimiento de la política y revisarla y mejorarla
cada vez que se detecte un problema.
Los pasos 1 y 2 se denominan Análisis de Riesgos, mientras los pasos 3 y 4 se denominan Gestión de Riesgos. La política de seguridad es el conjunto de medidas establecidas en el paso 3.
2.3.5. Sistema de Gestión de la Seguridad de la Información (SGSI)
Existen diferentes enfoques para abordar la implementación y
mantenimiento de un Sistema de Gestión de Seguridad de la
Información. Algunos de ellos incluso con un enfoque crítico sobre otros.
Por un lado está la familia de normas de la serie ISO/IEC 27000, que
agrupa una serie de normas / estándares, complementarias entre sí,
relativas a un Sistema de Gestión de la Información. Las mismas están
alineadas con los Requerimientos especificados en la ISO/IEC 27001,
e incluyen además, normativas sobre gestión de riesgos, métricas,
auditoría, directrices / guías de implementación, etc.
Por otro lado, ha surgido la concepción de modelos de madurez, en
particular ISM3, alineado con la gestión de la calidad de la seguridad de
la información. Este modelo es compatible con la norma ISO 9001 e
ISO/IEC 27.001, no obstante promueve una mayor orientación a las
necesidades del negocio y es en cierta forma crítica de la norma
ISO/IEC 27001 en cuanto afirma que la misma es una norma orientada
a controles, y no tanto así a las necesidades propias de la organización.
En la norma ISO/IEC 27001 se indica que debe implementarse un
sistema de gestión de riesgos que cumpla con determinados
requerimientos, pero no se indica la metodología ni herramientas a
utilizar. La norma ISO/IEC 27005 establece una guía metodológica a
tales efectos
En la Figura 2.3.3 se ilustra el marco normativo de los diferentes
estándares que, de una u otra manera, están vinculados a un Sistema
de Gestión de la Seguridad de la Información.
En él se ven representados estándares internacionales de diferente
naturaleza y con diferente alcance. Algunos de ellos, como por ejemplo
la serie ISO/IEC 27000 e ISM3, son específicos de la gestión de
34
seguridad de la información, generales y aplicables a cualquier sector
de actividad. Pero también deben tenerse en cuenta otros estándares y
recomendaciones que son específicas del sector. Incluso puede existir
la necesidad de alinear más de un estándar, como por ejemplo ITIL con
la familia ISO/IEC 27000, o de esta última con la ISO 9001, por citar otro
ejemplo.
Gráfica 2.1 Contexto normativo de un SGSI
2.3.6. Relación de los estándares de la Familia ISO/IEC 27000
Es una norma internacional que busca dar información general sobre los sistemas de gestión de seguridad de información, así como definir algunos términos que son usados por todos los estándares de la familia 27000.
A diferencia de las otras normas de esta familia, esta es de libre distribución y se caracteriza por brindar un listado de las normas mencionadas (véase la figura 2.3.4) junto con una pequeña descripción [ISO/IEC 27000, 2012]:
ISO/IEC 27001: El estándar principal de la familia, brinda los requerimientos para el desarrollo y operación de SGSI incluyendo una lista de controles para el manejo y mitigación de los riesgos asociados a los activos de información. Se puede confirmar la eficacia de la implementación del SGSI mediante una auditoria o certificación
35
ISO/IEC 27002: Este estándar brinda la guía de implementación de la lista de las mejores prácticas y los más aceptados objetivos de control presentados como anexo en la ISO/IEC 27001, con el objetivo de facilitar la elección de controles para asegurar la seguridad de los activos de información.
ISO/IEC 27003: Este estándar brinda información y una guía práctica para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un SGSI según lo establecido por la ISO/IEC 27001.
ISO/IEC 27004: Este estándar provee guías prácticas para el uso de métricas que evalúen la efectividad, objetivos de control y controles usados en un SGSI.
ISO/IEC 27005: Este estándar provee una guía para la gestión de los riesgos de seguridad de información según los requerimientos establecidos por la ISO/IEC 27001.
ISO/IEC 27006: Este estándar se complementa con el ISO/IEC 17021 y brinda los requerimientos necesarios para la acreditación de la certificación de una organización que certifique los SGSI según la ISO/IEC 27001.
ISO/IEC 27007: Provee una guía para conducir una auditoria de un SGSI así como las competencias necesarias de los auditores de sistemas de gestión de seguridad complementando la ISO/IEC 19011
ISO/IEC TR 27008: Es un reporte técnico que brinda una guía para la revisión de la implementación de los controles del SGSI.
ISO/IEC 27010: Provee una guía para gestionar la seguridad de la información en caso la organización intercambie o comparta información importante, ya sea que pertenezca al sector público o privado, que lo haga nacional o internacionalmente, o en el mismo sector u otros sectores del mercado en el que opera.
ISO/IEC 27011: Provee una guía para apoyar la implementación de un SGSI en una empresa de telecomunicaciones.
ISO/IEC 27013: Brinda una guía para la implementación integrada del ISO/IEC 27001 y el ISO/IEC 20000 (gestión de servicios de TI), ya sea implementándolos al mismo tiempo o uno después de otro.
36
ISO/IEC 27014: Brinda una guía para conocer los principios y procesos del gobierno de la seguridad de la información, que busca que las organizaciones puedan evaluar, dirigir y monitorear la gestión de la seguridad de la información.
ISO/IEC TR 27015: Sirve como complemento a las normas de la familia ISO/IEC 27000 para la implementación, mantenimiento y mejora del SGSI en empresas que provean servicios financieros.
ISO/IEC 27799:2008: Brinda una guía para apoyar la implementación de un SGSI en las empresas de salud con la adaptación del ISO/IEC 27002 según los requerimientos de este sector.
(Fuente: ISO/IEC 27000 - Tecnologías de información, Técnicas de seguridad - Sistema)
Gráfica 2.2 Relación de los estándares de la familia del SGSI
2.3.6.1. ISO/IEC 27001:2008
La Organización Internacional para la Estandarización (ISO) y la Comisión Electrónica Internacional (IEC) forman el sistema especializado para la estandarización universal, para el campo de la tecnología de la información, ISO e IEC han establecido un comité técnico conjunto, para colaborar en los campos de interés mutuo.
La tarea principal del comité técnico conjunto es preparar Estándares Internacionales. Los anteproyectos de los Estándares Internacionales
37
son enviados a los organismos nacionales para su votación. La publicación del estándar requiere la aprobación de por lo menos del 75% de los organismos que emiten su voto.
ISO/IEC 27001 fue elaborado por el comité técnico conjunto, Tecnologías de la Información, subcomité 27 Técnicas de Seguridad TI.
El estándar Internacional ha sido preparado para proporcionar un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI).
La adopción de un SGSI debe ser una decisión estratégica para una organización. El diseño e implementación del SGSI de una organización es influenciada por las necesidades y objetivos, requerimientos de seguridad, los procesos empleados y el tamaño y estructura de la organización.
Se espera que estos y sus sistemas de apoyo cambien a lo largo del tiempo. Se espera que la implementación de un SGSI se extienda en concordancia con las necesidades de la organización; por ejemplo una organización simple requiere una solución del SGSI simple.
2.3.6.1.1. Aproximación del Modelo12
Este estándar internacional adopta un proceso para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI en una organización.
Una organización necesita identificar y administrar cualquier tipo de actividad para funcionar eficientemente. Cualquier actividad que emplea recursos y es administrada para transformar entradas en salidas, puede ser considerada como un “proceso”. A menudo, estas salidas son aprovechadas nuevamente como entradas, generando una realimentación de los mismos.
Este estándar internacional adopta el modelo “Plan-Do-Check-Act” (PDCA), el cual es aplicado a toda la estructura de procesos de SGSI, y significa lo siguiente:
Plan (Establecer el SGSI): Implica, establecer a política SGSI, sus objetivos, procesos, procedimientos relevantes para la administración de riesgos y mejoras para la seguridad de la
12 CORLETTI ESTRADA, Alejandro, (2011), Seguridad por Niveles, Madrid – España, Darfe
Learning Consulting. S.L.
38
información, entregando resultados acordes a las políticas y objetivos de toda la organización.
Do (Implementar y operar el SGSI): Representa la forma en que se debe operar e implementar la política, controles, procesos y procedimientos.
Check (Monitorizar y revisar el SGSI): Analizar y medir donde sea aplicable, los procesos ejecutados y con relación a la política del SGSI, evaluar objetivos, experiencias e informar los resultados a la administración para su revisión.
Act (Mantener y mejorar el SGSI): realizar las acciones preventivas y correctivas, basados en las auditorías internas y revisiones del SGSI o cualquier otra información relevante para permitir la continua mejora del SGSI.
Gráfica 2.3 Modelo PDCA aplicado a los procesos de un SGSI.
2.3.6.1.2. Compatibilidad con otros Sistemas de Gestión
El estándar internacional se alinea con el ISO 9001:2008, ISO 14001:2004, COBIT 4.1 para dar soporte a una implementación y operación consistente e integrada con los estándares de gestión relacionados. Por lo tanto un sistema de gestión adecuadamente diseñada puede satisfacer los requerimientos de otros estándares.
El estándar internacional es aplicable a todo los tipos de organizaciones (por ejemplo: empresas comerciales, instituciones gubernamentales, organizaciones sin fines de lucro).
39
El estándar internacional especifica los requerimientos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un SGSI documentando dentro del contexto de los riesgos comerciales generales de la organización.
El SGSI está diseñado para asegurar la selección adecuada y proporcionar controles de seguridad que protejan los activos de información y den confianza a las partes interesadas.
Para su aplicación los requerimientos establecidos en el estándar Internacional son genéricos y están diseñados para ser aplicables a todas las organizaciones, sin importar el tipo, tamaño y naturaleza. No es aceptable la exclusión de ninguno de los requerimientos especificados en las clausulas 4, 5,6 y 8 cuando una organización asegura su conformidad con este estándar internacional.
Cualquier exclusión de los controles vista como necesaria para satisfacer el criterio de aceptación del riesgo tiene que ser justificada y se debe proporcionar evidencia de que los riesgos asociados han sido aceptados por las personas responsables. Cuando se realizan exclusiones, las aseveraciones de conformidad con este estándar no son aceptables a no ser que estas exclusiones no afecten la capacidad y/o responsabilidad de la organización, para proporcionar seguridad de la información que satisfaga los requerimientos de seguridad determinados por la evaluación de riesgo y los requerimientos reguladores aplicables.
El Estándar Internacional cuenta con los siguientes capítulos:
Alcances
Referencias normativas
Términos y definiciones
Sistema de Gestión de la seguridad de la Información
Responsabilidades de la Gerencia
Auditorías internas
Revisión Gerencial del SGSI
Mejoramiento del SGSI
Anexo A: Dominios, Objetivos de Control y Controles
En el Anexo A: se detallan los requerimientos necesarios para la implementación del estándar internacional, los mismos que se encuentran organizados por 11 Dominios, 39 Objetivos de Control y 133 Controles.
