UNIVERSIDAD NACIONAL DE UCAYALI

ESCUELA DE POSGRADO

Maestría en Ingeniería de Sistemas

Mención: Gestión de Tecnologías de Información

Proyecto de tesis:

“LA NORMA TECNICA PERUANA ISO/IEC 27001:2008Y LA SEGURIDAD DE LA INFORMACION EN PECOR”

TESISTA: EDWIN TORRE SUÁREZ

Pucallpa – Perú

2012

Tabla de contenido

I. PROBLEMA DE INVESTIGACIÓN ................................................................................. 6

1.1. Descripción del problema..................................................................................6

1.2. Formulación del problema ....................................................................................... 8

1.2.1. Problema general ......................................................................................... 8

1.2.2. Problemas específicos ................................................................................ 8

1.3. Objetivos .................................................................................................................... 9

1.3.1. Objetivo general .......................................................................................... 9

1.3.2. Objetivos específicos................................................................................. 9

1.4. Hipótesis ................................................................................................................. 10

1.4.1. Hipótesis general....................................................................................... 10

1.4.2. Hipótesis específicos ............................................................................... 10

1.5. Variables ................................................................................................................. 10

1.5.1. Variable independiente............................................................................ 10

1.5.2. Variable dependiente ............................................................................... 10

1.5.3. Variable interviniente............................................................................... 10

1.5.4. Unidad de análisis .................................................................................... 11

1.6. Operacionalización de las variables................................................................ 11

1.7. Justificación e importancia................................................................................ 12

1.8. Viabilidad ................................................................................................................ 15

1.9. Limitaciones........................................................................................................... 16

1.10. Delimitación ........................................................................................................... 16

II. MARCO TEÓRICO ........................................................................................................... 17

2.1. Antecedentes ......................................................................................................... 17

2.2. Bases teóricas ....................................................................................................... 29

2.3. Definiciones conceptuales................................................................................. 39

2.4. Bases epistémicos ............................................................................................... 41

III. METODOLOGIA ............................................................................................................... 41

3.1. Tipo de investigación .......................................................................................... 41

3.2. Nivel de investigación ......................................................................................... 42

3.3. Método de investigación..................................................................................... 42

3.4. Diseño y esquema de la investigación ........................................................... 42

3.5. Población y muestra ............................................................................................ 43

3.6. Definición operativa de los instrumentos de recolección de datos. .............. 44

3.7. Técnicas de recojo, procesamiento y presentación de datos......................... 45

3.8. Diseño estadístico: validación de hipótesis ........................................................ 45

IV. CRONOGRAMA ............................................................................................................... 47

V. PRESUPUESTO ............................................................................................................... 48

5.1. Potencial humano ................................................................................................... 48

5.2. Recursos materiales............................................................................................... 48

5.3. Recursos financieros .............................................................................................. 48

VI. REFERENCIAS BIBLIOGRAFICAS ............................................................................. 49

ANEXOS

Lista de figuras

Figura 1. Organigrama del PECOR……………………………………………………………. 8Figura 2. Modelo PDCA aplicado al proceso ISMS…………….……………………………. 32

Lista de diagramas

Diagrama 1: Cuadro con cronograma de acciones ………………………………………….. 47

Lista de cuadros

Cuadro 1. Presupuesto de recursos humanos....................................................................48Cuadro 2. Presupuesto de materiales.................................................................................48Cuadro 3. Resumen de presupuestos ................................................................................48

Lista de anexo

Anexo 1: Matriz de consistencia. ........................................................................................50Anexo 2: Matriz de Operacionalización de Variables …………………………………….….. 51

Lista de tablas

Tabla 1.Indicadores del sistema de gestión de seguridad de la información ........... 11Tabla 2.Indicadores de la seguridad de la información ............................................................ 11

6

I. PROBLEMA DE INVESTIGACIÓN

1.1. Descripción del problema

La empresa PECOR es un proyecto especial que se encarga de reducir el

espacio cocalero a nivel nacional, con la finalidad de contribuir a la

interrupción del ciclo de producción de drogas ilícitas.

El Proyecto Especial PECOR, es un organismo creado en el Perú para

controlar y reducir el espacio cocalero (DS. Nº 043-82-AG), desde su

creación (1982) hasta diciembre del año 2010, ha erradicado 142,102.64

has de plantaciones de coca ilegales y excedentes. Paralelamente, en

toda su trayectoria institucional, ha eliminado 1’523,322.67 m2 de

almácigos que hubiesen dado origen a 101,554.82 has de nuevas

plantaciones de coca.

El desarrollo de los trabajos de reducción del espacio cocalero implica que

los integrantes del PECOR y PNP afronten riesgos, como:

Enfrentamientos con los cocaleros y población aledaña a los

cultivos ilegales de coca, propiciados por personas interesadas en

ganar espacios políticos, a través de infundados reclamos sociales.

Atentados por parte de agricultores cocaleros, traficantes de drogas

ilícitas y/o delincuentes terroristas, mediante el empleo de armas de

fuego, artefactos explosivos, lanzadoras de piedra (hondas de jebe

y huaracas), objetos de ataque directo (palos con púas y/o clavos,

machetes) y/o colocación de minas y tramperos.

