LA NORMA TECNICA PERUANA ISO/IEC 27001:2008 Y LA SEGURIDAD DE LA INFORMACION
-
Upload
edwin-torre -
Category
Documents
-
view
45 -
download
1
description
Transcript of LA NORMA TECNICA PERUANA ISO/IEC 27001:2008 Y LA SEGURIDAD DE LA INFORMACION
UNIVERSIDAD NACIONAL DE UCAYALI
ESCUELA DE POSGRADO
Maestría en Ingeniería de Sistemas
Mención: Gestión de Tecnologías de Información
Proyecto de tesis:
“LA NORMA TECNICA PERUANA ISO/IEC 27001:2008Y LA SEGURIDAD DE LA INFORMACION EN PECOR”
TESISTA: EDWIN TORRE SUÁREZ
Pucallpa – Perú
2012
Tabla de contenido
I. PROBLEMA DE INVESTIGACIÓN ................................................................................. 6
1.1. Descripción del problema..................................................................................6
1.2. Formulación del problema ....................................................................................... 8
1.2.1. Problema general ......................................................................................... 8
1.2.2. Problemas específicos ................................................................................ 8
1.3. Objetivos .................................................................................................................... 9
1.3.1. Objetivo general .......................................................................................... 9
1.3.2. Objetivos específicos................................................................................. 9
1.4. Hipótesis ................................................................................................................. 10
1.4.1. Hipótesis general....................................................................................... 10
1.4.2. Hipótesis específicos ............................................................................... 10
1.5. Variables ................................................................................................................. 10
1.5.1. Variable independiente............................................................................ 10
1.5.2. Variable dependiente ............................................................................... 10
1.5.3. Variable interviniente............................................................................... 10
1.5.4. Unidad de análisis .................................................................................... 11
1.6. Operacionalización de las variables................................................................ 11
1.7. Justificación e importancia................................................................................ 12
1.8. Viabilidad ................................................................................................................ 15
1.9. Limitaciones........................................................................................................... 16
1.10. Delimitación ........................................................................................................... 16
II. MARCO TEÓRICO ........................................................................................................... 17
2.1. Antecedentes ......................................................................................................... 17
2.2. Bases teóricas ....................................................................................................... 29
2.3. Definiciones conceptuales................................................................................. 39
2.4. Bases epistémicos ............................................................................................... 41
III. METODOLOGIA ............................................................................................................... 41
3.1. Tipo de investigación .......................................................................................... 41
3.2. Nivel de investigación ......................................................................................... 42
3.3. Método de investigación..................................................................................... 42
3.4. Diseño y esquema de la investigación ........................................................... 42
3.5. Población y muestra ............................................................................................ 43
3.6. Definición operativa de los instrumentos de recolección de datos. .............. 44
3.7. Técnicas de recojo, procesamiento y presentación de datos......................... 45
3.8. Diseño estadístico: validación de hipótesis ........................................................ 45
IV. CRONOGRAMA ............................................................................................................... 47
V. PRESUPUESTO ............................................................................................................... 48
5.1. Potencial humano ................................................................................................... 48
5.2. Recursos materiales............................................................................................... 48
5.3. Recursos financieros .............................................................................................. 48
VI. REFERENCIAS BIBLIOGRAFICAS ............................................................................. 49
ANEXOS
Lista de figuras
Figura 1. Organigrama del PECOR……………………………………………………………. 8Figura 2. Modelo PDCA aplicado al proceso ISMS…………….……………………………. 32
Lista de diagramas
Diagrama 1: Cuadro con cronograma de acciones ………………………………………….. 47
Lista de cuadros
Cuadro 1. Presupuesto de recursos humanos....................................................................48Cuadro 2. Presupuesto de materiales.................................................................................48Cuadro 3. Resumen de presupuestos ................................................................................48
Lista de anexo
Anexo 1: Matriz de consistencia. ........................................................................................50Anexo 2: Matriz de Operacionalización de Variables …………………………………….….. 51
Lista de tablas
Tabla 1.Indicadores del sistema de gestión de seguridad de la información ........... 11Tabla 2.Indicadores de la seguridad de la información ............................................................ 11
6
I. PROBLEMA DE INVESTIGACIÓN
1.1. Descripción del problema
La empresa PECOR es un proyecto especial que se encarga de reducir el
espacio cocalero a nivel nacional, con la finalidad de contribuir a la
interrupción del ciclo de producción de drogas ilícitas.
El Proyecto Especial PECOR, es un organismo creado en el Perú para
controlar y reducir el espacio cocalero (DS. Nº 043-82-AG), desde su
creación (1982) hasta diciembre del año 2010, ha erradicado 142,102.64
has de plantaciones de coca ilegales y excedentes. Paralelamente, en
toda su trayectoria institucional, ha eliminado 1’523,322.67 m2 de
almácigos que hubiesen dado origen a 101,554.82 has de nuevas
plantaciones de coca.
El desarrollo de los trabajos de reducción del espacio cocalero implica que
los integrantes del PECOR y PNP afronten riesgos, como:
Enfrentamientos con los cocaleros y población aledaña a los
cultivos ilegales de coca, propiciados por personas interesadas en
ganar espacios políticos, a través de infundados reclamos sociales.
Atentados por parte de agricultores cocaleros, traficantes de drogas
ilícitas y/o delincuentes terroristas, mediante el empleo de armas de
fuego, artefactos explosivos, lanzadoras de piedra (hondas de jebe
y huaracas), objetos de ataque directo (palos con púas y/o clavos,
machetes) y/o colocación de minas y tramperos.
7
Campañas comunicacionales contra la imagen de las instituciones,
por parte de cocaleros y traficantes de drogas ilícitas, manipulando
información carente de veracidad sobre temas como: excesiva
violencia policial, muertes y heridos inexistentes, empleo de
químicos y hongos en el proceso de erradicación, fracaso del
Programa de Desarrollo Alternativo (PDA) y de la política de
erradicación, daño a sus viviendas y cultivos, entre otros; con la
finalidad de generar confusión en la opinión pública.
Teniendo en cuenta que el PECOR para realizar sus actividades cuenta
con bastante información sensible relacionada a sus operativos de campo
y otras actividades que pueden ser de utilidad para que un atacante
externo relacionado con los riesgos antes mencionados, pueda perpetrar
un atentado contra ellos.
Al mismo tiempo también existe el riesgo de ataques internos ya que
siempre queda abierta la posibilidad de un ataque realizado por un
trabajador disconforme. Un ataque simple puede originar daños
catastróficos a la institución si es que no cuenta con controles que
mitiguen la probabilidad de ocurrencia de estos. Es en este punto, aunque
actualmente en PECOR existen algunos controles de seguridad de la
información, estos son insuficientes, por lo tanto surge la necesidad de
contar con un Sistema de Gestión de Seguridad de la Información para
mitigar, no solo distintas modalidades de ataques, sino también casos de
fuga de información, modificación indebida, entre otros casos que pueden
realizarse, brindando un nivel aceptable de seguridad.
8
Figura 1. Organigrama del PECOR
1.2. Formulación del problema
1.2.1. Problema general
¿De qué manera la Norma Técnica Peruana ISO/IEC 27001:2008
mejora la seguridad de la información en PECOR?
1.2.2. Problemas específicos
1. ¿Cuáles son las principales áreas o procesos de PECOR donde
existen riesgos de seguridad de la información?
2. ¿Cómo aplicamos la Norma Técnica Peruana ISO/IEC
27001:2008 en PECOR?