Los once dominios son:
A.5 Política de Seguridad
A.6 Organización de la Seguridad de la Información
40
A.7 Gestión de Activos
A.8 Seguridad de los Recursos Humanos
A.9 Seguridad Física y Ambiental
A.10 Gestión de las Comunicaciones y Operaciones
A.11 Control de Acceso
A.12 Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información
A.13 Gestión de Incidentes en la Seguridad de la Información
A.14 Gestión de la continuidad del negocio
A.15 Cumplimiento
Es indispensable para la implementación del estándar internacional la aplicación de la norma ISO/IEC 27002:2005 “Tecnología de la Información – Técnicas de seguridad – Código para la práctica de la gestión de la seguridad de la información”. (Antiguamente denominado ISO/IEC 17799).
2.3.6.1.3. Requerimientos generales
La organización debe establecer, implementar, operar, monitorear, mantener y mejorar continuamente un SGSI documentado dentro del contexto de las actividades comerciales generales de la organización y los riesgos que enfrentan. Para propósitos de este Estándar Internacional, los procesos utilizados se basan en el modelo PDCA que se muestra en la Figura 2.3
2.3.6.2. Establecer y manejar el SGSI
2.3.6.2.1. Establecer el SGSI
La organización debe hacer lo siguiente: a) Definir el alcance y los límites del SGSI en términos de las
características del negocio, la organización, su ubicación, activos, tecnología e incluyendo los detalles de y la justificación de cualquier exclusión del alcance.
b) Definir una política SGSI en términos de las características del negocio, la organización, su ubicación, activos y tecnología que:
1) incluya un marco referencial para establecer sus objetivos y
establezca un sentido de dirección general y principios para la acción con relación a la seguridad de la información;
2) tome en cuenta los requerimientos comerciales y legales o reguladores, y las obligaciones de la seguridad contractual;
41
3) esté alineada con el contexto de la gestión riesgo estratégico de la organización en el cual se dará el establecimiento y mantenimiento del SGSI;
4) establezca el criterio con el que se evaluará el riesgo 5) haya sido aprobada por la gerencia.
c) Definir el enfoque de valuación del riesgo de la organización
1) Identificar una metodología de cálculo del riesgo adecuado para el SGSI y los requerimientos identificados de seguridad, legales y reguladores de la información comercial. 2) Desarrollar los criterios para aceptar los riesgos e identificar los niveles de riesgo aceptables
La metodología de estimación del riesgo seleccionada debe asegurar que los cálculos del riesgo produzcan resultados comparables y reproducibles. NOTA: Existen diferentes metodologías para el cálculo del riesgo. Los ejemplos de las metodologías de cálculo del riesgo se discuten en ISO/IEC TR 13335-3, Tecnología de información – Lineamiento para la gestión de la Seguridad TI – Técnicas para la gestión de la Seguridad TI d) Identificar los riesgos
1) Identificar los activos dentro del alcance del SGSI y los propietarios2 de estos activos. 2) Identificar las amenazas para aquellos activos. 3) Identificar las vulnerabilidades que podrían ser explotadas por las amenazas. 4) Identificar los impactos que pueden tener las pérdidas de confiabilidad, integridad y disponibilidad sobre los activos.
e) Analizar y evaluar el riesgo
1) Calcular el impacto comercial sobre la organización que podría resultar de una falla en la seguridad, tomando en cuenta las consecuencias de una pérdida de confidencialidad, integridad o disponibilidad de los activos. 2) Calcular la probabilidad realista de que ocurra dicha falla a la luz de las amenazas y vulnerabilidades prevalecientes, y los impactos asociados con estos activos, y los controles implementados actualmente. 3) Calcular los niveles de riesgo. 2 El término ‘propietario’ identifica a la persona o entidad que tiene la responsabilidad gerencial aprobada de controlar la producción, desarrollo, mantenimiento, uso y seguridad de los
42
activos. El término ‘propietario’ no significa que la persona tenga en realidad derechos de propiedad sobre el activo. 4) Determinar si el riesgo es aceptable o requiere tratamiento utilizando el criterio de aceptación del riesgo establecido en 4.2.1 (c) (2).
f) Identificar y evaluar las opciones para el tratamiento de los riesgos Las acciones posibles incluyen:
1) aplicar los controles apropiados; 2) aceptar los riesgos consciente y objetivamente, siempre que satisfagan claramente las políticas y el criterio de aceptación del riesgo (ver 4.2.1 c)2)) de la organización; 3) evitar los riesgos; y 4) transferir los riesgos comerciales asociados a otras entidades; por ejemplo: aseguradoras, proveedores.
g) Seleccionar objetivos de control y controles para el tratamiento de riesgos
Se deben seleccionar e implementar los objetivos de control y controles para cumplir con los requerimientos identificados por el proceso de tasación del riesgo y tratamiento del riesgo. Esta selección debe tomar en cuenta el criterio para aceptar los riesgos (ver 4.2.1(c), así como los requerimientos legales, reguladores y contractuales. Se deben seleccionar los objetivos de control y los controles del Anexo A como parte de este proceso conforme sea apropiado para cubrir estos requerimientos. Los objetivos de control y controles listados en el Anexo A no son exhaustivos y también se pueden seleccionar objetivos de control y controles adicionales. NOTA: El Anexo A contiene una lista bastante completa de objetivos de control y controles comúnmente relevantes para las organizaciones. Se dirige a los usuarios de este Estándar Internacional como un punto de inicio para la selección de controles para asegurar que no se pase por alto ninguna opción de control importante. h) Obtener la aprobación de la gerencia para los riesgos residuales propuestos. i) Obtener la autorización de la gerencia para implementar y operar el SGSI. j) Preparar un Enunciado de Aplicabilidad
43
Se debe preparar un Enunciado de Aplicabilidad que incluya lo siguiente:
1) los objetivos de control y los controles seleccionados en 4.2.1 (g) y las razones para su selección 2) los objetivos de control y controles implementados actualmente (ver 4.2.1 (e) 2); 3) la exclusión de cualquier objetivo de control y control en el Anexo A y la justificación para su exclusión.
NOTA: El Enunciado de Aplicabilidad proporciona un resumen de las decisiones concernientes con el tratamiento del riesgo. El justificar las exclusiones proporciona un chequeo para asegurar que ningún control haya sido omitido inadvertidamente.
2.3.6.3. Implementar y operar el SGSI
La organización debe hacer lo siguiente: a) Formular un plan de tratamiento de riesgo que identifique la acción gerencial apropiada, los recursos, las responsabilidades y prioridades para manejar los riesgos de la seguridad de información (ver 5). b) Implementar el plan de tratamiento de riesgo para poder lograr los objetivos de control identificados, los cuales incluyen tener en consideración el financiamiento y asignación de roles y responsabilidades. c) Implementar los controles seleccionados en 4.2.1 (g) para satisfacer los objetivos de control. d) Definir cómo medir la efectividad de los controles o grupos de controles seleccionados y especificar cómo se van a utilizar estas mediciones para evaluar la efectividad del control para producir resultados comparables y reproducibles (ver 4.2.3 c)). NOTA: La medición de la efectividad de los controles permite a los gerentes y personal determinar lo bien que los controles logran los objetivos de control planeados . e) Implementar los programas de capacitación y conocimiento (ver 5.2.2). f) Manejar las operaciones del SGSI. g) Manejar recursos para el SGSI (ver 5.2).
44
h) Implementar los procedimientos y otros controles capaces de permitir una pronta detección de y respuesta a incidentes de seguridad.
2.3.6.4. Monitorear y revisar el SGSI
La organización debe hacer lo siguiente: a) Ejecutar procedimientos de monitoreo y revisión, y otros controles para:
1) detectar prontamente los errores en los resultados de procesamiento; 2) identificar prontamente los incidentes y violaciones de seguridad, fallidas y exitosas. 3) permitir a la gerencia determinar si las actividades de seguridad delegadas a las personas o implementadas mediante la tecnología de información se están realizando como se esperaba; 4) ayudar a detectar los eventos de seguridad, evitando así los incidentes de seguridad mediante el uso de indicadores; y 5) determinar si son efectivas las acciones tomadas para resolver una violación de seguridad.
b) Realizar revisiones regulares de la efectividad del SGSI (incluyendo satisfacer la política y objetivos de seguridad del SGSI, y revisar los controles de seguridad) tomando en cuenta los resultados de auditorías de seguridad, incidentes, mediciones de seguridad, sugerencias y retroalimentación de todas las partes interesadas. c) Medir la efectividad de los controles para verificar que se hayan cumplido los requerimientos de seguridad. d) Revisar las evaluaciones del riesgo a intervalos planeados y revisar el nivel de riesgo residual y riesgo aceptable identificado, tomando en cuenta los cambios en:
1) la organización; 2) tecnología; 3) objetivos y procesos comerciales; 4) amenazas identificadas; 5) efectividad de los controles implementados; y 6) eventos externos, como cambios en el ambiente legal o regulador, cambios en obligaciones contractuales y cambios en el clima social.
e) Realizar auditorías SGSI internas a intervalos planeados (ver 6).
45
NOTA: Las auditorías internas, algunas veces llamadas auditorías de primera persona, son realizadas por, o en representación de, la organización misma para propósitos internos. f) Realizar una revisión gerencial del SGSI sobre una base regular para asegurar que el alcance permanezca adecuado y se identifiquen las mejoras en el proceso SGSI (ver 7.1). g) Actualizar los planes de seguridad para tomar en cuenta los descubrimientos de las actividades de monitoreo y revisión. h) Registrar las acciones y eventos que podrían tener un impacto sobre la efectividad o desempeño del SGSI (ver 4.3.3).
2.3.6.5. Mantener y mejorar el SGSI
La organización debe realizar regularmente lo siguiente: a) Implementar las mejoras identificadas en el SGSI. b) Tomar las acciones correctivas y preventivas apropiadas en concordancia con 8.2 y 8.3. Aplicar las lecciones aprendidas de las experiencias de seguridad de otras organizaciones y aquellas de la organización misma. c) Comunicar los resultados y acciones a todas las partes interesadas con un nivel de detalle apropiado de acuerdo a las circunstancias y, cuando sea relevante, acordar cómo proceder. d) Asegurar que las mejoras logren sus objetivos señalados.
2.3.6.6. Requerimientos de documentación
2.3.6.6.1. General
La documentación debe incluir los registros de las decisiones gerenciales, asegurar que las acciones puedan ser monitoreadas a las decisiones y políticas gerenciales, y los resultados registrados deben ser reproducibles. Es importante ser capaces de demostrar la relación desde los controles seleccionados y de regreso a los resultados del proceso de evaluación del riesgo y tratamiento del riesgo, y subsecuentemente, de regreso a la política y objetivos del SGSI. La documentación SGSI debe incluir lo siguiente: a) enunciados documentados de la política SGSI (ver 4.2.1b)) y los objetivos;
46
b) el alcance del SGSI (ver 4.2.1a)); c) procedimientos y controles de soporte del SGSI; d) una descripción de la metodología de evaluación del riesgo (ver 4.2.1c)); e) Reporte de evaluación del riesgo (ver 4.2.1c) a 4.2.1g)); f) plan de tratamiento del riesgo (ver 4.2.2b)); g) Los procedimientos documentados necesarios por la organización para asegurar la planeación, operación y control de sus procesos de seguridad de la información y describir cómo medir la efectividad de los controles (ver 4.2.3c)); h) registros requeridos por este Estándar Internacional (ver 4.3.3); y i) Enunciado de Aplicabilidad. NOTA 1: Cuando aparece el término ‘procedimiento documentado’ dentro este Estándar Internacional, significa que el procedimiento se establece, documenta, implementa y mantiene. NOTA 2: La extensión de la documentación SGSI puede diferir de una organización a otro debido a: - el tamaño de la organización y el tipo de sus actividades; y el alcance y complejidad de los requerimientos de seguridad y el sistema que se está manejando. NOTA 3: Los documentos y registros pueden estar en cualquier forma o medio.