7

Campañas comunicacionales contra la imagen de las instituciones,

por parte de cocaleros y traficantes de drogas ilícitas, manipulando

información carente de veracidad sobre temas como: excesiva

violencia policial, muertes y heridos inexistentes, empleo de

químicos y hongos en el proceso de erradicación, fracaso del

Programa de Desarrollo Alternativo (PDA) y de la política de

erradicación, daño a sus viviendas y cultivos, entre otros; con la

finalidad de generar confusión en la opinión pública.

Teniendo en cuenta que el PECOR para realizar sus actividades cuenta

con bastante información sensible relacionada a sus operativos de campo

y otras actividades que pueden ser de utilidad para que un atacante

externo relacionado con los riesgos antes mencionados, pueda perpetrar

un atentado contra ellos.

Al mismo tiempo también existe el riesgo de ataques internos ya que

siempre queda abierta la posibilidad de un ataque realizado por un

trabajador disconforme. Un ataque simple puede originar daños

catastróficos a la institución si es que no cuenta con controles que

mitiguen la probabilidad de ocurrencia de estos. Es en este punto, aunque

actualmente en PECOR existen algunos controles de seguridad de la

información, estos son insuficientes, por lo tanto surge la necesidad de

contar con un Sistema de Gestión de Seguridad de la Información para

mitigar, no solo distintas modalidades de ataques, sino también casos de

fuga de información, modificación indebida, entre otros casos que pueden

realizarse, brindando un nivel aceptable de seguridad.

8

Figura 1. Organigrama del PECOR

1.2. Formulación del problema

1.2.1. Problema general

¿De qué manera la Norma Técnica Peruana ISO/IEC 27001:2008

mejora la seguridad de la información en PECOR?

1.2.2. Problemas específicos

1. ¿Cuáles son las principales áreas o procesos de PECOR donde

existen riesgos de seguridad de la información?

2. ¿Cómo aplicamos la Norma Técnica Peruana ISO/IEC

27001:2008 en PECOR?

9

3. ¿Cuál es el grado de asociación y correlación entre la Norma

Técnica Peruana ISO/IEC 27001:2008 y la seguridad de la

información en PECOR?

4. ¿En qué medida la Norma Técnica Peruana ISO/IEC 27001:2008

mejora la seguridad de la información en PECOR?

1.3. Objetivos

1.3.1. Objetivo general

Determinar como la Norma Técnica Peruana ISO/IEC 27001:2008

mejora la seguridad de la información en PECOR.

1.3.2. Objetivos específicos

1. Identificar las principales áreas o procesos de PECOR donde

existe riesgos de seguridad de la información.

2. Aplicar la Norma Técnica Peruana ISO/IEC 27001:2008 para

mejorar la seguridad de la información en PECOR.

3. Medir el grado de correlación entre la Norma Técnica Peruana

ISO/IEC 27001:2008 y la seguridad de la información en

PECOR.

4. Proponer un Sistema de Gestión de Seguridad de la Información

basado en la Norma Técnica Peruana ISO/IEC 27001:2008 que

mejore la seguridad de la información en PECOR.

10

1.4. Hipótesis

1.4.1. Hipótesis General

“La Norma Técnica Peruana ISO/IEC 27001:2008 mejora la

seguridad de la información en la empresa PECOR”.

1.4.2. Hipótesis específicos

“Es posible identificar las principales áreas o procesos de

PECOR donde exista riesgos de seguridad de la información”.

“Es necesario aplicar la Norma Técnica Peruana ISO/IEC

27001:2008 en PECOR”.

“La Norma Técnica Peruana ISO/IEC 27001:2008 posee un

grado de asociación y correlación con la seguridad de la

información en PECOR”

“Es posible diseñar un Sistema de Gestión de Seguridad de la

Información basado en la Norma Técnica Peruana ISO/IEC

27001:2008 que mejore la seguridad de la información en

PECOR”.

1.5. Variables

1.5.1. Variable independiente

Norma Técnica Peruana ISO/IEC 27001:2008.

1.5.2. Variable dependiente

Seguridad de la información.

1.5.3. Variable interviniente

PECOR.

11

1.5.4. Unidad de análisis

Áreas o procesos de PECOR.

1.6. Operacionalización de las variables

Tabla 1.Indicadores del Sistema de Gestión de Seguridad de laInformación

Dimensiones Indicadores

Plan No. de objetivos estratégicos

No. Factores críticos de éxito

No. Factores claves de éxito

Hacer No. objetivos estratégicos ejecutados

Revisar Nº total de incidencias

Tiempo de absolución de incidencias

Acción No. de objetivos alcanzados

Nº de áreas o procesos atendidos

Tabla 2.Indicadores de la seguridad de la información

Dimensiones Indicadores

Confidencialidad Número de accesos no autorizados

Número de revelaciones no autorizadas

Integridad Número de modificaciones no autorizadas

Disponibilidad Número de documentos no disponibles

Tiempo de respuesta para consulta de

información

12

1.7. Justificación e importancia

1.7.1. Justificación teórica

Para PECOR, la información es un activo vital para el éxito y la

continuidad de sus operaciones en general y específicamente en

sus operaciones de campo para alcanzar eficientemente sus

objetivos y metas institucionales. El aseguramiento de dicha

información y de los sistemas que la procesan es, por tanto, un

objetivo de primer nivel para la institución. Para la adecuada

gestión de la seguridad de la información, es necesario implantar

un sistema que aborde esta tarea de una forma metódica,

documentada y basada en unos objetivos claros de seguridad y una

evaluación de los riesgos a los que está sometida la información de

la institución. Actualmente en PECOR existe una necesidad muy

grande de asegurar la información por medio del desarrollo e

implantación de un SGSI que garanticen la integridad, confiabilidad

y disponibilidad de la misma.