9
3. ¿Cuál es el grado de asociación y correlación entre la Norma
Técnica Peruana ISO/IEC 27001:2008 y la seguridad de la
información en PECOR?
4. ¿En qué medida la Norma Técnica Peruana ISO/IEC 27001:2008
mejora la seguridad de la información en PECOR?
1.3. Objetivos
1.3.1. Objetivo general
Determinar como la Norma Técnica Peruana ISO/IEC 27001:2008
mejora la seguridad de la información en PECOR.
1.3.2. Objetivos específicos
1. Identificar las principales áreas o procesos de PECOR donde
existe riesgos de seguridad de la información.
2. Aplicar la Norma Técnica Peruana ISO/IEC 27001:2008 para
mejorar la seguridad de la información en PECOR.
3. Medir el grado de correlación entre la Norma Técnica Peruana
ISO/IEC 27001:2008 y la seguridad de la información en
PECOR.
4. Proponer un Sistema de Gestión de Seguridad de la Información
basado en la Norma Técnica Peruana ISO/IEC 27001:2008 que
mejore la seguridad de la información en PECOR.
10
1.4. Hipótesis
1.4.1. Hipótesis General
“La Norma Técnica Peruana ISO/IEC 27001:2008 mejora la
seguridad de la información en la empresa PECOR”.
1.4.2. Hipótesis específicos
“Es posible identificar las principales áreas o procesos de
PECOR donde exista riesgos de seguridad de la información”.
“Es necesario aplicar la Norma Técnica Peruana ISO/IEC
27001:2008 en PECOR”.
“La Norma Técnica Peruana ISO/IEC 27001:2008 posee un
grado de asociación y correlación con la seguridad de la
información en PECOR”
“Es posible diseñar un Sistema de Gestión de Seguridad de la
Información basado en la Norma Técnica Peruana ISO/IEC
27001:2008 que mejore la seguridad de la información en
PECOR”.
1.5. Variables
1.5.1. Variable independiente
Norma Técnica Peruana ISO/IEC 27001:2008.
1.5.2. Variable dependiente
Seguridad de la información.
1.5.3. Variable interviniente
PECOR.
11
1.5.4. Unidad de análisis
Áreas o procesos de PECOR.
1.6. Operacionalización de las variables
Tabla 1.Indicadores del Sistema de Gestión de Seguridad de laInformación
Dimensiones Indicadores
Plan No. de objetivos estratégicos
No. Factores críticos de éxito
No. Factores claves de éxito
Hacer No. objetivos estratégicos ejecutados
Revisar Nº total de incidencias
Tiempo de absolución de incidencias
Acción No. de objetivos alcanzados
Nº de áreas o procesos atendidos
Tabla 2.Indicadores de la seguridad de la información
Dimensiones Indicadores
Confidencialidad Número de accesos no autorizados
Número de revelaciones no autorizadas
Integridad Número de modificaciones no autorizadas
Disponibilidad Número de documentos no disponibles
Tiempo de respuesta para consulta de
información
12
1.7. Justificación e importancia
1.7.1. Justificación teórica
Para PECOR, la información es un activo vital para el éxito y la
continuidad de sus operaciones en general y específicamente en
sus operaciones de campo para alcanzar eficientemente sus
objetivos y metas institucionales. El aseguramiento de dicha
información y de los sistemas que la procesan es, por tanto, un
objetivo de primer nivel para la institución. Para la adecuada
gestión de la seguridad de la información, es necesario implantar
un sistema que aborde esta tarea de una forma metódica,
documentada y basada en unos objetivos claros de seguridad y una
evaluación de los riesgos a los que está sometida la información de
la institución. Actualmente en PECOR existe una necesidad muy
grande de asegurar la información por medio del desarrollo e
implantación de un SGSI que garanticen la integridad, confiabilidad
y disponibilidad de la misma.
La seguridad de la información, según la Norma Técnica Peruana
ISO/IEC 27001:2008 (1), consiste en la preservación de su
confidencialidad, integridad y disponibilidad, así como de los
sistemas implicados en su tratamiento, dentro de una organización.
Estos tres términos constituyen la base sobre la que se cimienta
todo el modelo de seguridad de la información:
• Confidencialidad: la información no se pone a disposición ni se
revela a individuos, entidades o procesos no autorizados.
13
• Integridad: mantenimiento de la exactitud y completitud de la
información y sus métodos de proceso.
• Disponibilidad: acceso y utilización de la información y los
sistemas de tratamiento de la misma por parte de los individuos,
entidades o procesos autorizados cuando lo requieran.
1.7.2. Justificación práctica
Al aplicar la Norma Técnica Peruana ISO/IEC 27001:2008 en
PECOR, permitirá en primer lugar, obtener una reducción de
riesgos debido al establecimiento y seguimiento de controles sobre
ellos. Con ello se logrará reducir las amenazas hasta alcanzar un
nivel asumible. De este modo, si se produce una incidencia, los
daños se minimizan y la continuidad del negocio estará asegurada.
En segundo lugar, se producirá un ahorro de costes derivado de
una racionalización de los recursos. Se eliminan los gastos
innecesarios e ineficientes como las producidas por desestimar o
sobrestimar riesgos.
En tercer lugar, la seguridad será considerada un sistema y se
convierte en una actividad de gestión. La seguridad dejará de ser
un conjunto de actividades más o menos organizadas y pasará a
transformarse en un ciclo de vida metódico y controlado, en el que
participará toda la organización.
14
En cuarto lugar, la organización se asegura el cumplimiento del
marco legal que protege a la empresa de aspectos que
probablemente no se habían tenido en cuenta anteriormente.
Por último, pero no por ello menos importante, la certificación del
Sistema de Gestión de Seguridad de la Información contribuirá a
mejorar la competitividad, haciéndola más fiable e incrementando
su imagen institucional.
1.7.3. Justificación metodológica
La aplicación de la Norma Técnica Peruana ISO/IEC 27001:2008
en PECOR para diseñar un Sistema de Gestión de la Seguridad de
la Información constituye una herramienta importante para
potenciar a la institución a que logre un adecuado posicionamiento
en el corto plazo, la consecución de sus objetivos y cumplimiento
de las normas legales relacionados con la seguridad de la
información.
La metodología en el diseño del SGSI que se aplica permite lograr
un diagnóstico actual del entorno, diseñar y aplicar estrategias y
finalmente proyectar a la empresa en el futuro inmediato.
1.7.4. Importancia
La importancia de realizar una propuesta de una plataforma para la
implementación de la Norma Técnica Peruana ISO/IEC
27001:2008, surge de la necesidad de la mejora continua para
15
PECOR, así como también lograr un mejor funcionamiento y
eficiencia en el manejo de la información.
La relevancia de esta investigación se centra en el aspecto de las
cualidades y características de la información o activos que maneja
PECOR, los cuales son de tipo planificación operativa, gestión
financiera, asuntos legales, adquisiciones y manejo de personal; es
de suma importancia establecer una estrategia de seguridad, que
combata y disminuya las vulnerabilidades y amenazas de éstos.
Esta investigación busca demostrar la importancia de aplicar
estándares para la seguridad de la información en todo tipo de
organizaciones. También resalta la importancia de sistematizar
varias actividades propias de las Tecnologías de Información
relacionados con las seguridad de la información (auditoria técnica
de la plataforma TI, sistema de detección de intrusos, análisis de
vulnerabilidades, inventario de activos, control de accesos, etc.)