2.3.6.6.2. Control de documentos
Los documentos requeridos por el SGSI deben ser protegidos y controlados. Se debe establecer un procedimiento documentado para definir las acciones gerenciales necesarias para: a) aprobar la idoneidad de los documentos antes de su emisión; b) revisar y actualizar los documentos conforme sea necesario y re-aprobar los documentos; c) asegurar que se identifiquen los cambios y el status de la revisión actual de los documentos; d) asegurar que las versiones más recientes de los documentos relevantes estén disponibles en los puntos de uso; e) asegurar que los documentos se mantengan legibles y fácilmente identificables; f) asegurar que los documentos estén disponibles para aquellos que los necesitan; y sean transferidos, almacenados y finalmente eliminados en concordancia con los procedimientos aplicables para su clasificación; g) asegurar que se identifiquen los documentos de origen externo; h) asegurar que se controle la distribución de documentos;
47
i) evitar el uso indebido de documentos obsoletos; y j) aplicarles una identificación adecuada si se van a retener por algún propósito.
2.3.6.6.3. Control de registros
Se deben establecer y mantener registros para proporcionar evidencia de conformidad con los requerimientos y la operación efectiva del SGSI. Deben ser protegidos y controlados. El SGSI debe tomar en cuenta cualquier requerimiento legal o regulador relevante. Los registros deben mantenerse legibles, fácilmente identificables y recuperables. Se deben documentar e implementar los controles necesarios para la identificación, almacenaje, protección, recuperación, tiempo de retención y disposición de los registros. Se deben mantener registros del desempeño del proceso tal como se delinea en 4.2 y de todas las ocurrencias de incidentes de seguridad significativos relacionados con el SGSI . EJEMPLO Son ejemplos de registros los libros de visitantes, los registros de auditoria y las solicitudes de autorización de acceso.
2.3.6.7. Compromiso de la gerencia
La gerencia debe proporcionar evidencia de su compromiso con el establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejoramiento del SGSI al: a) establecer una política SGSI; b) asegurar que se establezcan objetivos y planes SGSI; c) establecer roles y responsabilidades para la seguridad de información; d) comunicar a la organización la importancia de lograr los objetivos de seguridad de la información y cumplir la política de seguridad de la información, sus responsabilidades bajo la ley y la necesidad de un mejoramiento continuo; e) proporcionar los recursos suficientes para desarrollar, implementar, operar, monitorear, revisar, mantener y mejorar el SGSI (ver 5.2.1); f) decidir el criterio para la aceptación del riesgo y los niveles de riesgo aceptables; g) asegurar que se realicen las auditorías internas SGSI (ver 6); y h) realizar revisiones gerenciales del SGSI (ver 7).
48
2.3.6.8. Gestión de recursos
2.3.6.8.1. Provisión de recursos
La organización debe determinar y proporcionar los recursos necesarios para: a) establecer, implementar, operar, monitorear, revisar, mantener y mejorar un SGSI; b) asegurar que los procedimientos de seguridad de la información respalden los requerimientos comerciales; c) identificar y tratar los requerimientos legales y reguladores y las obligaciones de seguridad contractuales; d) mantener una seguridad adecuada mediante la correcta aplicación de todos los controles implementados; e) llevar a cabo revisiones cuando sean necesarias, y reaccionar apropiadamente ante los resultados de estas revisiones; f) donde se requiera, mejorar la efectividad del SGSI.
2.3.6.8.2. Capacitación, conocimiento y capacidad
La organización debe asegurar que todo el personal a quien se asignó las responsabilidades definidas en el SGSI sea competente para realizar las tareas requeridas para: a) determinar las capacidades necesarias para el personal que realiza trabajo que afecta el SGSI; b) proporcionar la capacitación o realizar otras acciones (por ejemplo; emplear el personal competente) para satisfacer estas necesidades; c) evaluar la efectividad de las acciones tomadas; d) mantener registros de educación, capacitación, capacidades, experiencia y calificaciones (ver 4.3.3). La organización también debe asegurarse que todo el personal relevante esté consciente de la relevancia e importancia de sus actividades de seguridad de la información y cómo ellos pueden contribuir al logro de los objetivos SGSI.
2.3.6.9. Auditorías internas SGSI
La organización debe realizar auditorías internas SGSI a intervalos planeados para determinar si los objetivos de control, controles, procesos y procedimientos del SGSI: a) cumplen con los requerimientos de este Estándar Internacional y la legislación y regulaciones relevantes; b) cumplen con los requerimientos de seguridad de la información identificados; c) se implementan y mantienen de manera efectiva; y d) se realizan conforme lo esperado.
49
Se debe planear un programa de auditoría tomando en consideración el status e importancia de los procesos y áreas a ser auditados, así como los resultados de auditorías previas. Se debe definir el criterio, alcance, frecuencia y métodos de auditoría. La selección de los auditores y la realización de las auditorías deben asegurar la objetividad e imparcialidad del proceso de auditoría. Los auditores no deben auditar su propio trabajo. Las responsabilidades y requerimientos para la planeación y realización de las auditorías, y para el reporte de resultados y mantenimiento de registros (ver 4.3.3) se deben definir en un procedimiento documentado. La gerencia responsable para el área siendo auditada debe asegurar que se den sin demora las acciones para eliminar las no-conformidades detectadas y sus causas. Las actividades de seguimiento deben incluir la verificación de las acciones tomadas y el reporte de los resultados de verificación (ver 8). NOTA: ISO 19011:2002, Lineamiento para auditar sistemas de gestión de calidad y/o ambiental, puede proporcionar un lineamiento útil para llevar a cabo auditorías internas.
2.3.6.10. Revisión Gerencial del SGSI
2.3.6.10.1. General
La gerencia debe revisar el SGSI de la organización a intervalos planeados (por lo menos una vez al año) para asegurarse de su continua idoneidad, conveniencia y efectividad. Esta revisión debe incluir oportunidades de evaluación para el mejoramiento y la necesidad de cambios en el SGSI, incluyendo la política de seguridad y los objetivos de seguridad de la información. Los resultados de las revisiones deben documentarse claramente y se deben mantener registros (ver 4.3.3).
2.3.6.11. Insumo de la revisión
El insumo para la revisión gerencial debe incluir: a) resultados de auditorías y revisiones del SGSI; b) retroalimentación de las partes interesadas; c) técnicas, productos o procedimientos, que se podrían utilizar en la organización para mejorar el desempeño y efectividad del SGSI;
50
d) status de acciones preventivas y correctivas; e) vulnerabilidades o amenazas no tratadas adecuadamente en la evaluación de riesgo previa; f) resultados de mediciones de efectividad; g) acciones de seguimiento de las revisiones gerenciales previas; h) cualquier cambio que pudiera afectar el SGSI; y i) recomendaciones para el mejoramiento.
2.3.6.12. Resultado de la revisión
El resultado de la revisión gerencial debe incluir cualquier decisión y acción relacionada con lo siguiente: a) mejoramiento de la efectividad del SGSI; b) actualización de la evaluación del riesgo y el plan de tratamiento del riesgo; c) modificación de procedimientos y controles que afectan la seguridad de la información, si fuese necesario, para responder a eventos internos o externos que pudieran tener impacto sobre el SGSI, incluyendo cambios en:
1) requerimientos comerciales; 2) requerimientos de seguridad; 3) procesos comerciales que afectan los requerimientos comerciales existentes; 4) requerimientos reguladores o legales; 5) obligaciones contractuales; y 6) niveles de riesgo y/o criterio de aceptación del riesgo. d) necesidades de recursos; e) mejoramiento de cómo se mide la efectividad de los controles.
2.3.6.13. Mejoramiento del SGSI
2.3.6.13.1. Mejoramiento continuo
La organización debe mejorar continuamente la efectividad del SGSI a través del uso de la política de seguridad de la información, objetivos de
51
seguridad de la información, resultados de auditoria, análisis de los eventos monitoreados, acciones correctivas y preventivas, y la revisión gerencial.
2.3.6.13.2. Acción correctiva
La organización debe realizar las acciones para eliminar la causa de las no-conformidades con los requerimientos del SGSI para poder evitar la recurrencia. El procedimiento documentado para la acción correctiva debe definir los requerimientos para: a) identificar las no-conformidades; b) determinar las causas de las no-conformidades; c) evaluar la necesidad de acciones para asegurar que las no-conformidades no vuelvan a ocurrir; d) determinar e implementar la acción correctiva necesaria; e) registrar los resultados de la acción tomada (ver 4.3.3); y f) revisar la acción correctiva tomada.
2.3.6.13.3. Acción preventiva
La organización debe determinar la acción para eliminar la causa de las no-conformidades potenciales de los requerimientos SGSI para evitar su ocurrencia. Las acciones preventivas tomadas deben ser apropiadas para el impacto de los problemas potenciales. El procedimiento documentado para la acción preventiva debe definir los requerimientos para: a) identificar las no-conformidades potenciales y sus causas; b) evaluar la necesidad para la acción para evitar la ocurrencia de no-conformidades; c) determinar e implementar la acción preventiva necesaria; d) registrar los resultados de la acción tomada (ver 4.3.3); y e) revisar la acción preventiva tomada. La organización debe identificar los riesgos cambiados e identificar los requerimientos de acción preventiva enfocando la atención sobre los riesgos cambiados significativamente. La prioridad de las acciones preventivas se debe determinar en base a los resultados de la evaluación del riesgo.
52
NOTA La acción para evitar las no-conformidades con frecuencia es más una acción efectiva en costo que la acción correctiva.
Definiciones Conceptuales (Definición de Términos Básicos)
2.4. Definiciones conceptuales
En esta sección se presentan los conceptos relacionados a un Sistema de gestión de Seguridad de Información.
Activo: Cualquier elemento o información, tenga o no valor contable para la organización.
Control: Medios para manejar el riesgo, incluyendo políticas, procedimientos, lineamientos, prácticas o estructuras organizacionales, las cuales pueden ser administrativas, técnicas, de gestión o de naturaleza legal.
Información: Es un activo esencial para el negocio de una organización. Puede existir de muchas formas. Puede estar impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o utilizando medios electrónicos, mostrada en películas o hablada en una conversación.
Confidencialidad: La propiedad que información esté disponible y no sea divulgada a personas, entidades o procesos no autorizados.
Disponibilidad: La propiedad tiene que estar disponible y utilizable cuando lo requiera una entidad autorizada.
Integridad: La propiedad de guardar la exactitud e integridad de los activos.
Seguridad de Información: Es la protección de la información de un rango amplio de amenazas para poder asegurar la continuidad del negocio, minimizar el riesgo comercial y maximizar el retorno de las inversiones y las oportunidades comerciales. Se logra implementando un adecuado conjunto de controles incluyendo políticas, procesos, procedimientos, estructuras organizacionales y funciones de software y hardware.