La seguridad de la información, según la Norma Técnica Peruana

ISO/IEC 27001:2008 (1), consiste en la preservación de su

confidencialidad, integridad y disponibilidad, así como de los

sistemas implicados en su tratamiento, dentro de una organización.

Estos tres términos constituyen la base sobre la que se cimienta

todo el modelo de seguridad de la información:

• Confidencialidad: la información no se pone a disposición ni se

revela a individuos, entidades o procesos no autorizados.

13

• Integridad: mantenimiento de la exactitud y completitud de la

información y sus métodos de proceso.

• Disponibilidad: acceso y utilización de la información y los

sistemas de tratamiento de la misma por parte de los individuos,

entidades o procesos autorizados cuando lo requieran.

1.7.2. Justificación práctica

Al aplicar la Norma Técnica Peruana ISO/IEC 27001:2008 en

PECOR, permitirá en primer lugar, obtener una reducción de

riesgos debido al establecimiento y seguimiento de controles sobre

ellos. Con ello se logrará reducir las amenazas hasta alcanzar un

nivel asumible. De este modo, si se produce una incidencia, los

daños se minimizan y la continuidad del negocio estará asegurada.

En segundo lugar, se producirá un ahorro de costes derivado de

una racionalización de los recursos. Se eliminan los gastos

innecesarios e ineficientes como las producidas por desestimar o

sobrestimar riesgos.

En tercer lugar, la seguridad será considerada un sistema y se

convierte en una actividad de gestión. La seguridad dejará de ser

un conjunto de actividades más o menos organizadas y pasará a

transformarse en un ciclo de vida metódico y controlado, en el que

participará toda la organización.

14

En cuarto lugar, la organización se asegura el cumplimiento del

marco legal que protege a la empresa de aspectos que

probablemente no se habían tenido en cuenta anteriormente.

Por último, pero no por ello menos importante, la certificación del

Sistema de Gestión de Seguridad de la Información contribuirá a

mejorar la competitividad, haciéndola más fiable e incrementando

su imagen institucional.

1.7.3. Justificación metodológica

La aplicación de la Norma Técnica Peruana ISO/IEC 27001:2008

en PECOR para diseñar un Sistema de Gestión de la Seguridad de

la Información constituye una herramienta importante para

potenciar a la institución a que logre un adecuado posicionamiento

en el corto plazo, la consecución de sus objetivos y cumplimiento

de las normas legales relacionados con la seguridad de la

información.

La metodología en el diseño del SGSI que se aplica permite lograr

un diagnóstico actual del entorno, diseñar y aplicar estrategias y

finalmente proyectar a la empresa en el futuro inmediato.

1.7.4. Importancia

La importancia de realizar una propuesta de una plataforma para la

implementación de la Norma Técnica Peruana ISO/IEC

27001:2008, surge de la necesidad de la mejora continua para

15

PECOR, así como también lograr un mejor funcionamiento y

eficiencia en el manejo de la información.

La relevancia de esta investigación se centra en el aspecto de las

cualidades y características de la información o activos que maneja

PECOR, los cuales son de tipo planificación operativa, gestión

financiera, asuntos legales, adquisiciones y manejo de personal; es

de suma importancia establecer una estrategia de seguridad, que

combata y disminuya las vulnerabilidades y amenazas de éstos.

Esta investigación busca demostrar la importancia de aplicar

estándares para la seguridad de la información en todo tipo de

organizaciones. También resalta la importancia de sistematizar

varias actividades propias de las Tecnologías de Información

relacionados con las seguridad de la información (auditoria técnica

de la plataforma TI, sistema de detección de intrusos, análisis de

vulnerabilidades, inventario de activos, control de accesos, etc.)

1.8. Viabilidad

Este proyecto es viable puesto que brinda un aporte a la gestión de las

Tecnologías de Información y a su vez cumple con los lineamientos

establecidos en el reglamento de la Escuela de Postgrado de la

Universidad Nacional de Ucayali.

16

1.9. Limitaciones

No existe un estudio previo o investigación previa relacionada con el tema

a nivel de PECOR, esto restringe la posibilidad de desarrollo de una

investigación de campo a nivel institucional.

1.10. Delimitación

La investigación se desarrollará en las áreas o procesos de PECOR

ubicados en la ciudad de Pucallpa.