1.8. Viabilidad
Este proyecto es viable puesto que brinda un aporte a la gestión de las
Tecnologías de Información y a su vez cumple con los lineamientos
establecidos en el reglamento de la Escuela de Postgrado de la
Universidad Nacional de Ucayali.
16
1.9. Limitaciones
No existe un estudio previo o investigación previa relacionada con el tema
a nivel de PECOR, esto restringe la posibilidad de desarrollo de una
investigación de campo a nivel institucional.
1.10. Delimitación
La investigación se desarrollará en las áreas o procesos de PECOR
ubicados en la ciudad de Pucallpa.
17
II. MARCO TEÓRICO
2.1. Antecedentes
1. Tesis: “Factores inhibidores en la implementación de sistemas
de gestión de la seguridad de la información basado en la NTP-
ISO/IEC 17799 en la administración pública” para optar el grado
académico de Magíster en Dirección y Gestión de Tecnologías de
Información, presentado por Alipio Mariño Obregón en la Universidad
Nacional Mayor de San Marcos; Facultad de Ingeniería de Sistemas
e Informática - Unidad de Postgrado, Lima - Perú 2010. Cuyo
objetivo específico es: “El propósito de la presente investigación es
realizar un análisis cuantitativo de las causas o factores inhibidores
que han influido en el bajo nivel de implantación de la Norma Técnica
NTP-ISO/IEC 17799 Código de buenas prácticas para la gestión de
la seguridad de la información en las Entidades del Sistema Nacional
de Informática”. Como resultado o aporte de esta investigación
tenemos lo siguiente: “…se confirma, de acuerdo al análisis que la
Seguridad de la información no está comprendido dentro del proceso
de planificación estratégica que realizan dichas Instituciones y por lo
tanto no constituye un objetivo estratégico dentro de las instituciones
estudiadas, no hay una plan establecido a nivel estratégico para la
seguridad de la Información. En consecuencia no hay metas y
objetivos concretos a este nivel que se puedan reflejar con
consistencia en el Plan Operativo y Presupuesto Institucional, como
además; manda la Ley 28411 Ley General del Sistema Nacional de
18
Presupuesto, el cual señala claramente que el presupuesto
Institucional se debe articular con el Plan Estratégico Institucional y
que éste a su vez con el Plan Operativo Institucional (POI), de cada
Institución…. no hay, un entendimiento claro sobre la
responsabilidad global de la seguridad de la información dentro de la
Institución, lo cual se refleja en que el nivel de liderazgo para la
implementación mayormente descansa en los gerentes o jefes de
Área de Informática y sin el compromiso de la alta dirección, con un
enfoque de seguridad informática más que a la Seguridad de la
Información. Por las razones expuestas, esta investigación, ha
determinado que el bajo nivel alcanzado en la implementación de la
Norma de Seguridad en los Organismos Públicos Descentralizados
Adscritos a la PCM tiene como causa principal el hecho de que la
Seguridad de la Información a pesar de formar parte de los objetivos
estratégicos del plan de acción de la Agenda Digital Peruana,
objetivo No. 5 desarrollo de Gobierno Electrónico, estrategia 5.1,
acción No 6 “Desarrollo de un plan de seguridad de la información
para el sector público”, y declarado obligatorio por resolución
ministerial de la PCM desde el año 2004, no ha sido incorporado en
el planeamiento estratégico de cada una de las Instituciones , no
forma parte del conjunto de objetivos estratégicos del mismo y como
consecuencia no se garantiza las metas presupuestarias
correspondientes, dificultando la ejecución de los planes de corto,
mediano y largo plazo del proyecto de implementación de la Norma”.
19
2. Tesis: “Diseño de un sistema de gestión de seguridad de
información para una compañía de seguros” para optar el título
de ingeniero informático, presentado por Carlos Enrique Ampuero
Chang en la Pontificia Universidad Católica del Perú, abril 2011.
Cuyo objetivo es: “Utilizar estándares y buenas prácticas
reconocidos mundialmente para poder desarrollar cada una de las
etapas del diseño del Sistema de Gestión de Seguridad de
Información (SGSI) y así poder tener una base que se pueda
implementar en cualquier compañía de seguros”. Como resultado o
aporte de esta investigación tenemos lo siguiente: “Con un SGSI
como el expuesto en la tesis se pueden solucionar los siguientes
problemas:
• Cumplir con la normativa impuesta por la SBS (la circular G140)
para todas las compañías de seguros que operen en territorio
peruano.
• Brindar un nivel aceptable de seguridad con relación a la
información que maneja la empresa, evitando incidentes que
puedan afectar en la operativa diaria de la misma.
• Contar con un modelo que se amolde al paso del tiempo y se
pueda actualizar siempre, debido a las revisiones periódicas a
las que se ve sujeto el SGSI”.
3. Tesis: “Propuesta de Políticas de Seguridad de la Información
para el Sistema SIABUC” para obtener el grado de Maestra en
20
Tecnologías de la Información, presentada por Amalia Flores Muñoz,
en la Universidad de COLIMA en la facultad de Telemática, Colima,
Col; junio de 2009.
Cuyo objetivo es: “Proponer un esquema de políticas de seguridad
de la información del acervo bibliográfico electrónico del sistema
SIABUC de la Universidad de Colima alineado a estándares
internacionales”. Como resultado o aporte de esta investigación
tenemos lo siguiente: “Por lo anteriormente citado es necesario
estudiar las medidas que se toman para proteger la información en el
sistema SIABUC que utiliza la Universidad de Colima. Esto llevará a
la concientización y la implantación de políticas, controles y
procedimientos que eviten la divulgación de la información de forma
inadecuada. Esto también permitirá que otras áreas de la
Universidad tomen medidas similares para proteger su información”.
4. Tesis: “Metodología de Implantación de un SGSI en un grupo
empresarial jerárquico” para optar el grado de maestría en
ingeniería en computación, presentado por Gustavo Pallas Mega en
la Universidad de la República, facultad de ingeniería, Montevideo,
Uruguay Diciembre 2009. Trabajo donde el “El propósito es dar
lineamientos metodológicos, de aplicación sistemática para el
diseño, implantación, mantenimiento, gestión, monitoreo y evolución
de un SGSI según la norma ISO 27.001, para una empresa
perteneciente a un grupo empresarial, la cual además está
21
subordinada con respecto a una empresa principal del grupo.
Además se ilustra con un Caso de Estudio, los principales aspectos
de aplicación de la misma”. Como resultado de esta investigación
tenemos lo siguiente: “Este trabajo aporta una metodología con esta
concepción de enfoque global y sistémico, atendiendo a la
pertenencia de la empresa a un grupo empresarial, y a su vez
pragmático, a los efectos que la misma sea, no sólo viable, sino
conveniente y efectiva, dando una estructura u organigrama para
lograr la coordinación necesaria y especificando los procedimientos
que deben cumplirse en cada fase, promoviendo no sólo la
reutilización y coherencia integral de la seguridad sino también
fomentando la sinergia entre las empresas del grupo … en referencia
a la estrategia de análisis y gestión de riesgos así como de
planificación, implementación y seguimiento del SGSI, proponemos
un enfoque mixto, de dirección centralizada pero con la autonomía
necesaria a nivel de cada dominio y cada empresa,
fundamentalmente en la gestión de controles y en la percepción del
impacto de los riesgos locales. Esto permitirá aunar criterios y
optimizar recursos cuando los riesgos deban afrontarse en forma
conjunta”.