53
Evento de seguridad de información: Cualquier evento de seguridad de la información es una ocurrencia identificada del estado de sistema, servicio o red indicando una posible falla en la política de seguridad de la información o falla en los controles, o una situación previamente desconocida que puede ser relevante para la seguridad.
Incidente de seguridad de información: Es indicado por un solo evento o una serie de eventos inesperados de seguridad de la información que tienen una probabilidad significativa de comprometer las operaciones comerciales y amenazar la seguridad de la información.
Sistema de gestión de seguridad de información (SGSI): Es parte del sistema de gestión general, basada en un enfoque de riesgo comercial para establecer, implementar, operar, monitorear, revisar y mejorar la seguridad de la información.
Proyecto de SGSI: Actividades estructuradas llevadas a cabo por la organización con el fin de implementar un SGSI.
Amenaza: Una causa potencial de un incidente no-deseado, el cual puede resultar dañando a un sistema.
Vulnerabilidad: La debilidad de un activo o grupo de activos que puede ser explotada por una o más amenazas.
Riesgo: Es la combinación de la probabilidad de un evento y su ocurrencia
Análisis de riesgo: uso sistemático de la información para identificar fuentes y para estimar el riesgo. Identifica los activos a proteger o evaluar.
Evaluación del riesgo: Proceso de comparar el nivel de riesgo estimado durante el proceso de análisis de riesgo con un criterio dado para determinar la importancia del riesgo.
Gestión del riesgo: Actividades coordinadas para dirigir y controlar una con relación al riesgo. Normalmente incluye la evaluación, tratamiento, aceptación y comunicación del riesgo. Estas actividades se enfocan a manejar la incertidumbre relativa de las amenazas detectadas.
54
Tratamiento del riesgo: Proceso de tratamiento de la selección e implementación de controles para modificar el riesgo.
Riesgo residual: El riesgo remanente después del tratamiento del riesgo.
Aceptación del riesgo: Decisión de aceptar el riesgo.
Política: Intención y dirección general expresada formalmente por la gerencia.
2.5. Formulación de hipótesis
2.5.1. Hipótesis General
Es posible la medición del nivel de seguridad de la información con el Sistema de Gestión de la Información en la Sociedad de Comercio Exterior del Perú en el 2014.
2.5.2. Hipótesis específicas
Es posible la medición del nivel de Confidencialidad de la información con el Sistema de Gestión de Seguridad de la información en la Sociedad de Comercio Exterior del Perú, 2014
Es posible la medición del nivel de Integridad de la información con el Sistema de Gestión de Seguridad de la información en la Sociedad de Comercio Exterior del Perú, 2014
Es posible la medición del nivel de Disponibilidad de la información con el Sistema de Gestión de Seguridad de la información en la Sociedad de Comercio Exterior del Perú, 2014
2.6. Operacionalización de Variables e Indicadores
Variable:
X1: Sistema de Gestión de Seguridad de la Información
55
A. Indicadores:
X11 = Confidencialidad
X12= Integridad
X13= Disponibilidad
B. Índices:
Tabla 2.1 Operacionalización de Indicadores y variables
Indicadores Índices Escalas
X11 = Confidencialidad
Segura Privada Clasificada
1 =Totalmente en desacuerdo
2 =En desacuerdo
3 =Ni de acuerdo ni en desacuerdo
4 =De acuerdo
5 =Totalmente de acuerdo
X12= Integridad
Completa Exacta Confiable
X13= Disponibilidad
Accesible Oportuna Inmediata
56
3. CAPITULO III: METODOLOGÍA
3.1. Enfoque Metodológico
Para esta investigación se hará uso de la estadística descriptiva para el análisis de datos, siendo esta una medición numérica nos centraremos en un Enfoque Cuantitativo.
3.2. Tipo y Nivel de Investigación
3.2.1. Tipo de Investigación
La investigación según su finalidad es de tipo Tecnológica por estar orientada a demostrar la validez de ciertas técnicas bajo las cuales se aplican principios científicos que demuestren su eficacia en la modificación o transformación de un hecho o fenómeno.
3.2.2. Nivel de investigación
Debido a que únicamente mediremos el nivel actual del Sistema de Gestión de Seguridad de la Información que existe en la Sociedad de Comercio Exterior del Perú, el Nivel de Investigación es Descriptiva.
3.3. Método y Diseño de la Investigación
3.3.1. Diseño de la Investigación
La presente es una investigación No Experimental de tipo transversal ya que la recogida de los datos sobre uno o más grupos de sujetos se obtiene en un solo momento temporal.
3.3.2. Método de la Investigación
El método cuantitativo que se utilizará en la siguiente investigación será el método descriptivo que implica observar y describir el comportamiento de un sujeto sin influir sobre él de ninguna manera.
3.4. Población y Muestra
De acuerdo al estudio correspondiente al método de muestreo probabilístico de tipo aleatorio simple, cuyo procedimiento es atractivo por su simpleza y tiene utilidad práctica cuando la población es pequeña, como lo es la población que conforma la Sociedad de Comercio Exterior del Perú con un total de 33 empleados
57
Tamaño de la muestra Se determinó el tamaño de la muestra utilizando la fórmula
de determinación de tamaño de muestra para estimar una proporción.
𝑛 = 𝑍2𝑃𝑄𝑁
𝐸2(𝑁 − 1) + 𝑍2𝑃𝑄
En donde: N: Tamaño de la población que es objeto de estudio. Z: Grado de confianza que se establece.
N.C.: 90% 95% 99%
Z : 1,64 1,96 2,58
P: Proporción de unidades que poseen el atributo de interés. E: Error absoluto o precisión de la estimación deseada de la media. Q: Resta aritmético de P. Reemplazando Valores: N: 33 Z: 1,96 ya que el grado de confianza establecido para el estudio es del 95% P: 0,9 E: 0,05 ya que el margen de error es del 5% Sustituyendo en la fórmula:
𝑛 = (2,58)2(0,9)(0,1)(33)
(0,05)2(32) + (1,96)2(0,9)(0,1)
n = 30
3.5. Técnicas de recolección de datos
Las principales técnicas que se utilizan para esta investigación son:
Observación Simple o indirecta: Consiste en una técnica de visualización de hechos, la cual se encuentra respaldada generalmente por una guía de observación que posee principales criterios que se desean
58
observar, esto permite conocer la información de forma concreta.
Encuesta: La encuesta usará como herramienta el cuestionario elaborado en base a preguntas cerradas mediante el escalamiento de Likert basada en cinco escalas:
1=Totalmente en desacuerdo
2=En desacuerdo
3=Ni de acuerdo ni en desacuerdo
4=De acuerdo
5=Totalmente de acuerdo
3.6. Técnicas para el procesamiento de la información
Se usará la estadística descriptiva apoyado por el programa estadístico SPSS v21 (Statistical Package for the Social Sciences)
59
4. CAPÍTULO IV: RESULTADOS
4.1. Presentación de tablas, figuras e interpretaciones.
A continuación se despliegan los resultados obtenidos de la prueba de campo realizada, utilizando instrumentos de medición basados en encuestas dirigidas a la muestra poblacional de la empresa. Cada dimensión de la variable ha sido sometida a minuciosos análisis estadísticos que nos permiten visualizar los principales rasgos de sus comportamientos, y de este modo tener elementos de juicio para interpretar de manera global el comportamiento de la variable principal.
4.1.1. Validez y fiabilidad del instrumento
4.1.1.1. Validez de instrumento
Determinar la validez del instrumento implico someterlo a la evaluación de un panel de expertos, antes de la aplicación para que hicieran los aportes necesarios a la investigación y se verificara si la construcción y el contenido del instrumento, se ajustara al estudio planteado.
4.1.1.1.1. Validación del instrumento de la variable Sistema de gestión de seguridad de la información. La validez de contenido del instrumento (cuestionario) sistema de gestión de la seguridad de la información fue evaluado mediante un juicio de expertos basada en la opinión informada de personas con grado de Ingeniero, Magister y Doctor con experiencia en el tema, quienes brindaron información y valoración los cuestionarios correspondientes a la variable en estudio y, para tal efecto, se hizo revisar el cuestionario por el siguiente panel de expertos:
Tabla 4.1 Validez de contenido: Instrumento-Cuestionario de la variable sistema de gestión de la seguridad de la información
EXPERTO GRADO NOMBRE PUNTUACIÓN
EXPERTO 1 = Ingeniero Galindo Santiago, Adolfo 81.00
EXPERTO 2 = Doctor Sosa Palomino, Alcibíades 86.10
EXPERTO 3 = Magister Farro Pacifico, Edwin Iván 83.60
EXPERTO 4 = Magister Bruno Romero, Carlos Alberto 83.00
EXPERTO 5 = Ingeniero Novaro Soto, Eder 95.20
PROMEDIO GENERAL = 85.78
60
4.1.1.2. Fiabilidad del instrumento
Tabla 4.2 Criterios de fiabilidad de valores que toma el Alfa de Cronbach
CRITERIOS DE CONFIABILIDAD VALORES
Nivel no aceptable 0.0 a 0.5
Nivel Pobre 0-5 a 0.6
Nivel Débil 0.6 a 0.7
Nivel Aceptable 0.7 a 0.8
Nivel Bueno 0.8 a 0.9
Nivel Elevado 0.9 a 1.0 Fuente:
4.1.2. Análisis e interpretación de resultados de la Variable: Sistema de Gestión de Seguridad de la Información
4.1.2.1. Análisis de fiabilidad
El análisis de fiabilidad de la prueba de Alpa de Cronbach del instrumento – cuestionario aplicado a la prueba piloto del estudio correspondiente a la variable Sistema de gestión de seguridad de la información se muestra a continuación.
Tabla 4.3 Resumen de procedimiento de casos de la Variable Sistema de Gestión de Seguridad de la Información
N %
Casos
Válidos 30 100,0
Excluidosa 0 ,0
Total 30 100,0
a. Eliminación por lista basada en todas las Variables del procedimiento.
Tabla 4.4 Estadísticas de fiabilidad del sistema de gestión de seguridad de la información
Alfa de Cronbach N de elementos
0,888 25
Fuente: Elaboración Propia
61
4.1.2.2. Análisis de tabla y gráficos
Para el análisis de la variable Sistema de gestión de seguridad de la información el cuestionario se recodifico y agrupo en tres categorías: 1 = nivel bajo (25-58), 2 = nivel medio (59-92) y 3 = nivel alto (93-125).
Tabla 4.5 Sistema de gestión de seguridad de la información
Frecuencia Porcentaje Porcentaje válido Porcentaje acumulado
Nivel Medio(59-92) 13 43,33 43,33 43,33
Nivel Alto(93-125) 17 56,67 56,67 100
Total 30 100,00 100,00
Fuente: Elaboración Propia basado en la variable sistema de gestión de la seguridad de la información (n=30)
Gráfica 4.1 Variable Sistema de gestión de seguridad de la información
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Interpretación:
En la tabla 4.5 y grafico 4.1 se aprecia los resultados de frecuencias y porcentajes de los 30 trabajadores encuestados, observándose que el 56.67% refiere que el sistema de gestión de seguridad de la información tiene un nivel alto, el 43.33% califica como nivel medio.