17

II. MARCO TEÓRICO

2.1. Antecedentes

1. Tesis: “Factores inhibidores en la implementación de sistemas

de gestión de la seguridad de la información basado en la NTP-

ISO/IEC 17799 en la administración pública” para optar el grado

académico de Magíster en Dirección y Gestión de Tecnologías de

Información, presentado por Alipio Mariño Obregón en la Universidad

Nacional Mayor de San Marcos; Facultad de Ingeniería de Sistemas

e Informática - Unidad de Postgrado, Lima - Perú 2010. Cuyo

objetivo específico es: “El propósito de la presente investigación es

realizar un análisis cuantitativo de las causas o factores inhibidores

que han influido en el bajo nivel de implantación de la Norma Técnica

NTP-ISO/IEC 17799 Código de buenas prácticas para la gestión de

la seguridad de la información en las Entidades del Sistema Nacional

de Informática”. Como resultado o aporte de esta investigación

tenemos lo siguiente: “…se confirma, de acuerdo al análisis que la

Seguridad de la información no está comprendido dentro del proceso

de planificación estratégica que realizan dichas Instituciones y por lo

tanto no constituye un objetivo estratégico dentro de las instituciones

estudiadas, no hay una plan establecido a nivel estratégico para la

seguridad de la Información. En consecuencia no hay metas y

objetivos concretos a este nivel que se puedan reflejar con

consistencia en el Plan Operativo y Presupuesto Institucional, como

además; manda la Ley 28411 Ley General del Sistema Nacional de

18

Presupuesto, el cual señala claramente que el presupuesto

Institucional se debe articular con el Plan Estratégico Institucional y

que éste a su vez con el Plan Operativo Institucional (POI), de cada

Institución…. no hay, un entendimiento claro sobre la

responsabilidad global de la seguridad de la información dentro de la

Institución, lo cual se refleja en que el nivel de liderazgo para la

implementación mayormente descansa en los gerentes o jefes de

Área de Informática y sin el compromiso de la alta dirección, con un

enfoque de seguridad informática más que a la Seguridad de la

Información. Por las razones expuestas, esta investigación, ha

determinado que el bajo nivel alcanzado en la implementación de la

Norma de Seguridad en los Organismos Públicos Descentralizados

Adscritos a la PCM tiene como causa principal el hecho de que la

Seguridad de la Información a pesar de formar parte de los objetivos

estratégicos del plan de acción de la Agenda Digital Peruana,

objetivo No. 5 desarrollo de Gobierno Electrónico, estrategia 5.1,

acción No 6 “Desarrollo de un plan de seguridad de la información

para el sector público”, y declarado obligatorio por resolución

ministerial de la PCM desde el año 2004, no ha sido incorporado en

el planeamiento estratégico de cada una de las Instituciones , no

forma parte del conjunto de objetivos estratégicos del mismo y como

consecuencia no se garantiza las metas presupuestarias

correspondientes, dificultando la ejecución de los planes de corto,

mediano y largo plazo del proyecto de implementación de la Norma”.

19

2. Tesis: “Diseño de un sistema de gestión de seguridad de

información para una compañía de seguros” para optar el título

de ingeniero informático, presentado por Carlos Enrique Ampuero

Chang en la Pontificia Universidad Católica del Perú, abril 2011.

Cuyo objetivo es: “Utilizar estándares y buenas prácticas

reconocidos mundialmente para poder desarrollar cada una de las

etapas del diseño del Sistema de Gestión de Seguridad de

Información (SGSI) y así poder tener una base que se pueda

implementar en cualquier compañía de seguros”. Como resultado o

aporte de esta investigación tenemos lo siguiente: “Con un SGSI

como el expuesto en la tesis se pueden solucionar los siguientes

problemas:

• Cumplir con la normativa impuesta por la SBS (la circular G140)

para todas las compañías de seguros que operen en territorio

peruano.

• Brindar un nivel aceptable de seguridad con relación a la

información que maneja la empresa, evitando incidentes que

puedan afectar en la operativa diaria de la misma.

• Contar con un modelo que se amolde al paso del tiempo y se

pueda actualizar siempre, debido a las revisiones periódicas a

las que se ve sujeto el SGSI”.

3. Tesis: “Propuesta de Políticas de Seguridad de la Información

para el Sistema SIABUC” para obtener el grado de Maestra en

20

Tecnologías de la Información, presentada por Amalia Flores Muñoz,

en la Universidad de COLIMA en la facultad de Telemática, Colima,

Col; junio de 2009.

Cuyo objetivo es: “Proponer un esquema de políticas de seguridad

de la información del acervo bibliográfico electrónico del sistema

SIABUC de la Universidad de Colima alineado a estándares

internacionales”. Como resultado o aporte de esta investigación

tenemos lo siguiente: “Por lo anteriormente citado es necesario

estudiar las medidas que se toman para proteger la información en el

sistema SIABUC que utiliza la Universidad de Colima. Esto llevará a

la concientización y la implantación de políticas, controles y

procedimientos que eviten la divulgación de la información de forma

inadecuada. Esto también permitirá que otras áreas de la

Universidad tomen medidas similares para proteger su información”.

4. Tesis: “Metodología de Implantación de un SGSI en un grupo

empresarial jerárquico” para optar el grado de maestría en

ingeniería en computación, presentado por Gustavo Pallas Mega en

la Universidad de la República, facultad de ingeniería, Montevideo,

Uruguay Diciembre 2009. Trabajo donde el “El propósito es dar

lineamientos metodológicos, de aplicación sistemática para el

diseño, implantación, mantenimiento, gestión, monitoreo y evolución

de un SGSI según la norma ISO 27.001, para una empresa

perteneciente a un grupo empresarial, la cual además está

21

subordinada con respecto a una empresa principal del grupo.

Además se ilustra con un Caso de Estudio, los principales aspectos

de aplicación de la misma”. Como resultado de esta investigación

tenemos lo siguiente: “Este trabajo aporta una metodología con esta

concepción de enfoque global y sistémico, atendiendo a la

pertenencia de la empresa a un grupo empresarial, y a su vez

pragmático, a los efectos que la misma sea, no sólo viable, sino

conveniente y efectiva, dando una estructura u organigrama para

lograr la coordinación necesaria y especificando los procedimientos

que deben cumplirse en cada fase, promoviendo no sólo la

reutilización y coherencia integral de la seguridad sino también

fomentando la sinergia entre las empresas del grupo … en referencia

a la estrategia de análisis y gestión de riesgos así como de

planificación, implementación y seguimiento del SGSI, proponemos

un enfoque mixto, de dirección centralizada pero con la autonomía

necesaria a nivel de cada dominio y cada empresa,

fundamentalmente en la gestión de controles y en la percepción del

impacto de los riesgos locales. Esto permitirá aunar criterios y

optimizar recursos cuando los riesgos deban afrontarse en forma

conjunta”.