5. Tesis: “Formulación de un modelo electrónico y una
metodología que permitan diseñar, implantar y mantener un
plan de sistema de gestión de seguridad de la información para
pymes: e-SGSI”, para optar al grado de magister en seguridad
22
informática y protección de información, presentado por Eric José
Donders Orellana en la Universidad Central de Chile - Facultad de
Ciencias Físicas y Matemáticas, Santiago, Región Metropolitana,
Chile 2010. Cuyo objetivo es: “Disminuir los tiempos y costos de
Implementación de un Sistema de Gestión de Seguridad de la
información para las PYMES en el mediano plazo, en conformidad
con la norma ISO 27001 y dar cumplimiento a las mejores prácticas
según lo establecido en la norma ISO 27002”. Como resultado o
aporte de esta investigación tenemos lo siguiente: “La metodología
propuesta es aplicable, es decir, permite implantar un SGSI en la
PYME. El uso de la plataforma e-SGSI en su calidad de prototipo
permiten en forma efectiva acortar los tiempos y costos de implantar
un SGSI en la PYME”.
6. Tesis: “Evaluación de procedimientos de seguridad de la
información utilizando ISO 27002 y COBIT”, presentado por
Giuliana Jakeline García Paredes y Verónika Yaneth Guillén
Camarena, para optar el título profesional de Ingeniero de Sistemas
en la Universidad Nacional Mayor de San Marcos, Facultad de
Ingeniería de Sistemas e Informática, E.A.P. de Ingeniería de
Sistemas, Lima - Perú 2009.
Cuyo objetivo es “Establecer el nivel de madurez de los
procedimientos de seguridad de la información aplicando una
metodología y proponiendo indicadores tomando como base ISO
23
27002 y COBIT”. El aporte de esta investigación según las
conclusiones de la misma, es lo siguiente: “Tomando en cuenta
todas estas características y basándonos en el mapa del nivel de
madurez establecido por COBIT, podemos concluir que al momento
de iniciar con la metodología planteada este procedimiento se
encontraba en el nivel de madurez 2: Repetible pero Intuitivo.
Al implantar los cambios propuestos en los procedimientos y
tomando como base los objetivos de control de la norma ISO 27002
para el caso de PetroAmérica se obtuvieron resultados que
demuestran que existe una mejora en los procesos, lo cual se ve
reflejado en los resultados obtenidos en el primer trimestre del año
2009 y la visible ayuda en la toma de decisiones y oportunidades de
mejora. Debemos tener en cuenta que la metodología implantada
seguirá un ciclo continuo (PDCA) ya que siempre ocurrirán
oportunidades de cambio.
Para implantar esta metodología sobre la base de la norma
ISO27002 se debe tener pleno conocimiento de cómo se llevan a
cabo los procesos en el área o áreas involucradas, así como contar
con el visto bueno de los jefes de área o en su defecto de la alta
gerencia y el apoyo del personal de TI para reducir costos y tiempo”.
7. Tesis: “Sistema de Gestión de Seguridad de Información para
una Institución Financiera”, presentado por Moisés Antonio Villena
24
Aguilar, para optar el título de ingeniero informático en la Pontificia
Universidad Católica del Perú, Lima 2006.
Cuyo objetivo es: “… establecer los principales lineamientos para
poder implementar de manera exitosa, un adecuado modelo de
sistema de gestión de seguridad de información (SGSI) en una
institución financiera en el Perú, el cual apunte a asegurar que la
tecnología de información usada esté alineada con la estrategia de
negocio y que los activos de información tengan el nivel de
protección acorde con el valor y riesgo que represente para la
organización”. El aporte de esta investigación según las conclusiones
de la misma es: “… para implantar una adecuada gestión de
seguridad de información en una institución financiera, el primer paso
es obtener el apoyo y soporte de la alta gerencia, haciéndolos
participes activos de lo que significa mantener adecuadamente
protegida la información de la institución financiera. Al demostrarles
lo importante que es la protección de la información para los
procesos de negocio, se debe esperar de la alta gerencia su
participación continua”.
8. Tesis: “Sistema de Gestión de Seguridad de la Información
(SGSI) para mejorar la Seguridad de la Información en la
Realidad Tecnológica de la USAT - 2008”, presentado por Cesar
Wenceslao De la Cruz y Juan Carlos Vásquez Montenegro para
optar el título profesional de licenciado en Ingeniería de Sistemas y
25
Computación en la Universidad Católica Santo Toribio de Mogrovejo,
Chiclayo Perú 2008.
Cuyo objetivo es: “Realizar un diagnóstico de la situación actual de la
seguridad de información en la USAT. Analizar y comprender la
seguridad de los sistemas de información dentro de la USAT.
Evaluar las áreas encargadas del cuidado y distribución de la
información a través de una metodología de trabajo con encuestas,
cuestionarios, entrevistas y otros. Identificar, a través del análisis de
riesgo, los puntos fuertes y débiles de los sistemas de información
(Tecnología de información y comunicaciones)”. El aporte de esta
investigación según las conclusiones de la misma es: “Concluimos
dando respuesta a una de las preguntas que nos planteábamos al
principio, nuestro SGSI ¿nos ayudará a gestionar nuestra
seguridad?, ahora una vez finalizado nuestro proyecto, damos como
respuesta una afirmación. SI nos ayuda a gestionar nuestra
seguridad siempre y cuando tengamos en cuenta las siguientes
pautas que creemos que son la columna vertebral de todo Sistema
de Gestión de seguridad de la Información y que fueron las que
trabajamos meticulosamente:
Primera Pauta: Saber qué información tienen las áreas involucradas
en el proyecto y donde se encuentra.
Segunda Pauta: Saber el valor de la información que tienen y las
dificultades de volverla a crear si se daña, pierde.
26
Tercera Pauta: Saber quiénes están autorizados para acceder a la
información y qué pueden hacer con ella.
Puesto que al iniciar nuestro proyecto, sin tener muy claro lo que se
pretendía lograr se nos mostraron estas pautas aparentemente
simples de alcanzar; sin embargo, este desarrollo es un poco
tedioso, pero a la vez satisfactorio, ya que, las respuestas nos
permitieron el diseño e implementación de nuestro proyecto”.
9. Tesis: “Formulación de un Plan de Seguridad de Información
aplicando las normas ISO 27001 y 27002, para mejorar la
Seguridad de la Información en la gestión financiera de la Caja
Sipán: un caso de aplicación de la metodología MAGERIT
utilizando el software Pilar 4.2.”, presentado por Ana Pilar de Jesús
Maco Chonate para optar el título profesional: Ingeniero de Sistemas
y Computación en la Universidad Católica Santo Toribio de
Mogrovejo, Chiclayo Perú 2006.