62
Tabla 4.6 Estadísticos descriptivos de Sistema de gestión de seguridad de la información
N Válidos 30
Perdidos 0
Media 95,83
Mediana 94,50
Moda 110
Desviación estándar. 12,720
Mínimo 74
Máximo 119
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Interpretación
La tabla 4.6 muestra las medidas de tendencia central y dispersión
encontrándose que en promedio, los trabajadores de la Sociedad de
Comercio Exterior del Perú califican la variable sistema de gestión de la
seguridad de la información con una media de 95.83, la mediana de 94.50.
Por lo tanto, el valor de la moda es Mo = 110, lo que indica que la variable
sistema de gestión de la seguridad de la información está en un nivel alto
(93 - 125). La variabilidad media de los valores de escala calificada por los
trabajadores con respecto a la media aritmética es de Desviación estándar
= 12.720, lo que quiere decir que los datos se dispersan en promedio.
12.720. El valor máximo es de 119 y el valor mínimo de 92.
63
4.1.3. Análisis e interpretación de resultados de las Dimensiones
4.1.3.1. Dimensión D1: Confidencialidad
La dimensión confidencialidad de la variable Sistema de gestión
de seguridad de la información se recodifico y agrupo en tres
categorías: 1 = nivel bajo (11-25), 2 = nivel medio (26-41) y 3 =
nivel alto (41-55).
Tabla 4.7 Dimensión Confidencialidad
Frecuencia Porcentaje
Porcentaje
válido
Porcentaje
acumulado
Nivel Medio (26 - 40) 11 36.67 36.67 36.67
Nivel Alto (41 - 55) 19 63.33 63.33 100.00
Total 30 100.00 100.00
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Gráfica 4.2 Dimensión Confidencialidad
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Interpretación.
En la tabla 4.7 y grafico 4.2 se aprecia los valores de la dimensión disponibilidad de la variable sistema de gestión de seguridad de la información, de los 30 datos observados el 36.67% de los trabajadores califico la dimensión confidencialidad en un nivel medio y el 63.33% la califico como nivel alto.
64
Tabla 4.8 Estadísticos descriptivos de la dimensión disponibilidad
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Interpretación.
La tabla 4.8 muestra las medidas de tendencia central y
dispersión encontrándose que los trabajadores de la Sociedad de
Comercio Exterior del Perú califican la dimensión
confidencialidad con una media de 41.40, la mediana de 42.00,
lo que indica que la dimensión confidencialidad de la variable
sistema de gestión de la seguridad de la información está en un
nivel alto (41 – 55). La moda valor que más se repite es Mo = 42.
La variabilidad media de los valores con respecto a la media
aritmética reporta una DE = 8.131, lo que quiere decir que los
datos se dispersan en promedio 8.131. El valor máximo es 52 y
el mínimo es 27.
N Válidos 30
Perdidos 0
Media 41.40
Mediana 42.00
Moda 42
Desviación estándar 8.131
Mínimo 27
Máximo 52
65
4.1.3.2. Dimensión D2: Integridad
La dimensión integridad de la variable Sistema de gestión de
seguridad de la información se recodifico y agrupo en tres
categorías: 1 = nivel bajo (06-14), 2 = nivel medio (15-22) y 3 =
nivel alto (23-30).
Tabla 4.9 Dimensión Integridad
Frecuencia Porcentaje Porcentaje
válido Porcentaje acumulado
Nivel Medio (15-22) 9 30.00 30.00 30.00
Nivel Alto (23-30) 21 70.00 70.00 100.00
Total 30 100.00 100.00 Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Gráfica 4.3 Dimensión Integridad
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Interpretación.
En la tabla 4.9 y grafico 4.3 se aprecia los valores de la dimensión integridad de la variable sistema de gestión de seguridad de la información, de los 30 datos observados el 30.00% de los trabajadores califico la dimensión integridad en un nivel medio y el 70.00% la califico como nivel alto.
66
Tabla 4.10 Estadísticos descriptivos de la dimensión integridad
N Válidos 30
Perdidos 0
Media 23.63
Mediana 24.00
Moda 23
Desviación estándar 4.140
Mínimo 15
Máximo 30
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Interpretación.
La tabla 4.10 muestra las medidas de tendencia central y
dispersión encontrándose que los trabajadores de la Sociedad de
Comercio Exterior del Perú califican la dimensión integridad con
una media de 23.63, la mediana de 24, lo que indica que la
dimensión integridad de la variable sistema de gestión de la
seguridad de la información está en un nivel alto (23 - 30). La
moda valor que más se repite es Mo = 23. La variabilidad media
de los valores con respecto a la media aritmética reporta una DE
= 4.140, lo que quiere decir que los datos se dispersan en
promedio 4.140. El valor máximo es 30 y el mínimo es 15.
67
4.1.3.3. Dimensión D3: Disponibilidad
La dimensión disponibilidad de la variable Sistema de gestión de
seguridad de la información se recodifico y agrupo en tres
categorías: 1 = nivel bajo (08-19), 2 = nivel medio (20-30) y 3 =
nivel alto (31-40).
Tabla 4.11 Dimensión Integridad
Frecuencia Porcentaje Porcentaje
válido Porcentaje acumulado
Nivel Bajo (08-19) 1 3.33 3.33 3.33
Nivel Medio (20-30) 13 43.33 43.33 46.67
Nivel Alto (31-40) 16 53.33 53.33 100.00
Total 30 100.00 100.00
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Gráfica 4.4 Dimensión Disponibilidad
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Interpretación.
En la tabla 4.11 y grafico 4.4 se aprecia los valores de la dimensión disponibilidad de la variable sistema de gestión de seguridad de la información, de los 30 datos observados el 3.33% de los trabajadores califico la dimensión disponibilidad en un nivel bajo, el 43.33% de los trabajadores califico la dimensión disponibilidad en un nivel medio y el 53.33% la califico como nivel alto.
68
Tabla 4.12 Estadísticos descriptivos de la dimensión disponibilidad
N Válidos 30
Perdidos 0
Media 30.80
Mediana 31.00
Moda 34
Desviación estándar 5.081
Mínimo 18
Máximo 39
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Interpretación.
La tabla 4.12 muestra las medidas de tendencia central y
dispersión encontrándose que los trabajadores de la Sociedad de
Comercio Exterior del Perú califican la dimensión disponibilidad
con una media de 30.80, la mediana de 31, lo que indica que la
dimensión integridad de la variable sistema de gestión de la
seguridad de la información está en un nivel medio (20 - 30) y
Nivel alto (31 – 40). La moda valor que más se repite es Mo = 34.
La variabilidad media de los valores con respecto a la media
aritmética reporta una DE = 5.081, lo que quiere decir que los
datos se dispersan en promedio 5.081. El valor máximo es 39 y
el mínimo es 18.
69
4.1.4. Resultado del procesamiento del cuestionario de la variable sistema de gestión de seguridad de la información
4.1.4.1. ITEM 1: Los sistemas de información de COMEXPERU presentan fallas
Tabla 4.13 Los sistemas de información de COMEXPERU presentan fallas
Frecuencia Porcentaje
Porcentaje
válido
Porcentaje
acumulado
En desacuerdo 1 3.33 3.33 3.33
Ni de acuerdo ni en
desacuerdo
7 23.33 23.33 26.67
De acuerdo 14 46.67 46.67 73.33
Totalmente de acuerdo 8 26.67 26.67 100.00
Total 30 100.00 100.00
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Gráfica 4.5 Los sistemas de información de COMEXPERU presentan fallas
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Interpretación.
En la tabla 4.13 y grafico 4.5, que corresponden al ítem 1, se puede observar que del 100% (30) de trabajadores encuestados, el 46.67% refieren como de acuerdo que los sistemas de información de COMEXPERU presentan fallas, y el 3.33% está en desacuerdo. Por lo tanto se desprende que el 73.34% está de acuerdo y totalmente de acuerdo.
70
4.1.4.2. ITEM 2. Cuando el sistema de información de COMEXPERU falla, existen procedimientos que salvaguardan mi información
Tabla 4.14 Cuando el sistema de información de COMEXPERU falla, existen procedimientos que salvaguardan mi información
Frecuencia Porcentaje Porcentaje
válido Porcentaje acumulado
Totalmente en desacuerdo
2 6.67 6.67 6.67
En desacuerdo 5 16.67 16.67 23.33
Ni de acuerdo ni en desacuerdo
3 10.00 10.00 33.33
De acuerdo 9 30.00 30.00 63.33 Totalmente de acuerdo 11 36.67 36.67 100.00
Total 30 100.00 100.00 Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Gráfica 4.6 Cuando el sistema de información de COMEXPERU falla, existen procedimientos que salvaguardan mi información
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Interpretación.
En la tabla 4.14 y grafico 4.6, que corresponden al ítem 2, se puede observar que del 100% (30) de trabajadores encuestados, el 36.67% refieren como totalmente de acuerdo cuando el sistema de información de COMEXPERU falla, existen procedimientos que salvaguardan mi información, y el 6.66% está en totalmente en desacuerdo. Por lo tanto se desprende que el 66.67% está de acuerdo y totalmente de acuerdo.
71
4.1.4.3. ITEM 3. En más de una ocasión, las fallas producidas por los sistemas de información de COMEXPERU han producido daños irreversibles
Tabla 4.15 En más de una ocasión, las fallas producidas por los sistemas de información de COMEXPERU han producido daños irreversibles
Frecuencia Porcentaje Porcentaje
válido Porcentaje acumulado
Totalmente en desacuerdo
1 3.33 3.33 3.33
En desacuerdo 3 10.00 10.00 13.33
Ni de acuerdo ni en desacuerdo
6 20.00 20.00 33.33
De acuerdo 12 40.00 40.00 73.33 Totalmente de acuerdo
8 26.67 26.67 100.00
Total 30 100.00 100.00 Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Gráfica 4.7 En más de una ocasión, las fallas producidas por los sistemas de información de COMEXPERU han producido daños irreversibles
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Interpretación.
En la tabla 4.15 y grafico 4.7, que corresponden al ítem 3, se puede observar que del 100% (30) de trabajadores encuestados, el 40.00% refieren como de acuerdo en más de una ocasión que las fallas producidas por los sistemas de información de COMEXPERU han producido daños irreversibles, y el 3.33% está en totalmente en desacuerdo. Por lo tanto se desprende que el 66.67% está de acuerdo y totalmente de acuerdo.
72
4.1.4.4. ITEM 4. Los sistemas de información y los equipos informáticos de COMEXPERU constantemente son sometidos a mantenimientos preventivos
Tabla 4.16 Los sistemas de información y los equipos informáticos de COMEXPERU constantemente son sometidos a mantenimientos preventivos
Frecuencia Porcentaje Porcentaje
válido Porcentaje acumulado
En desacuerdo 1 3.33 3.33 3.33
Ni de acuerdo ni en desacuerdo
8 26.67 26.67 30.00
De acuerdo 14 46.67 46.67 76.67
Totalmente de acuerdo
7 23.33 23.33 100.00
Total 30 100.00 100.00
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Gráfica 4.8 Los sistemas de información y los equipos informáticos de COMEXPERU constantemente son sometidos a mantenimientos preventivos
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Interpretación.