5. Tesis: “Formulación de un modelo electrónico y una

metodología que permitan diseñar, implantar y mantener un

plan de sistema de gestión de seguridad de la información para

pymes: e-SGSI”, para optar al grado de magister en seguridad

22

informática y protección de información, presentado por Eric José

Donders Orellana en la Universidad Central de Chile - Facultad de

Ciencias Físicas y Matemáticas, Santiago, Región Metropolitana,

Chile 2010. Cuyo objetivo es: “Disminuir los tiempos y costos de

Implementación de un Sistema de Gestión de Seguridad de la

información para las PYMES en el mediano plazo, en conformidad

con la norma ISO 27001 y dar cumplimiento a las mejores prácticas

según lo establecido en la norma ISO 27002”. Como resultado o

aporte de esta investigación tenemos lo siguiente: “La metodología

propuesta es aplicable, es decir, permite implantar un SGSI en la

PYME. El uso de la plataforma e-SGSI en su calidad de prototipo

permiten en forma efectiva acortar los tiempos y costos de implantar

un SGSI en la PYME”.

6. Tesis: “Evaluación de procedimientos de seguridad de la

información utilizando ISO 27002 y COBIT”, presentado por

Giuliana Jakeline García Paredes y Verónika Yaneth Guillén

Camarena, para optar el título profesional de Ingeniero de Sistemas

en la Universidad Nacional Mayor de San Marcos, Facultad de

Ingeniería de Sistemas e Informática, E.A.P. de Ingeniería de

Sistemas, Lima - Perú 2009.

Cuyo objetivo es “Establecer el nivel de madurez de los

procedimientos de seguridad de la información aplicando una

metodología y proponiendo indicadores tomando como base ISO

23

27002 y COBIT”. El aporte de esta investigación según las

conclusiones de la misma, es lo siguiente: “Tomando en cuenta

todas estas características y basándonos en el mapa del nivel de

madurez establecido por COBIT, podemos concluir que al momento

de iniciar con la metodología planteada este procedimiento se

encontraba en el nivel de madurez 2: Repetible pero Intuitivo.

Al implantar los cambios propuestos en los procedimientos y

tomando como base los objetivos de control de la norma ISO 27002

para el caso de PetroAmérica se obtuvieron resultados que

demuestran que existe una mejora en los procesos, lo cual se ve

reflejado en los resultados obtenidos en el primer trimestre del año

2009 y la visible ayuda en la toma de decisiones y oportunidades de

mejora. Debemos tener en cuenta que la metodología implantada

seguirá un ciclo continuo (PDCA) ya que siempre ocurrirán

oportunidades de cambio.

Para implantar esta metodología sobre la base de la norma

ISO27002 se debe tener pleno conocimiento de cómo se llevan a

cabo los procesos en el área o áreas involucradas, así como contar

con el visto bueno de los jefes de área o en su defecto de la alta

gerencia y el apoyo del personal de TI para reducir costos y tiempo”.

7. Tesis: “Sistema de Gestión de Seguridad de Información para

una Institución Financiera”, presentado por Moisés Antonio Villena

24

Aguilar, para optar el título de ingeniero informático en la Pontificia

Universidad Católica del Perú, Lima 2006.

Cuyo objetivo es: “… establecer los principales lineamientos para

poder implementar de manera exitosa, un adecuado modelo de

sistema de gestión de seguridad de información (SGSI) en una

institución financiera en el Perú, el cual apunte a asegurar que la

tecnología de información usada esté alineada con la estrategia de

negocio y que los activos de información tengan el nivel de

protección acorde con el valor y riesgo que represente para la

organización”. El aporte de esta investigación según las conclusiones

de la misma es: “… para implantar una adecuada gestión de

seguridad de información en una institución financiera, el primer paso

es obtener el apoyo y soporte de la alta gerencia, haciéndolos

participes activos de lo que significa mantener adecuadamente

protegida la información de la institución financiera. Al demostrarles

lo importante que es la protección de la información para los

procesos de negocio, se debe esperar de la alta gerencia su

participación continua”.

8. Tesis: “Sistema de Gestión de Seguridad de la Información

(SGSI) para mejorar la Seguridad de la Información en la

Realidad Tecnológica de la USAT - 2008”, presentado por Cesar

Wenceslao De la Cruz y Juan Carlos Vásquez Montenegro para

optar el título profesional de licenciado en Ingeniería de Sistemas y

25

Computación en la Universidad Católica Santo Toribio de Mogrovejo,

Chiclayo Perú 2008.

Cuyo objetivo es: “Realizar un diagnóstico de la situación actual de la

seguridad de información en la USAT. Analizar y comprender la

seguridad de los sistemas de información dentro de la USAT.