Cuyo objetivo es: “Mejorar la seguridad de la información en la Caja
Sipán, a través de la aplicación de las normas ISO 27001 y 27002,
utilizando la Metodología Magerit y una herramienta tecnológica”. El
aporte de esta investigación según las conclusiones de la misma es:
“…se concluye que mediante la adecuada implementación del plan
de seguridad basado en normas ISO 27001 y 27002 usando la
metodología MAGERIT se logró incrementar la seguridad en las
políticas de seguridad de la Empresa Sipán como muestran los
27
siguientes indicadores: En el caso de los trabadores del área de
tecnología de información de la Caja Sipán, se obtuvo
estadísticamente un cambio de valor significativo en cuanto su
conocimiento sobre la existencia de un comité de seguridad de la
información en un 14%, el conocimiento sobre la existencia de
sanciones para aquellos usuarios que infrinjan las políticas de
seguridad de la información de la Caja Sipán creció en un 43%, la
importancia de la existencia de un registro de todos aquellos
inconvenientes que se presentan tanto con el software o hardware
aumento en un 100%, sobre la observación de algún trabajador que
haya ingerido líquidos o alimentos cuando se encuentra trabajando
con algún equipo informático disminuyo en un 29%, por último la
opinión de la Caja Sipán si está en condiciones frente a algún
desastre humano creció en un 71% . Por otro lado los trabajadores
externos al área de tecnología de información de la Caja Sipán,
Como se observa en los resultados obtenidos, en las encuestas
realizadas a los trabajadores externos al área de tecnología de
información de la Caja Sipán, que estadísticamente existe una
diferencia significativa en un antes y después, en cuanto a: el
conocimiento de la existencia de un comité de seguridad de la
información, se dio un cambio porcentual de un 8%, al igual que se
obtuvo sobre sus conocimientos de la existencia de la
documentación de las políticas de seguridad de la información con
un cambio porcentual de 82%, otro punto que también tuvo una
28
diferencia significativa fueron, el compartimiento de sus claves el
50% cambio de manera de pensar.
Si se presentó algún un conveniente con su software presentaron
este al área encargada 22%, la percepción de capacitaciones para
cualquier desastre humano o natural aumentó en un 83% y la
observación de algún trabajador que ha ingerido líquidos o alimentos
cuando se encuentra trabajando con algún equipo informático a
disminuido en un 63%”.
10. Tesis: “ELABORAR UNA METODOLOGÍA APLICANDO LA
NORMA ISO/IEC 27001 EN LA IMPLEMENTACIÓN DE UN
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
(SGSI) EN EL DESITEL DE LA ESPOCH”, presentado por Verónica
Isabel Gavilanes Pilco, para optar el título de Ingeniera en Sistemas
Informáticos en la escuela superior politécnica de Chimborazo,
facultad de informática y electrónica escuela de Ingeniería en
Sistemas, Riobamba – Ecuador 2011.
Cuyo objetivo es: “Elaborar una Metodología aplicando la norma
ISO/IEC 27001 en la implementación de un Sistema de Gestión de
Seguridad de la Información (SGSI) en el DESITEL de la ESPOCH”.
El aporte de esta investigación según las conclusiones de la misma
es: “El estudio realizado de políticas y reglamentos para la seguridad
de la información permite visualizar con mayor claridad la
29
importancia y el valor de la información para la Organización
adaptados a la necesidad de protección de datos.
Mediante la recopilación de la información de los activos
involucrados en los sistemas de información pertenecientes al
DESITEL, se pudo constatar los problemas actuales de falencias en
el mantenimiento, organización y la falta de una metodología de
seguridad de la información basadas en normas que garanticen su
seguridad.
El estudio de la Norma ISO 27001 ha permitido mejorar el
conocimiento de los sistemas de seguridad de la información, sus
problemas y los medios de protección además cubre el vacío que ha
generado la inexistencia de un método documentado, sobre cómo
proceder a implantar un Sistema de Gestión de Seguridad de la
Información”.
2.2. Bases teóricas
2.2.1. Norma Técnica Peruana ISO/IEC 27001:2008 EDI. Tecnología
de la información. Técnicas de seguridad. Sistemas de
gestión de seguridad de la información. Requisitos.
Aspectos generales
La Norma Técnica Peruana ha sido elaborada por el Comité
Técnico Permanente de Codificación e Intercambio Electrónico
30
de Datos (EDI), mediante el Sistema 1 o Adopción, durante los
meses de mayo a octubre del 2008, utilizando como antecedente
la ISO/IEC 27001:2005 Information technology – Security
techniques – Information security management systems –
Requirements.
La Norma Técnica Peruana de Seguridad de la Información ha
sido preparada con el fin de ofrecer un modelo para establecer,
implementar, operar, monitorear, mantener y mejorar un efectivo
Sistema de Gestión de Seguridad de la Información ISMS, por
sus siglas en Inglés (Information Security Management System).
La adopción de un ISMS debe ser una decisión estratégica para
una organización. El diseño e implementación del ISMS de una
organización está influenciado por las necesidades y objetivos
del negocio, requisitos de seguridad, procesos, tamaño y
estructura de la organización. Se espera que éstos y sus
sistemas de soporte cambien a lo largo del tiempo, así como que
las situaciones simples requieran soluciones ISMS simples. (1)
Enfoque de proceso
La Norma Técnica Peruana promueve la adopción de un enfoque
del proceso para establecer, implementar, operar, monitorear,
mantener y mejorar la efectividad de un ISMS en la organización.
Una organización debe identificar y administrar varias
actividades con el fin de funcionar efectivamente. Cualquier
31
actividad que administre y use recursos para lograr la
transformación de entradas en salidas, puede ser considerada
un proceso. Con frecuencia la salida de un proceso se convierte
en la entrada del proceso siguiente.
La aplicación de un sistema de procesos dentro de una
organización, junto con la identificación e interacciones de estos
procesos y su administración se define como un “enfoque de
proceso”.
El modelo conocido como “Planear-Hacer-Verificar-Actuar” -
PDCA (Plan-Do-Check-Act), por sus siglas en inglés, puede
aplicarse a todos los procesos ISMS. La Figura 2 ilustra cómo un
ISMS toma como entrada los requisitos y expectativas de
seguridad de la información de las partes interesadas y a través
de las acciones y procesos necesarios genera productos de
seguridad de la información (es decir: gestión de la seguridad de
la información) que cumple estos requisitos y expectativas.
32
Figura 2. Modelo PDCA aplicado al proceso ISMS
Fuente: Norma Técnica Peruana NTP-ISO/IEC 27001:2008
Planear (establecer el ISMS)
Establecer las políticas, objetivos, procesos y procedimientos de
seguridad relevantes para administrar el riesgo y mejorar la
seguridad de la información para obtener resultados de acuerdo
con las políticas y objetivos de la organización.
Hacer (implementar y operar el ISMS)
Implementar y operar las políticas, controles, procesos y
procedimientos de seguridad.
Verificar (monitorear y revisar el ISMS)
Monitorear y evaluar el funcionamiento de los procesos con
respecto a las políticas, objetivos y experiencia práctica de
33
seguridad, informando sobre los resultados obtenidos a la
gerencia para su revisión.
Actuar (mantener y mejorar el ISMS)
Tomar acciones correctivas y preventivas basándose en los
resultados de la revisión gerencial para alcanzar la mejora
continua del ISMS.
2.2.2. Seguridad de la información:
Seguridad
“Una de las acepciones de la Real Academia Española para el
termino seguro, que es la que aquí nos interesa, es la de estar
libre y exento de todo peligro, daño o riesgo”. (2)
Información
“Es un activo, el cual, como cualquier otro activo de negocios,
tiene valor para una organización y consecuentemente necesita
ser protegido adecuadamente”. (3)
Seguridad de la Información
La definición de la seguridad de la información en el contexto de
esta investigación lo transcribimos textualmente de la Norma
Técnica Peruana NTP-ISO/IEC 27001: 2008, primera edición:
“Preservar la confidencialidad, integridad y disponibilidad de la
información; además, también pueden ser involucradas otras
34
características como la autenticación, responsabilidad, no-
repudio y fiabilidad”. (1)
Este concepto, se aplica en forma amplia a la información como
activo de la organización al margen del medio que lo soporte que
puede ser papel o los distintos tipos de dispositivos electro-
magnéticos. En cualquiera de sus formas; sea texto, voz o video
y durante todo el ciclo de vida de la misma (Recepción,
almacenamiento, procesamiento y distribución).