En la tabla 4.16 y grafico 4.8, que corresponden al ítem 4, se puede observar que del 100% (30) de trabajadores encuestados, el 46.67% refieren como de acuerdo que los sistemas de información y los equipos informáticos de COMEXPERU constantemente son sometidos a mantenimientos preventivos, y el 3.33% está en desacuerdo. Por lo tanto se desprende que el 70.00% está de acuerdo y totalmente de acuerdo.
73
4.1.4.5. ITEM 5. El periodo de vida útil de los equipos informáticos de COMEXPERU es largo
Tabla 4.17 El periodo de vida útil de los equipos informáticos de COMEXPERU es largo
Frecuencia Porcentaje Porcentaje
válido Porcentaje acumulado
En desacuerdo 1 3.33 3.33 3.33
Ni de acuerdo ni en desacuerdo
7 23.33 23.33 26.67
De acuerdo 11 36.67 36.67 63.33
Totalmente de acuerdo
11 36.67 36.67 100.00
Total 30 100.00 100.00
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Gráfica 4.9 El periodo de vida útil de los equipos informáticos de COMEXPERU es largo
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Interpretación.
En la tabla 4.17 y grafico 4.9, que corresponden al ítem 5, se puede observar que del 100% (30) de trabajadores encuestados, el 36.67% refieren como de acuerdo y totalmente de acuerdo que el periodo de vida útil de los equipos informáticos de COMEXPERU es largo, y el 3.33% está en desacuerdo. Por lo tanto se desprende que el 73.34% está de acuerdo y totalmente de acuerdo.
74
4.1.4.6. ITEM 6. Los equipos informáticos y los sistemas de información de COMEXPERU muestran un desempeño óptimo
Tabla 4.18 Los equipos informáticos y los sistemas de información de COMEXPERU muestran un desempeño óptimo
Frecuencia Porcentaje Porcentaje
válido Porcentaje acumulado
En desacuerdo 2 6.67 6.67 6.67
Ni de acuerdo ni en desacuerdo
7 23.33 23.33 30.00
De acuerdo 11 36.67 36.67 66.67
Totalmente de acuerdo
10 33.33 33.33 100.00
Total 30 100.00 100.00
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Gráfica 4.10 Los equipos informáticos y los sistemas de información de COMEXPERU muestran un desempeño óptimo
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Interpretación.
En la tabla 4.18 y grafico 4.10, que corresponden al ítem 6, se puede observar que del 100% (30) de trabajadores encuestados, el 36.67% refieren como de acuerdo que los equipos informáticos y los sistemas de información de COMEXPERU muestran un desempeño óptimo, y el 6.67% está en desacuerdo. Por lo tanto se desprende que el 70.00% está de acuerdo y totalmente de acuerdo.
75
4.1.4.7. ITEM 7. El nivel de privacidad de mi información dentro de COMEXPERU es confiable
Tabla 4.19 El nivel de privacidad de mi información dentro de COMEXPERU es confiable
Frecuencia Porcentaje Porcentaje
válido Porcentaje acumulado
En desacuerdo 5 16.67 16.67 16.67
Ni de acuerdo ni en desacuerdo
3 10.00 10.00 26.67
De acuerdo 11 36.67 36.67 63.33
Totalmente de acuerdo
11 36.67 36.67 100.00
Total 30 100.00 100.00
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Gráfica 4.11 El nivel de privacidad de mi información dentro de COMEXPERU es confiable
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Interpretación.
En la tabla 4.19 y grafico 4.11, que corresponden al ítem 7, se puede observar que del 100% (30) de trabajadores encuestados, el 36.67% refieren como totalmente de acuerdo que el nivel de privacidad de mi información dentro de COMEXPERU es confiable, y el 16.67% está en desacuerdo. Por lo tanto se desprende que el 73.34% está de acuerdo y totalmente de acuerdo.
76
4.1.4.8. ITEM 8. El nivel de confianza ante la protección de mi información dentro de COMEXPERU es óptima
Tabla 4.20 El nivel de confianza ante la protección de mi información dentro de COMEXPERU es óptima
Frecuencia Porcentaje Porcentaje
válido Porcentaje acumulado
Totalmente en desacuerdo
3 10.00 10.00 10.00
En desacuerdo 8 26.67 26.67 36.67
Ni de acuerdo ni en desacuerdo
1 3.33 3.33 40.00
De acuerdo 12 40.00 40.00 80.00
Totalmente de acuerdo
6 20.00 20.00 100.00
Total 30 100.00 100.00
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Gráfica 4.12 El nivel de confianza ante la protección de mi información dentro de COMEXPERU es óptima
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Interpretación.
En la tabla 4.20 y grafico 4.12, que corresponden al ítem 8, se puede observar que del 100% (30) de trabajadores encuestados, el 40.00% refieren como de acuerdo que el nivel de confianza ante la protección de mi información dentro de COMEXPERU es óptima, y el 10.00% está totalmente en desacuerdo. Por lo tanto se desprende que el 60.00% está de acuerdo y totalmente de acuerdo.
77
4.1.4.9. ITEM 9. Creo que mi información se encuentra expuesta dentro de mi centro de trabajo
Tabla 4.21 Creo que mi información se encuentra expuesta dentro de mi centro de trabajo
Frecuencia Porcentaje Porcentaje
válido Porcentaje acumulado
Totalmente en desacuerdo
1 3.33 3.33 3.33
En desacuerdo 3 10.00 10.00 13.33
Ni de acuerdo ni en desacuerdo
8 26.67 26.67 40.00
De acuerdo 10 33.33 33.33 73.33 Totalmente de acuerdo
8 26.67 26.67 100.00
Total 30 100.00 100.00 Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Gráfica 4.13 Creo que mi información se encuentra expuesta dentro de mi centro de trabajo
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Interpretación.
En la tabla 4.21 y grafico 4.13, que corresponden al ítem 9, se puede observar que del 100% (30) de trabajadores encuestados, el 33.33% refieren como de acuerdo que cree que mi información se encuentra expuesta dentro de mi centro de trabajo, y el 3.33% está totalmente en desacuerdo. Por lo tanto se desprende que el 60.00% está de acuerdo y totalmente de acuerdo.
78
4.1.4.10. ITEM 10. Sospecho que parte de mi información en algún momento ha sido vista por personas ajenas a mi área de trabajo
Tabla 4.22 Sospecho que parte de mi información en algún momento ha sido vista por personas ajenas a mi área de trabajo
Frecuencia Porcentaje Porcentaje
válido Porcentaje acumulado
Totalmente en desacuerdo
1 3.33 3.33 3.33
En desacuerdo 3 10.00 10.00 13.33
Ni de acuerdo ni en desacuerdo
10 33.33 33.33 46.67
De acuerdo 12 40.00 40.00 86.67
Totalmente de acuerdo
4 13.33 13.33 100.00
Total 30 100.00 100.00
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Gráfica 4.14 Sospecho que parte de mi información en algún momento ha sido vista por personas ajenas a mi área de trabajo
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Interpretación.
En la tabla 4.22 y grafico 4.14, que corresponden al ítem 10, se puede observar que del 100% (30) de trabajadores encuestados, el 40.00% refieren como de acuerdo que sospecha que parte de mi información en algún momento ha sido vista por personas ajenas a mi área de trabajo, y el 3.33% está totalmente en desacuerdo. Por lo tanto se desprende que el 53.33% está de acuerdo y totalmente de acuerdo.
79
4.1.4.11. ITEM 11. Me es fácil conseguir información de otras áreas sin el consentimiento del propietario
Tabla 4.23 Me es fácil conseguir información de otras áreas sin el consentimiento del propietario
Frecuencia Porcentaje Porcentaje
válido Porcentaje acumulado
En desacuerdo 4 13.33 13.33 13.33
Ni de acuerdo ni en desacuerdo
10 33.33 33.33 46.67
De acuerdo 12 40.00 40.00 86.67
Totalmente de acuerdo
4 13.33 13.33 100.00
Total 30 100.00 100.00
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Gráfica 4.15 Me es fácil conseguir información de otras áreas sin el consentimiento del propietario
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Interpretación.
En la tabla 4.23 y grafico 4.15, que corresponden al ítem 11, se puede observar que del 100% (30) de trabajadores encuestados, el 40.00% refieren como de acuerdo que mé es fácil conseguir información de otras áreas sin el consentimiento del propietario, y el 13.33% está en desacuerdo. Por lo tanto se desprende que el 53.33% está de acuerdo y totalmente de acuerdo.
80
4.1.4.12. ITEM 12. A menudo el envío de mi información es interrumpida por algún suceso informático
Tabla 4.24 A menudo el envío de mi información es interrumpida por algún suceso informático
Frecuencia Porcentaje Porcentaje
válido Porcentaje acumulado
En desacuerdo 1 3.33 3.33 3.33
Ni de acuerdo ni en desacuerdo
8 26.67 26.67 30.00
De acuerdo 16 53.33 53.33 83.33
Totalmente de acuerdo
5 16.67 16.67 100.00
Total 30 100.00 100.00
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Gráfica 4.16 A menudo el envío de mi información es interrumpida por algún suceso informático
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Interpretación.
En la tabla 4.24 y grafico 4.16, que corresponden al ítem 12, se puede observar que del 100% (30) de trabajadores encuestados, el 53.33% refieren como de acuerdo que a menudo el envío de mi información es interrumpida por algún suceso informático, y el 3.33% está en desacuerdo. Por lo tanto se desprende que el 70.00% está de acuerdo y totalmente de acuerdo.
81
4.1.4.13. ITEM 13. Puedo confiar en los reportes que son generados por los sistemas de información de COMEXPERU debido a que nunca han generado reportes erróneos
Tabla 4.25 Puedo confiar en los reportes que son generados por los sistemas de información de COMEXPERU debido a que nunca han generado reportes erróneos
Frecuencia Porcentaje Porcentaje
válido Porcentaje acumulado
En desacuerdo 2 6.67 6.67 6.67
Ni de acuerdo ni en desacuerdo
4 13.33 13.33 20.00
De acuerdo 17 56.67 56.67 76.67
Totalmente de acuerdo
7 23.33 23.33 100.00
Total 30 100.00 100.00
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Gráfica 4.17 Puedo confiar en los reportes que son generados por los sistemas de información de COMEXPERU debido a que nunca han generado reportes erróneos
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Interpretación.
En la tabla 4.25 y grafico 4.17, que corresponden al ítem 13, se puede observar que del 100% (30) de trabajadores encuestados, el 56.67% refieren como de acuerdo que puedo confiar en los reportes que son generados por los sistemas de información de COMEXPERU debido a que nunca han generado reportes erróneos, y el 6.67% está en desacuerdo. Por lo tanto se desprende que el 80.00% está de acuerdo y totalmente de acuerdo.
82
4.1.4.14. ITEM 14. Sospecho que existen programas o medios informáticos que intersecten mi comunicación vía email o telefónicamente
Tabla 4.26 Sospecho que existen programas o medios informáticos que intersecten mi comunicación vía email o telefónicamente
Frecuencia Porcentaje Porcentaje
válido Porcentaje acumulado
Ni de acuerdo ni en desacuerdo
2 6.67 6.67 6.67
De acuerdo 11 36.67 36.67 43.33
Totalmente de acuerdo
17 56.67 56.67 100.00
Total 30 100.00 100.00
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Gráfica 4.18 Sospecho que existen programas o medios informáticos que intersecten mi comunicación vía email o telefónicamente
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Interpretación.