Evaluar las áreas encargadas del cuidado y distribución de la

información a través de una metodología de trabajo con encuestas,

cuestionarios, entrevistas y otros. Identificar, a través del análisis de

riesgo, los puntos fuertes y débiles de los sistemas de información

(Tecnología de información y comunicaciones)”. El aporte de esta

investigación según las conclusiones de la misma es: “Concluimos

dando respuesta a una de las preguntas que nos planteábamos al

principio, nuestro SGSI ¿nos ayudará a gestionar nuestra

seguridad?, ahora una vez finalizado nuestro proyecto, damos como

respuesta una afirmación. SI nos ayuda a gestionar nuestra

seguridad siempre y cuando tengamos en cuenta las siguientes

pautas que creemos que son la columna vertebral de todo Sistema

de Gestión de seguridad de la Información y que fueron las que

trabajamos meticulosamente:

Primera Pauta: Saber qué información tienen las áreas involucradas

en el proyecto y donde se encuentra.

Segunda Pauta: Saber el valor de la información que tienen y las

dificultades de volverla a crear si se daña, pierde.

26

Tercera Pauta: Saber quiénes están autorizados para acceder a la

información y qué pueden hacer con ella.

Puesto que al iniciar nuestro proyecto, sin tener muy claro lo que se

pretendía lograr se nos mostraron estas pautas aparentemente

simples de alcanzar; sin embargo, este desarrollo es un poco

tedioso, pero a la vez satisfactorio, ya que, las respuestas nos

permitieron el diseño e implementación de nuestro proyecto”.

9. Tesis: “Formulación de un Plan de Seguridad de Información

aplicando las normas ISO 27001 y 27002, para mejorar la

Seguridad de la Información en la gestión financiera de la Caja

Sipán: un caso de aplicación de la metodología MAGERIT

utilizando el software Pilar 4.2.”, presentado por Ana Pilar de Jesús

Maco Chonate para optar el título profesional: Ingeniero de Sistemas

y Computación en la Universidad Católica Santo Toribio de

Mogrovejo, Chiclayo Perú 2006.

Cuyo objetivo es: “Mejorar la seguridad de la información en la Caja

Sipán, a través de la aplicación de las normas ISO 27001 y 27002,

utilizando la Metodología Magerit y una herramienta tecnológica”. El

aporte de esta investigación según las conclusiones de la misma es:

“…se concluye que mediante la adecuada implementación del plan

de seguridad basado en normas ISO 27001 y 27002 usando la

metodología MAGERIT se logró incrementar la seguridad en las

políticas de seguridad de la Empresa Sipán como muestran los

27

siguientes indicadores: En el caso de los trabadores del área de

tecnología de información de la Caja Sipán, se obtuvo

estadísticamente un cambio de valor significativo en cuanto su

conocimiento sobre la existencia de un comité de seguridad de la

información en un 14%, el conocimiento sobre la existencia de

sanciones para aquellos usuarios que infrinjan las políticas de

seguridad de la información de la Caja Sipán creció en un 43%, la

importancia de la existencia de un registro de todos aquellos

inconvenientes que se presentan tanto con el software o hardware

aumento en un 100%, sobre la observación de algún trabajador que

haya ingerido líquidos o alimentos cuando se encuentra trabajando

con algún equipo informático disminuyo en un 29%, por último la

opinión de la Caja Sipán si está en condiciones frente a algún

desastre humano creció en un 71% . Por otro lado los trabajadores

externos al área de tecnología de información de la Caja Sipán,

Como se observa en los resultados obtenidos, en las encuestas

realizadas a los trabajadores externos al área de tecnología de

información de la Caja Sipán, que estadísticamente existe una

diferencia significativa en un antes y después, en cuanto a: el

conocimiento de la existencia de un comité de seguridad de la

información, se dio un cambio porcentual de un 8%, al igual que se

obtuvo sobre sus conocimientos de la existencia de la

documentación de las políticas de seguridad de la información con

un cambio porcentual de 82%, otro punto que también tuvo una

28

diferencia significativa fueron, el compartimiento de sus claves el

50% cambio de manera de pensar.

Si se presentó algún un conveniente con su software presentaron

este al área encargada 22%, la percepción de capacitaciones para

cualquier desastre humano o natural aumentó en un 83% y la

observación de algún trabajador que ha ingerido líquidos o alimentos

cuando se encuentra trabajando con algún equipo informático a

disminuido en un 63%”.

10. Tesis: “ELABORAR UNA METODOLOGÍA APLICANDO LA

NORMA ISO/IEC 27001 EN LA IMPLEMENTACIÓN DE UN

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

(SGSI) EN EL DESITEL DE LA ESPOCH”, presentado por Verónica

Isabel Gavilanes Pilco, para optar el título de Ingeniera en Sistemas

Informáticos en la escuela superior politécnica de Chimborazo,

facultad de informática y electrónica escuela de Ingeniería en

Sistemas, Riobamba – Ecuador 2011.

Cuyo objetivo es: “Elaborar una Metodología aplicando la norma

ISO/IEC 27001 en la implementación de un Sistema de Gestión de

Seguridad de la Información (SGSI) en el DESITEL de la ESPOCH”.

El aporte de esta investigación según las conclusiones de la misma

es: “El estudio realizado de políticas y reglamentos para la seguridad

de la información permite visualizar con mayor claridad la

29

importancia y el valor de la información para la Organización

adaptados a la necesidad de protección de datos.

Mediante la recopilación de la información de los activos

involucrados en los sistemas de información pertenecientes al

DESITEL, se pudo constatar los problemas actuales de falencias en

el mantenimiento, organización y la falta de una metodología de

seguridad de la información basadas en normas que garanticen su

seguridad.