2.2.3. Sistema de Gestión
“El sistema de gestión es la herramienta que permite controlar
los efectos económicos y no económicos de la actividad de la
empresa. El control, en este caso, se define como aquella
situación en que se dispone de conocimientos ciertos y reales de
lo que está pasando en la empresa, tanto internamente como en
su entorno y permite planificar, en cierta manera, lo que pasará
en el futuro. Mide el aprovechamiento eficaz y permanente de los
recursos que posee la empresa para el logro de sus objetivos”.
(4)
2.2.4. Sistema de Gestión de la Seguridad de la Información (SGSI)
SGSI son las siglas utilizadas para referirse a un Sistema de
Gestión de la Seguridad de la Información, una herramienta de
35
gran utilidad y de importante ayuda para la gestión de las
organizaciones. El SGSI, ayuda en las empresas a establecer
políticas, procedimientos y controles en relación a los objetivos
de negocio de la organización, con objeto de mantener siempre
el riesgo por debajo del nivel asumible por la propia
organización. Para los responsables de la entidad; es una
herramienta, alejada de tecnicismos, que les ofrece una visión
global sobre el estado de sus sistemas de información, las
medidas de seguridad que se están aplicando y los resultados
que se están obteniendo de dicha aplicación. Todos estos datos
permiten a la dirección una toma de decisiones sobre la
estrategia a seguir. (5)
2.2.5. Amenazas, vulnerabilidades y riesgo
Amenaza, potencial de una fuente de amenaza que pueda
explotar una vulnerabilidad específica ya se accidental o
deliberadamente. Las fuentes más comunes de las amenazas se
identifican por su naturaleza y estas provienen de: La naturaleza,
causada por inundaciones, terremotos, tormentas etc., humanas
ya sean estas accidentales, por errores o deliberadas, y las
ambientales como son la contaminación, fallas del suministro
eléctrico prolongado etc.
Vulnerabilidad, defecto o debilidad en los procedimientos de los
sistemas de seguridad, diseño, configuración o controles internos
36
que puede ser aprovechado por alguna fuente de amenaza para
atentar contra o violar las políticas de seguridad.
Riesgo, probabilidad de la materialización de una amenaza
debido a la explotación de una vulnerabilidad y la magnitud de su
impacto. (6)
2.2.6. Estado del arte de la Seguridad de la Información
El fenómeno de la globalización como proceso político,
económico y social en el mundo ha dado lugar al surgimiento de
muchas regulaciones. Desde la directiva de la Unión Europea de
protección de datos a Basel II o Sarbanes-Oxley, solo para
nombrar unos pocos; las organizaciones obligadas a cumplir con
estas regulaciones gubernamentales usualmente implementan
marcos de trabajo reconocidos como COBIT o ISO 17799, a
continuación se describen los más importantes: (7)
Ley Sarbanes –Oxley (SOX). Marco regulatorio para Gobierno
corporativo, reporte financiero y control interno. La sección 404
de la ley manda, entre otros requerimientos de reporte y
auditoría, que las compañías establezcan un sistema de
controles internos para asegurar un adecuado reporte financiero
(Agosto, 2002).
Ley de Responsabilidad y Portabilidad de los Seguros de
Salud (HIPAA). El objetivo del HIPAA fue reformar el mercado
de los seguros de salud y simplificar los procesos administrativos
37
del sector salud, mientras se robustecía la privacidad y seguridad
de la información de los pacientes y las entidades relacionada
con la salud (Agosto, 1996).
BASEL II Accord. Establecimiento de directivas para la
implementación de controles para la gestión de riesgo crediticio y
operacional para el sector Bancario entró en vigor en el año
2003/2004.Gramm Leach Billey Act (GLBA). También conocido
como la ley de modernización del sector financiero de 1999.
Incluye directivas para la creación de nuevas regulaciones sobre
la privacidad y seguridad de la información de los clientes.
California Individual Privacy Senate Bill (SB 1386). Ley del
Senado de California sobre la privacidad individual. Que obliga a
cualquier organización dentro del estado a notificar cualquier
incidencia relacionada con la revelación de la información
privada de los residentes de California.
The Federal Information Security Management Act FISMA.
Ley Federal de Estados Unidos aprobada en el 2002, que manda
a las agencias gubernamentales realizar una evaluación del
estado de seguridad para sus sistemas clasificados y no
clasificados y que incluya un análisis de riesgo y seguridad antes
de la aprobación del presupuesto.
Food and Drug Administration (FDA). Regulación para la
Industria farmacéutica, establece un conjunto de controles y
38
procedimientos técnicos para el tratamiento de registros y firmas
electrónicas.
ISO 17799. Recomendaciones de mejores prácticas sobre la
Gestión operativa de la Seguridad de la información.
ISO 27001. Especificación estándar de los principales
requerimientos para un sistema de Gestión de la Seguridad de la
Información, contra la cual las organizaciones pueden certificar.
COBIT. Objetivos de control para la información y tecnología
relacionadas. Conjunto de buenas prácticas para la gerencia de
TI, usado a menudo para lograr el cumplimiento de regulaciones
de las tecnologías de la información.
ITIL. Marco de trabajo muy popular para la gestión de los
servicios de Tecnologías de la información.
COSO. Establece un marco de trabajo integrado y una definición
común de controles internos, estándares, y criterios contra el
cual las compañías y organizaciones pueden evaluar sus
sistemas de control.
NIST 800. Instituto Nacional de estándares y Tecnología de los
EE.UU, provee guías para la seguridad de los recursos de
información basados en computadora, explicando conceptos
importantes, consideración de costos e interrelación de los
controles de seguridad.
ISO 13335. Es un compendio de 5 documentos que de forma
práctica aborda la seguridad de las Tecnologías de la
39
Información y orienta sobre los aspectos de su gestión,
describiendo aspectos conceptuales, gestión, planificación,
selección de controles y la seguridad de las redes.
La norma ISO 15408. Define los criterios comunes de seguridad
que las tecnologías de la información deben respetar. Estos
criterios comunes permiten la evaluación de las funciones de
seguridad a través de once clases funcionales y exigencias de
garantía entre ellos la auditoria, la comunicación, soporte
criptográfico, etc.
2.3. Definiciones conceptuales
Activo: Algo que presenta valor para la organización. (8)
Disponibilidad: Garantizar que los usuarios autorizados tengan acceso
a la información y activos asociados cuando sea necesario. (8)
Confidencialidad: Garantizar que la información sea accesible
únicamente para quienes tengan acceso autorizado. (8)
Evento de la seguridad de la información: Ocurrencia identificada en
un sistema, servicio o red indicando una posible brecha de la política de
seguridad de la información o falla de las salvaguardas o una situación
desconocida previa que puede ser relevante. (9)
40
Incidente de la seguridad de la información: Una serie de eventos no
deseados que tienen una probabilidad significativa de comprometer
operaciones del negocio y amenazar la seguridad de la información. (9)
Integridad: Salvaguardar la exactitud e integridad de la información y
activos asociados. (8)
Riesgo residual: Riesgo remanente después de un tratamiento del
riesgo. (10)
Aceptación del riesgo: Decisión de aceptar el riesgo. (10)
Análisis del riesgo: Uso sistemático de información para identificar
amenazas y estimar el riesgo. (10)
Estimación del riesgo: Proceso total de análisis y evaluación del riesgo.