En la tabla 4.26 y grafico 4.18, que corresponden al ítem 14, se puede observar que del 100% (30) de trabajadores encuestados, el 56.67% refieren como totalmente de acuerdo que sospecho que existen programas o medios informáticos que intersecten mi comunicación vía email o telefónicamente, y el 6.67% está Ni de acuerdo ni en desacuerdo. Por lo tanto se desprende que el 94.34% está de acuerdo y totalmente de acuerdo.
83
4.1.4.15. ITEM 15. En más de una ocasión he perdido información valiosa
Tabla 4.27 En más de una ocasión he perdido información valiosa
Frecuencia Porcentaje Porcentaje
válido Porcentaje acumulado
Totalmente en desacuerdo
2 6.67 6.67 6.67
Ni de acuerdo ni en desacuerdo
7 23.33 23.33 30.00
De acuerdo 15 50.00 50.00 80.00
Totalmente de acuerdo
6 20.00 20.00 100.00
Total 30 100.00 100.00
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Gráfica 4.19 En más de una ocasión he perdido información valiosa
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Interpretación.
En la tabla 4.27 y grafico 4.19, que corresponden al ítem 15, se puede observar que del 100% (30) de trabajadores encuestados, el 50.00% refieren como de acuerdo que en más de una ocasión he perdido información valiosa, y el 6.67% está totalmente en desacuerdo. Por lo tanto se desprende que el 70.00% está de acuerdo y totalmente de acuerdo.
84
4.1.4.16. ITEM 16. La mayoría de veces que he tenido problemas con mi información ha sido producto de un mal funcionamiento del sistema Tabla 4.28 La mayoría de veces que he tenido problemas con mi información ha sido producto de un mal funcionamiento del sistema
Frecuencia Porcentaje Porcentaje
válido Porcentaje acumulado
Totalmente en desacuerdo
6 20.00 20.00 20.00
En desacuerdo 2 6.67 6.67 26.67
Ni de acuerdo ni en desacuerdo
7 23.33 23.33 50.00
De acuerdo 9 30.00 30.00 80.00
Totalmente de acuerdo
6 20.00 20.00 100.00
Total 30 100.00 100.00
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Gráfica 4.20 La mayoría de veces que he tenido problemas con mi información ha sido producto de un mal funcionamiento del sistema
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Interpretación.
En la tabla 4.28 y grafico 4.20, que corresponden al ítem 16, se puede observar que del 100% (30) de trabajadores encuestados, el 30.00% refieren como de acuerdo que la mayoría de veces que he tenido problemas con mi información ha sido producto de un mal funcionamiento del sistema, y el 6.67% está en desacuerdo. Por lo tanto se desprende que el 50.00% está de acuerdo y totalmente de acuerdo.
85
4.1.4.17. ITEM 17. En alguna ocasión he sido culpable de la pérdida de mi información
Tabla 4.29 En alguna ocasión he sido culpable de la pérdida de mi información
Frecuencia Porcentaje Porcentaje
válido Porcentaje acumulado
En desacuerdo 1 3.33 3.33 3.33
Ni de acuerdo ni en desacuerdo
11 36.67 36.67 40.00
De acuerdo 5 16.67 16.67 56.67
Totalmente de acuerdo
13 43.33 43.33 100.00
Total 30 100.00 100.00
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Gráfica 4.21 En alguna ocasión he sido culpable de la pérdida de mi información
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Interpretación.
En la tabla 4.29 y grafico 4.21, que corresponden al ítem 17, se puede observar que del 100% (30) de trabajadores encuestados, el 43.33% refieren como de acuerdo que en alguna ocasión he sido culpable de la pérdida de mi información, y el 3.33% está en desacuerdo. Por lo tanto se desprende que el 60.00% está de acuerdo y totalmente de acuerdo.
86
4.1.4.18. ITEM 18. Acostumbro a cambiar constantemente mis contraseñas
Tabla 4.30 Acostumbro a cambiar constantemente mis contraseñas
Frecuencia Porcentaje Porcentaje
válido Porcentaje acumulado
En desacuerdo 1 3.33 3.33 3.33 Ni de acuerdo ni en desacuerdo
7 23.33 23.33 26.67
De acuerdo 17 56.67 56.67 83.33
Totalmente de acuerdo
5 16.67 16.67 100.00
Total 30 100.00 100.00
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Gráfica 4.22 Acostumbro a cambiar constantemente mis contraseñas
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Interpretación.
En la tabla 4.30 y grafico 4.22, que corresponden al ítem 18, se puede observar que del 100% (30) de trabajadores encuestados, el 56.67% refieren como de acuerdo que acostumbro a cambiar constantemente mis contraseñas, y el 3.33% está en desacuerdo. Por lo tanto se desprende que el 70.00% está de acuerdo y totalmente de acuerdo.
87
4.1.4.19. ITEM 19. Siempre me aseguro que la información que he enviado haya llegado a su destinatario
Tabla 4.31 Siempre me aseguro que la información que he enviado haya llegado a su destinatario
Frecuencia Porcentaje Porcentaje
válido Porcentaje acumulado
En desacuerdo 3 10.00 10.00 10.00 Ni de acuerdo ni en desacuerdo
11 36.67 36.67 46.67
De acuerdo 10 33.33 33.33 80.00
Totalmente de acuerdo
6 20.00 20.00 100.00
Total 30 100.00 100.00
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Gráfica 4.23 Siempre me aseguro que la información que he enviado haya llegado a su destinatario
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Interpretación.
En la tabla 4.31 y grafico 4.23, que corresponden al ítem 19, se puede observar que del 100% (30) de trabajadores encuestados, el 36.67% refieren como ni de acuerdo ni en desacuerdo que siempre me aseguro que la información que he enviado haya llegado a su destinatario, y el 10.00% está en desacuerdo. Por lo tanto se desprende que el 53.33% está de acuerdo y totalmente de acuerdo.
88
4.1.4.20. ITEM 20. El sistema de información de COMEXPERU me brinda información de manera oportuna
Tabla 4.32 El sistema de información de COMEXPERU me brinda información de manera oportuna
Frecuencia Porcentaje Porcentaje
válido Porcentaje acumulado
En desacuerdo 3 10.00 10.00 10.00
Ni de acuerdo ni en desacuerdo
5 16.67 16.67 26.67
De acuerdo 15 50.00 50.00 76.67
Totalmente de acuerdo
7 23.33 23.33 100.00
Total 30 100.00 100.00
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Gráfica 4.24 El sistema de información de COMEXPERU me brinda información de manera oportuna
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Interpretación.
En la tabla 4.32 y grafico 4.24, que corresponden al ítem 20, se puede observar que del 100% (30) de trabajadores encuestados, el 50.00% refieren como de acuerdo que el sistema de información de COMEXPERU me brinda información de manera oportuna, y el 10.00% está en desacuerdo. Por lo tanto se desprende que el 73.33% está de acuerdo y totalmente de acuerdo.
89
4.1.4.21. ITEM 21. El tiempo de respuesta que me ofrecen los sistemas de información en COMEXPERU es óptima Tabla 4.33 El tiempo de respuesta que me ofrecen los sistemas de información en COMEXPERU es óptima
Frecuencia Porcentaje Porcentaje
válido Porcentaje acumulado
Totalmente en desacuerdo
2 6.67 6.67 6.67
En desacuerdo 2 6.67 6.67 13.33
Ni de acuerdo ni en desacuerdo
6 20.00 20.00 33.33
De acuerdo 6 20.00 20.00 53.33
Totalmente de acuerdo
14 46.67 46.67 100.00
Total 30 100.00 100.00
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Gráfica 4.25 El tiempo de respuesta que me ofrecen los sistemas de información en COMEXPERU es óptima
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Interpretación.
En la tabla 4.33 y grafico 4.25, que corresponden al ítem 21, se puede observar que del 100% (30) de trabajadores encuestados, el 46.67% refieren como de acuerdo que el tiempo de respuesta que me ofrecen los sistemas de información en COMEXPERU es óptima, y el 6.67% está en desacuerdo. Por lo tanto se desprende que el 66.67% está de acuerdo y totalmente de acuerdo.
90
4.1.4.22. ITEM 22. El nivel de accesibilidad a mi información es adecuada
Tabla 4.34 El nivel de accesibilidad a mi información es adecuada
Frecuencia Porcentaje Porcentaje
válido Porcentaje acumulado
En desacuerdo 1 3.33 3.33 3.33
Ni de acuerdo ni en desacuerdo
9 30.00 30.00 33.33
De acuerdo 12 40.00 40.00 73.33
Totalmente de acuerdo
8 26.67 26.67 100.00
Total 30 100.00 100.00
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Gráfica 4.26 El nivel de accesibilidad a mi información es adecuada
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Interpretación.
En la tabla 4.34 y grafico 4.26, que corresponden al ítem 22, se puede observar que del 100% (30) de trabajadores encuestados, el 40.00% refieren como de acuerdo que el nivel de accesibilidad a mi información es adecuada, y el 3.33% está en desacuerdo. Por lo tanto se desprende que el 66.67% está de acuerdo y totalmente de acuerdo.
91
4.1.4.23. ITEM 23. Los sistemas de información de COMEXPERU me brindan información completa y exacta
Tabla 4.35 Los sistemas de información de COMEXPERU me brindan información completa y exacta
Frecuencia Porcentaje Porcentaje
válido Porcentaje acumulado
Ni de acuerdo ni en desacuerdo
8 26.67 26.67 26.67
De acuerdo 11 36.67 36.67 63.33
Totalmente de acuerdo
11 36.67 36.67 100.00
Total 30 100.00 100.00
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Gráfica 4.27 Los sistemas de información de COMEXPERU me brindan información completa y exacta
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Interpretación.
En la tabla 4.35 y grafico 4.27, que corresponden al ítem 23, se puede observar que del 100% (30) de trabajadores encuestados, el 36.67% refieren como totalmente de acuerdo que Los sistemas de información de COMEXPERU me brindan información completa y exacta, y el 26.67% está ni de acuerdo ni en desacuerdo. Por lo tanto se desprende que el 73.67% está de acuerdo y totalmente de acuerdo.
92
4.1.4.24. ITEM 24. Los sistemas de información de COMEXPERU conservan la integridad de mi información
Tabla 4.36 Los sistemas de información de COMEXPERU conservan la integridad de mi información
Frecuencia Porcentaje Porcentaje
válido Porcentaje acumulado
En desacuerdo 3 10.00 10.00 10.00
Ni de acuerdo ni en desacuerdo
6 20.00 20.00 30.00
De acuerdo 13 43.33 43.33 73.33 Totalmente de acuerdo
8 26.67 26.67 100.00
Total 30 100.00 100.00 Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Gráfica 4.28 Los sistemas de información de COMEXPERU conservan la integridad de mi información
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Interpretación.
En la tabla 4.36 y grafico 4.28, que corresponden al ítem 24, se puede observar que del 100% (30) de trabajadores encuestados, el 43.33% refieren como de acuerdo que los sistemas de información de COMEXPERU conservan la integridad de mi información, y el 10.00% está en desacuerdo. Por lo tanto se desprende que el 70.00% está de acuerdo y totalmente de acuerdo.