El estudio de la Norma ISO 27001 ha permitido mejorar el

conocimiento de los sistemas de seguridad de la información, sus

problemas y los medios de protección además cubre el vacío que ha

generado la inexistencia de un método documentado, sobre cómo

proceder a implantar un Sistema de Gestión de Seguridad de la

Información”.

2.2. Bases teóricas

2.2.1. Norma Técnica Peruana ISO/IEC 27001:2008 EDI. Tecnología

de la información. Técnicas de seguridad. Sistemas de

gestión de seguridad de la información. Requisitos.

Aspectos generales

La Norma Técnica Peruana ha sido elaborada por el Comité

Técnico Permanente de Codificación e Intercambio Electrónico

30

de Datos (EDI), mediante el Sistema 1 o Adopción, durante los

meses de mayo a octubre del 2008, utilizando como antecedente

la ISO/IEC 27001:2005 Information technology – Security

techniques – Information security management systems –

Requirements.

La Norma Técnica Peruana de Seguridad de la Información ha

sido preparada con el fin de ofrecer un modelo para establecer,

implementar, operar, monitorear, mantener y mejorar un efectivo

Sistema de Gestión de Seguridad de la Información ISMS, por

sus siglas en Inglés (Information Security Management System).

La adopción de un ISMS debe ser una decisión estratégica para

una organización. El diseño e implementación del ISMS de una

organización está influenciado por las necesidades y objetivos

del negocio, requisitos de seguridad, procesos, tamaño y

estructura de la organización. Se espera que éstos y sus

sistemas de soporte cambien a lo largo del tiempo, así como que

las situaciones simples requieran soluciones ISMS simples. (1)

Enfoque de proceso

La Norma Técnica Peruana promueve la adopción de un enfoque

del proceso para establecer, implementar, operar, monitorear,

mantener y mejorar la efectividad de un ISMS en la organización.

Una organización debe identificar y administrar varias

actividades con el fin de funcionar efectivamente. Cualquier

31

actividad que administre y use recursos para lograr la

transformación de entradas en salidas, puede ser considerada

un proceso. Con frecuencia la salida de un proceso se convierte

en la entrada del proceso siguiente.

La aplicación de un sistema de procesos dentro de una

organización, junto con la identificación e interacciones de estos

procesos y su administración se define como un “enfoque de

proceso”.

El modelo conocido como “Planear-Hacer-Verificar-Actuar” -

PDCA (Plan-Do-Check-Act), por sus siglas en inglés, puede

aplicarse a todos los procesos ISMS. La Figura 2 ilustra cómo un

ISMS toma como entrada los requisitos y expectativas de

seguridad de la información de las partes interesadas y a través

de las acciones y procesos necesarios genera productos de

seguridad de la información (es decir: gestión de la seguridad de

la información) que cumple estos requisitos y expectativas.

32

Figura 2. Modelo PDCA aplicado al proceso ISMS

Fuente: Norma Técnica Peruana NTP-ISO/IEC 27001:2008

Planear (establecer el ISMS)

Establecer las políticas, objetivos, procesos y procedimientos de

seguridad relevantes para administrar el riesgo y mejorar la

seguridad de la información para obtener resultados de acuerdo

con las políticas y objetivos de la organización.

Hacer (implementar y operar el ISMS)

Implementar y operar las políticas, controles, procesos y

procedimientos de seguridad.

Verificar (monitorear y revisar el ISMS)

Monitorear y evaluar el funcionamiento de los procesos con

respecto a las políticas, objetivos y experiencia práctica de

33

seguridad, informando sobre los resultados obtenidos a la

gerencia para su revisión.

Actuar (mantener y mejorar el ISMS)

Tomar acciones correctivas y preventivas basándose en los

resultados de la revisión gerencial para alcanzar la mejora

continua del ISMS.

2.2.2. Seguridad de la información:

Seguridad

“Una de las acepciones de la Real Academia Española para el

termino seguro, que es la que aquí nos interesa, es la de estar

libre y exento de todo peligro, daño o riesgo”. (2)

Información

“Es un activo, el cual, como cualquier otro activo de negocios,

tiene valor para una organización y consecuentemente necesita

ser protegido adecuadamente”. (3)

Seguridad de la Información

La definición de la seguridad de la información en el contexto de

esta investigación lo transcribimos textualmente de la Norma

Técnica Peruana NTP-ISO/IEC 27001: 2008, primera edición:

“Preservar la confidencialidad, integridad y disponibilidad de la

información; además, también pueden ser involucradas otras

34

características como la autenticación, responsabilidad, no-

repudio y fiabilidad”. (1)

Este concepto, se aplica en forma amplia a la información como

activo de la organización al margen del medio que lo soporte que

puede ser papel o los distintos tipos de dispositivos electro-

magnéticos. En cualquiera de sus formas; sea texto, voz o video

y durante todo el ciclo de vida de la misma (Recepción,

almacenamiento, procesamiento y distribución).

2.2.3. Sistema de Gestión

“El sistema de gestión es la herramienta que permite controlar

los efectos económicos y no económicos de la actividad de la

empresa. El control, en este caso, se define como aquella

situación en que se dispone de conocimientos ciertos y reales de

lo que está pasando en la empresa, tanto internamente como en

su entorno y permite planificar, en cierta manera, lo que pasará

en el futuro. Mide el aprovechamiento eficaz y permanente de los

recursos que posee la empresa para el logro de sus objetivos”.