(10)
Evaluación del riesgo: Proceso de comparación del riesgo estimado
frente al criterio de riesgo para determinar el significado del riesgo. (10)
Gestión del riesgo: Actividades coordinadas para dirigir y controlar el
riesgo en una organización. (10)
Tratamiento del riesgo: Proceso de selección e implementación de
controles para minimizar el riesgo. (10)
Declaración de aplicabilidad: Documento que describe los objetivos de
control y los controles que son relevantes y aplicables al ISMS de la
organización. (1)
41
2.4. Bases epistémicos
Entre los enfoques teóricos que sustentan esta investigación, se han
considerado los supuestos de la historia, seguridad, estándares de
seguridad, norma ISO/IEC 27001:2005, políticas de seguridad,
administración del riesgo, entre otras. En ese sentido, se parte de un
enfoque epistemológico sistémico, basado en una teoría que concibe la
estructura como una concepción, que según Hurtado (11), “es aquella
donde la realidad es vista bajo una concepción sistemática, en la cual la
integración de elementos cumple funciones y configura estructuras”.
III. METODOLOGIA
3.1. Tipo de investigación
La investigación aplicada es una actividad que tiene por finalidad la
búsqueda y consolidación del saber, y la aplicación de los conocimientos
para el enriquecimiento del acervo cultural y científico, así como la
producción de tecnología al servicio del desarrollo integral del país.
La investigación para la acción es la investigación orientada a la solución
de problemas en el más breve plazo, por tanto debe considerar una
interrelación permanente del conocimiento teórico con los elementos de
la realidad.
La investigación aplicada está interesada en la aplicación de los
conocimientos a la solución de un problema práctico inmediato. (12)
42
3.2. Nivel de investigación
El nivel de ésta investigación será correlacional debido a que pretende
determinar el grado de relación de la variable independiente con la
variable dependiente.
3.3. Método de investigación
Los métodos empleados en la presente investigación serán:
─ Método Descriptivo - Explicativo: permite lograr una mejor
comprensión de la realidad.
─ Método Analítico - Sintético: permite precisar las posibles causas y
soluciones de la problemática planteada.
─ Método Comparativo: permite establecer semejanzas y diferencias
el grupo control y el grupo experimental de la investigación.
3.4. Diseño y esquema de la investigación
El diseño de un SGSI basado en la aplicación de la “Norma Técnica
Peruana ISO/IEC 27001:2008 EDI. Tecnología de la información.
Técnicas de seguridad. Sistemas de gestión de seguridad de la
información. Requisitos”, será de tipo correlacional.-
GE: Grupo experimental.
r: grado de correlación o asociación.
VI: variable independiente
43
VD: variable dependiente.
3.5. Población y muestra
POBLACIÓN
Lo constituye todo el personal de PECOR que tenga acceso a información
relacionada a las actividades de la institución en la sede central de la ciudad de
Pucallpa. Esta población viene a ser de 120 personas.
MUESTRA
La muestra para el presente estudio de investigación, se estimó siguiendo los
criterios que ofrece la estadística, por ello se hizo uso del método probabilístico,
mediante la técnica del muestreo aleatorio simple, teniendo en cuenta las
siguientes consideraciones:
N = Población ()
n = Tamaño de la muestra necesaria.
P = Probabilidad de que evento ocurra (50%)
Q = Probabilidad de que el evento no ocurra (50%)
2/Z =
= 0,05
VI
GE: r
VD
44
Cuya fórmula matemática es: PQZN
PQNn
Z
2/22 1
2/2
Obteniéndose una muestra de 92 personas, para realizar las entrevistas, de los
cuales, se tiene desglosada la muestra estratificada, al cual se aplicaran los
instrumentos de medida.
3.6. Definición operativa de los instrumentos de recolección de
datos.
Encuesta
La encuesta puede definirse como un conjunto de técnicas destinadas a
reunir, de manera sistemática, datos sobre determinado tema o temas
relativos a una población, a través de contactos directos o indirectos con
los individuos o grupo de individuos que integran la población estudiada.
Cuestionario es un instrumento consistente en una serie de preguntas a
las que contesta el mismo respondedor. (13)
Entrevista
La entrevista es una técnica denominada de “elaboración y registro de
datos mediante conversaciones”, que considera a la conversación como la
unidad mínima de la interacción social. Es aquella destinada a comprobar
los conocimientos o experiencias de una persona a detalle.
45
Para Powney y Watts, una entrevista es simplemente una conversación
entre dos o más personas, donde uno o más participantes toman la
responsabilidad de reportar lo substancial (cualitativo) que se dice. (14)
Análisis Documental
El análisis de documentos o análisis documental consiste en analizar la
información registrada en materiales duraderos que se denominan
documentos. Se consideran dos tipos básicos de documentos: escritos y
visuales. Entre los escritos, se pueden considerar actas, circulares, cartas,
diarios, discursos, periódicos, revistas, programas de cursos, materiales
políticos, leyes y decretos. (15)
3.7. Técnicas de recojo, procesamiento y presentación de datos.
Fuente Técnica Instrumento Agente
Primaria
Encuesta Cuestionario
EntrevistaGuía de
entrevista
SecundariaAnálisis
documental
Fichas
(Textuales y de
resumen)
3.8. Diseño estadístico: validación de hipótesis
En primer lugar se procederá a la clasificación de los datos que servirán
para los fines de la investigación; se pasará luego a la codificación de la
información seleccionada para facilitar el manejo de la misma; se
procederá luego a la tabulación de los datos para elaborar los
46
correspondientes cuadros estadísticos y para finalizar se realizará el
análisis e interpretación de la información obtenida.
El mecanismo estadístico a ser utilizado es el Software SPSS para
generar una base de datos y procesar la información recolectada.
Para ello se realizará una prueba piloto y se procesara con:
- Diferencia de medias para las variables
- Anova (Análisis de varianza) para la hipótesis principal.
47
IV. CRONOGRAMA
Diagrama 1: Cuadro con cronograma de acciones
Actividades2012 2013
Set. Oct. Nov. Dic. Ene. Feb. Mar. Abril.
1 Elección del tema x
2 Elaboración del proyecto x x
3 Corrección y presentación del proyecto x x
4Preparación y reproducción de los
instrumentos de recolección de datos x x
5Desarrollo del marco teórico y
conceptual x x
6 Desarrollo del experimento x x
7Aplicación de los instrumentos de
recolección de datos x
8Tabulación y elaboración de cuadros
estadísticos x x
9 Análisis de interpretación deresultados x
10 Redacción del primer borrador x
11 Redacción final x x
12 Presentación del informe final x
48
V. PRESUPUESTO
5.1. Potencial humano
Cuadro 1. Presupuesto de recursos humanos
Recursos Humanos CostoCant. Unidad Descripción Unitario
S/.Total S/.
3 mes Asistente 500.00 1500.00
1 mes Encuestador 500.00 500.00
Total 2000.00
5.2. Recursos materiales
Cuadro 2. Presupuesto de materiales
Cant. Unidad Descripción SubTotal S/.
Total S/.