93
4.1.4.25. ITEM 25. El nivel de seguridad de la información dentro de COMEXPERU es alta
Tabla 4.37 El nivel de seguridad de la información dentro de COMEXPERU es alta
Frecuencia Porcentaje Porcentaje
válido Porcentaje acumulado
Ni de acuerdo ni en desacuerdo
8 26.67 26.67 26.67
De acuerdo 15 50.00 50.00 76.67
Totalmente de acuerdo
7 23.33 23.33 100.00
Total 30 100.00 100.00
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Gráfica 4.29 El nivel de seguridad de la información dentro de COMEXPERU es alta
Fuente: Elaboración Propia basado en la variable sistema de gestión de seguridad de la información (n=30)
Interpretación.
En la tabla 4.37 y grafico 4.29, que corresponden al ítem 25, se puede observar que del 100% (30) de trabajadores encuestados, el 50.00% refieren como de acuerdo que el nivel de seguridad de la información dentro de COMEXPERU es alta, y el 26.67% está ni de acuerdo ni en desacuerdo. Por lo tanto se desprende que el 73.33% está de acuerdo y totalmente de acuerdo.
94
4.1.5. Descripción metodológica de la matriz de análisis de riesgo
La metodología, las herramientas y los materiales usados,
están basados en la experiencia práctica real, que se obtuvo
a través de la investigación realizada en la Sociedad de
Comercio del Exterior del Perú.
La Matriz la basé en el método de Análisis de Riesgo con un
grafo de riesgo, usando la formula Riesgo = Probabilidad de
Amenaza x Magnitud de Daño.
La Probabilidad de Amenaza y Magnitud de Daño pueden
tomar los valores y condiciones respectivamente
1 = Insignificante (incluido Ninguna)
2 = Baja
3 = Mediana
4 = Alta
El Riesgo, que es el producto de la multiplicación Probabilidad
de Amenaza por Magnitud de Daño, está agrupado en tres
rangos, y para su mejor visualización, se aplica diferentes
colores.
Bajo Riesgo = 01 – 06 (verde)
Medio Riesgo = 08 – 09 (amarillo)
Alto Riesgo = 12 – 16 (rojo)
Tabla 4.38 Análisis de Riesgo promedio
Probabilidad de Amenaza
Criminalidad
y Político
Sucesos de
origen físico
Negligencia e
Institucional
Datos e
Información 6.00 8.30 8.00
Magnitud
de Daño
Sistemas e
Infraestructura 6.40 8.90 8.50
Personal 5.20 7.20 6.90
Fuente: Elaboración Propia basado en la matriz análisis de riesgo de
COMEXPERU
95
Gráfica 4.30 Análisis de factores de riesgo
Fuente: Elaboración Propia basado en la matriz análisis de riesgo de COMEXPERU
Interpretación.
En la tabla 4.38 y grafico 4.20, corresponden a la matriz de análisis de riesgo, se puede observar que el riesgo de (criminalidad y político) por (datos informáticos) es de 6.00 existe un bajo riesgo, el riesgo de (criminalidad y política) por (sistemas e infraestructura) es de 6.40 existe un bajo riesgo, el riesgo de (criminalidad y política) por (personal) es de 5.20 existe un bajo riesgo, el riesgo de (sucesos de origen físico) por (datos e información) es de 8.30 existe un medio riesgo, el riesgo de (sucesos de origen físico) por (sistemas e infraestructura) es de 8.90 existe un medio riesgo, el riesgo de (sucesos de origen físico) por (personal) es de 7.20 existe un medio riesgo, el riesgo de (negligencia e institucional) por (datos informáticos) es de 8.00 existe un medio riesgo, el riesgo de (negligencia e institucional) por (sistemas e infraestructura) es de 8.50 existe un medio riesgo y el riesgo (negligencia e institucional) por (personal) es de 6.90 existe un bajo riesgo.
96
5. CAPÍTULO V: CONCLUSIONES Y RECOMENDACIONES
5.1. CONCLUSIONES
Mediante la investigación realizada se pudo concluir que el nivel
de seguridad de la información del Sistema de Gestión de
Seguridad de la información en la Sociedad de Comercio Exterior
del Perú, se encuentra en nivel alto.
Mediante la investigación realizada se pudo concluir que el nivel
de Confidencialidad de la información del Sistema de Gestión de
Seguridad de la información en la Sociedad de Comercio Exterior
del Perú, se encuentra en un nivel alto.
Mediante la investigación realizada se pudo concluir que el nivel
de Integridad de la información del Sistema de Gestión de
Seguridad de la información en la Sociedad de Comercio Exterior
del Perú, se encuentra en un nivel alto.
Mediante la investigación realizada se pudo concluir que el nivel
de Disponibilidad de la información del Sistema de Gestión de
Seguridad de la información en la Sociedad de Comercio Exterior
del Perú, se encuentra en un nivel alto.
97
5.2. RECOMENDACIONES
Se recomienda a la Sociedad de Comercio Exterior del Perú,
seguir manteniendo estos niveles altos de seguridad en su
Sistema de Gestión de Seguridad de la información en mediante
capacitaciones constantes a su personal en temas de seguridad
de la información.
Se recomienda a la Sociedad de Comercio Exterior del Perú,
mantenerse a la vanguardia en su infraestructura tecnología para
poder seguir en estos estándares de niveles altos de Seguridad
de la información.
Se recomienda a la Sociedad de Comercio Exterior del Perú,
tener sus procedimientos y normativas actualizados para poder
seguir en estos estándares de niveles altos de Seguridad de la
información.
98
6. CAPÍTULO VI: FUENTES DE INFORMACIÓN
6.1. Fuentes Bibliográficas
HERMOSO AGIUS,J.C., HEREDERO, C.P., MARTÍ-ROMO ROMERO, S., MEDINA SALGADO, S., MONTERO NAVARRO, A., NÁJERA SÁNCHEZ, J.J.,(2006), Dirección y Gestión de los Sistemas de Información en la Empresa: Una visión integradora 2da Edición, Madrid – España, ESIC Editorial
GODOY LEMUS, Rodolfo, (2014), Seguridad de la Información. Revista de la Segunda Cohorte del Doctorado en Seguridad Estratégica, Primera Edición, diciembre. Universidad San Carlos de Guatemala.
AGUILERA LÓPEZ, Purificación, (2010). Seguridad Informática, Primera Edición, Madrid, España, Editorial Editex
SÁNCHEZ GARRETA, J.S., CHALMETA ROSALEN, R., COLTELL SIMÓN, O. (2003). Ingeniería de Proyectos Informáticos: actividades y procedimientos. Castelló de la Plana, Universitat Jaume I
CORLETTI ESTRADA, Alejandro, (2011), Seguridad por Niveles, Madrid – España, Darfe Learning Consulting. S.L.
PALLAS MEGA, Gustavo. (2009). Metodología de Implantación de un SGSI en un grupo empresarial jerárquico. Uruguay, Universidad de la República.
Tecnología de la Información – Técnicas de seguridad – Sistema de Gestión de Seguridad de la Información – Requerimientos. Estándar Internacional ISO/IEC 27001, Primera Edición 2005
BARRA MOSCOSO, Adolfo Aníbal. (2012), Propuesta Diseño de Proceso y Sistema de Gestión de Seguridad de Una Entidad Prestadora de Servicios De Certificación. Santiago de Chile Universidad de Chile.
AGUIRRE CARDONA & ARISTIZABAL BETANCOURT. (2012) Propuesta Diseño del sistema de gestión de seguridad de la información para el grupo empresarial la OFRENDA, Pereira - Colombia, Universidad Tecnológica de Pereira.
GAVILANES PILCO, Verónica Isabel. (2011).Propuesta Elaborar una Metodología Aplicando la Norma ISO/IEC 27001 en la Implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) en el Desitel de la Espoch, Riobamba – Ecuador. Escuela Superior Politécnica de Chimborazo.
CONDORI ALEJO, Henry Iván, (2012). Propuesta Un Modelo de Evaluación de Factores Críticos de Éxito en la Implementación de la
99
Seguridad en Sistemas de Información para determinar su influencia en la intención del usuario, Lima – Perú. Universidad Inca Garcilaso de la Vega.
ESPINOZA AGUINAGA, Hans Ryan. (2013) Propuesta Análisis y diseño de un sistema de gestión de seguridad de información basado en la norma ISO/IEC 27001:2005 para una empresa de producción y comercialización de productos de consumo masivo, Lima – Perú. Pontificia Universidad Católica del Perú.
LA CRUZ GUERRERO Y VASQUEZ MONTENEGRO, (2008). Elaboración y aplicación de un sistema de gestión de la seguridad de la información (SGSI) para la realidad tecnológica de la USAT, Chiclayo – Perú. Universidad Católica Santo Toribio de Mogrovejo.
Oficina Nacional de Gobierno Electrónico ONGEI. Norma Técnica Peruana. NTP – ISO/IEC: 27001-2008, Perú. 2014.
http://www.ongei.gob.pe/docs/isoiec27001.pdf
Tecnología de la Información – Técnicas de seguridad – Sistemas de gestión de seguridad de la información – Requerimientos, Estándar Internacional ISO/IEC: 27001 Primera Edición 2005.
https://mmujica.files.wordpress.com/2007/07/iso-27001-2005-espanol.pdf
100
ANEXOS
1. Matriz de consistencia 2. Instrumento para la toma de datos 3. Glosarios 4. Juicio de expertos 5. Matriz de análisis de riesgo
101
GLOSARIO
Amenaza: Es la posibilidad de ocurrencia de cualquier tipo de evento o acción que puede producir daño (material o inmaterial) sobre los elementos (activos, recursos) de un sistema.
Ataque: Es una amenaza que se convirtió en realidad, es decir cuando un evento se realizó. No dice nada si o no el evento fue exitoso.
Autenticidad: La legitimidad y credibilidad de una persona, servicio o elemento debe ser comprobable.
Confidencialidad: Datos solo pueden ser legibles y modificados por personas autorizados, tanto en el acceso a datos almacenados como también durante la transferencia de ellos.
Disponibilidad: Acceso a los datos debe ser garantizado en el momento necesario. Hay que evitar fallas del sistema y proveer el acceso adecuado a los datos.
Elementos de Información: También “Activos” o “Recursos” de una institución que requieren protección, para evitar su perdida, modificación o el uso inadecuado de su contenido, para impedir daños para la institución y las personas que salen en la información. Se distingue y divide tres grupos, a) Datos e Información, b) Sistemas e Infraestructura y c) Personal.
Gestión de Riesgo: Método para determinar, analizar, valorar y clasificar el riesgo, para posteriormente implementar mecanismos que permitan controlarlo. Está compuesta por cuatro fases: 1) Análisis, 2) Clasificación, 3) Reducción y 4) Control de Riesgo.
Integridad: Datos son completos, non-modificados y todos los cambios son reproducibles (se conoce el autor y el momento del cambio).
Seguridad Informática: Procesos, actividades, mecanismos que consideran las características y condiciones de sistemas de procesamiento de datos y su almacenamiento, para garantizar su confidencialidad, integridad y disponibilidad.
Vulnerabilidad: Son la capacidad, las condiciones y características del sistema mismo (incluyendo la entidad que lo maneja), que lo hace susceptible a amenazas, con el resultado de sufrir algún daño.