1 S/U Recolección de datos 50.00 50.001 S/U Fotocopias 100.00 100.001 S/U Impresión 200.00 200.001 S/U Materiales de oficina 150.00 150.006 S/U Movilidad 100.00 600.006 S/U Gastos de telefonía 50.00 300.00
Total 1400.00
5.3. Recursos financieros
Cuadro 3. Resumen de presupuestos
Descripción Costo S/.
Materiales 1400.00
Recursos Humanos 2000.00
Total: 3400.00
49
VI. REFERENCIAS BIBLIOGRAFICAS
1. INDECOPI, Comisión de Normalización y de Fiscalización de Barreras Comerciales NoArancelarias -. EDI. Tecnología de la información. Técnicas de seguridad. Sistemas degestión de seguridad de la información. Requisitos. Lima : s.n., 2009. NTP ISO/IEC27001:2008.
2. López, Purificación Aguilera. Seguridad informática. s.l. : Editex, 2010.
3. AGUILAR, MOISES ANTONIO VILLENA. Tesis: SISTEMA DE GESTION DE SEGURIDAD DEINFORMACION PARA UNA. Lima : PONTIFICIA UNIVERSIDAD CATOLICA DEL PERU, 2006.
4. Segura, Francisco Ogalla. Sistema de gestión: Una guía práctica. España : Ediciones Díazde Santos, 01/04/2005. ISBN: 84-7978-695-7.
5. INTECO. Implantación de un SGSI en la empresa.
6. NIST. Special Publication 800-30. Special Publication 800-30. 2002.
7. Saxe, Paquet y. The Business Case for Network Security: Advocacy, Governance, and ROI.2004.
8. International Organization for Standardization y Comisión Electrotécnica Internacional.ISO/IEC 13335-1:2004. 2004. ISO/IEC 13335-1:2004.
9. ISO/IEC TR 18044:2004. ISO/IEC TR 18044:2004.
10. ISO/IEC Guide 73:2002. 2002. ISO/IEC Guide 73:2002.
11. Hurtado, M. Metodología de la investigación holística. Caracas - Venezuela : SYPAL, 2000.
12. Ávila Acosta, R.B. Metodología de la Investigación. 2005.
13. A. Zapata, Oscar. Herramientas para elaborar tesis e investigaciones socioeducativas.México D.F. : Editorial Pax México, 2007.
14. Balcázar, Patricia. Investigación cualitativa. México D.F. : Universidad Autónoma delEstado de México, 2006.
15. Vázquez Navarrete, M. Luisa, y otros, y otros. Introducción a las técnicas cualitativas deinvestigación aplicadas en la salud. Barcelona : Servei de Publicacions, 2006.
16. Standardization, International Organization for y Commission, InternationalElectrotechnical. ISO/IEC 27001. Information technology - Security techniques -Information security management systems - Requirements. 2005. ISO/IEC 27001.
50
Anexo 1: Matriz de consistencia.
TITULO FORMULACIÓN DELPROBLEMA
OBJETIVOS HIPÓTESIS VARIABLES DIMENSIONES/INDICADORES
METODOLOGÍA
“LA NORMA TECNICAPERUANA ISO/IEC27001:2008 Y LA
SEGURIDAD DE LAINFORMACION EN PECOR”
SINTOMAS
1. No se aplican políticas de seguridadde la información en PECOR.
2. Filtración de información clasificadahacia el exterior de PECOR.
3. Los usuarios no están preparadospara reportar los incidentes deseguridad de los sistemas deinformación.
4. No se ejecutan planes de continuidadde las operaciones informáticas.
5. Debilitación de la ImagenInstitucional.
CAUSAS
1. No se tienen identificados los riesgosde seguridad de la información.
2. No se implementa ni se actualiza elmanual de políticas de seguridad dela información.
3. En la institución no existe un área ouna persona asignada para laboresexclusivas de seguridad de lainformación.
4. Los usuarios no reciben capacitaciónactualizada en temas de seguridad dela información.
5. No existe planes de continuidad delas operaciones informáticas.
PROBLEMA:
“Insuficiente seguridad de la informaciónen la empresa PECOR”
PRINCIPAL:
¿De qué manera laNorma Técnica PeruanaISO/IEC 27001:2008mejora la seguridad de lainformación en PECOR?
ESPECÍFICOS
1. ¿Cuáles son lasprincipales áreas oprocesos de PECORdonde existe riesgosde seguridad de lainformación?
2. ¿Cómo aplicamos laNorma TécnicaPeruana ISO/IEC27001:2008 enPECOR?
3. ¿Cuál es el grado deasociación ycorrelación entre laNorma TécnicaPeruana ISO/IEC27001:2008 y laseguridad de lainformación enPECOR?
4. ¿En qué medida laNorma TécnicaPeruana ISO/IEC27001:2008 mejora laseguridad de lainformación enPECOR?
GENERAL:
Determinar como la NormaTécnica Peruana ISO/IEC27001:2008 mejora laseguridad de la informaciónen PECOR.
ESPECÍFICOS
1. Identificar lasprincipales áreas oprocesos de PECORdonde existe riesgos deseguridad de lainformación.
2. Aplicar la NormaTécnica PeruanaISO/IEC 27001:2008para mejorar laseguridad de lainformación en PECOR.
3. Medir el grado decorrelación entre laNorma Técnica PeruanaISO/IEC 27001:2008 y laseguridad de lainformación en PECOR.
4. Proponer un Sistema deGestión de Seguridadde la Informaciónbasado en la NormaTécnica PeruanaISO/IEC 27001:2008 quemejore la seguridad dela información enPECOR.
GENERAL:
“La Norma Técnica PeruanaISO/IEC 27001:2008 mejora laseguridad de la información enla empresa PECOR”.
ESPECÍFICOS
1. “Es posible identificar lasprincipales áreas oprocesos de PECOR dondeexista riesgos de seguridadde la información”.
2. “Es necesario aplicar laNorma Técnica PeruanaISO/IEC 27001:2008 enPECOR”.
3. “La Norma TécnicaPeruana ISO/IEC27001:2008 posee ungrado de asociación ycorrelación con laseguridad de lainformación en PECOR”.
4. “Es posible diseñar unSistema de Gestión deSeguridad de laInformación basado en laNorma Técnica PeruanaISO/IEC 27001:2008 quemejore la seguridad de lainformación en PECOR”.
VARIABLEDEPENDIENTE:
Seguridad de lainformación.
VARIABLEINDEPENDIENTE:
Norma TécnicaPeruana ISO/IEC27001:2008.
VARIABLEINTERVINIENTE:
PECOR.
GESTIÓN
Reducción de pérdidaspor vulnerabilidades
Accesos controlados deusuarios
Vulnerabilidadesverificadas y tratadas
Nivel deConcientización
.
SEGURIDAD DE LAINFORMACION
Riesgos identificados. Políticas de Seguridad. Controles implantados. Numero de incidencias. Procedimientos de
seguridad.
TIPO DE INVESTIGACIÓN Aplicada.
NIVEL DE INVESTIGACIÓN No experimental – Transversal - Descriptivo.
MÉTODOS Método Descriptivo - Explicativo. Método Analítico - Sintético. Método Comparativo.
DISEÑO Descriptivo simple.
GE: M → x 1 → O1
POBLACIÓN:120 trabajadores
MUESTRA:92 trabajadores
SW DE PROC. DE DATOS: SPSS
Fuentes Técnicas HerramientasPrimaria Encuesta Cuestionario
Entrevista Guía de entrevistaSecundaria Análisis
documentalFichas textualesy de resumen
51
Anexo 2. Matriz de Operacionalización de Variables
52