(4)

2.2.4. Sistema de Gestión de la Seguridad de la Información (SGSI)

SGSI son las siglas utilizadas para referirse a un Sistema de

Gestión de la Seguridad de la Información, una herramienta de

35

gran utilidad y de importante ayuda para la gestión de las

organizaciones. El SGSI, ayuda en las empresas a establecer

políticas, procedimientos y controles en relación a los objetivos

de negocio de la organización, con objeto de mantener siempre

el riesgo por debajo del nivel asumible por la propia

organización. Para los responsables de la entidad; es una

herramienta, alejada de tecnicismos, que les ofrece una visión

global sobre el estado de sus sistemas de información, las

medidas de seguridad que se están aplicando y los resultados

que se están obteniendo de dicha aplicación. Todos estos datos

permiten a la dirección una toma de decisiones sobre la

estrategia a seguir. (5)

2.2.5. Amenazas, vulnerabilidades y riesgo

Amenaza, potencial de una fuente de amenaza que pueda

explotar una vulnerabilidad específica ya se accidental o

deliberadamente. Las fuentes más comunes de las amenazas se

identifican por su naturaleza y estas provienen de: La naturaleza,

causada por inundaciones, terremotos, tormentas etc., humanas

ya sean estas accidentales, por errores o deliberadas, y las

ambientales como son la contaminación, fallas del suministro

eléctrico prolongado etc.

Vulnerabilidad, defecto o debilidad en los procedimientos de los

sistemas de seguridad, diseño, configuración o controles internos

36

que puede ser aprovechado por alguna fuente de amenaza para

atentar contra o violar las políticas de seguridad.

Riesgo, probabilidad de la materialización de una amenaza

debido a la explotación de una vulnerabilidad y la magnitud de su

impacto. (6)

2.2.6. Estado del arte de la Seguridad de la Información

El fenómeno de la globalización como proceso político,

económico y social en el mundo ha dado lugar al surgimiento de

muchas regulaciones. Desde la directiva de la Unión Europea de

protección de datos a Basel II o Sarbanes-Oxley, solo para

nombrar unos pocos; las organizaciones obligadas a cumplir con

estas regulaciones gubernamentales usualmente implementan

marcos de trabajo reconocidos como COBIT o ISO 17799, a

continuación se describen los más importantes: (7)

Ley Sarbanes –Oxley (SOX). Marco regulatorio para Gobierno

corporativo, reporte financiero y control interno. La sección 404

de la ley manda, entre otros requerimientos de reporte y

auditoría, que las compañías establezcan un sistema de

controles internos para asegurar un adecuado reporte financiero

(Agosto, 2002).

Ley de Responsabilidad y Portabilidad de los Seguros de

Salud (HIPAA). El objetivo del HIPAA fue reformar el mercado

de los seguros de salud y simplificar los procesos administrativos

37

del sector salud, mientras se robustecía la privacidad y seguridad

de la información de los pacientes y las entidades relacionada

con la salud (Agosto, 1996).

BASEL II Accord. Establecimiento de directivas para la

implementación de controles para la gestión de riesgo crediticio y

operacional para el sector Bancario entró en vigor en el año

2003/2004.Gramm Leach Billey Act (GLBA). También conocido

como la ley de modernización del sector financiero de 1999.

Incluye directivas para la creación de nuevas regulaciones sobre

la privacidad y seguridad de la información de los clientes.

California Individual Privacy Senate Bill (SB 1386). Ley del

Senado de California sobre la privacidad individual. Que obliga a

cualquier organización dentro del estado a notificar cualquier

incidencia relacionada con la revelación de la información

privada de los residentes de California.

The Federal Information Security Management Act FISMA.

Ley Federal de Estados Unidos aprobada en el 2002, que manda

a las agencias gubernamentales realizar una evaluación del

estado de seguridad para sus sistemas clasificados y no

clasificados y que incluya un análisis de riesgo y seguridad antes

de la aprobación del presupuesto.

Food and Drug Administration (FDA). Regulación para la

Industria farmacéutica, establece un conjunto de controles y

38

procedimientos técnicos para el tratamiento de registros y firmas

electrónicas.

ISO 17799. Recomendaciones de mejores prácticas sobre la

Gestión operativa de la Seguridad de la información.

ISO 27001. Especificación estándar de los principales

requerimientos para un sistema de Gestión de la Seguridad de la

Información, contra la cual las organizaciones pueden certificar.

COBIT. Objetivos de control para la información y tecnología

relacionadas. Conjunto de buenas prácticas para la gerencia de

TI, usado a menudo para lograr el cumplimiento de regulaciones

de las tecnologías de la información.

ITIL. Marco de trabajo muy popular para la gestión de los

servicios de Tecnologías de la información.

COSO. Establece un marco de trabajo integrado y una definición

común de controles internos, estándares, y criterios contra el

cual las compañías y organizaciones pueden evaluar sus

sistemas de control.

NIST 800. Instituto Nacional de estándares y Tecnología de los

EE.UU, provee guías para la seguridad de los recursos de

información basados en computadora, explicando conceptos

importantes, consideración de costos e interrelación de los

controles de seguridad.

ISO 13335. Es un compendio de 5 documentos que de forma

práctica aborda la seguridad de las Tecnologías de la

39

Información y orienta sobre los aspectos de su gestión,

describiendo aspectos conceptuales, gestión, planificación,

selección de controles y la seguridad de las redes.

La norma ISO 15408. Define los criterios comunes de seguridad

que las tecnologías de la información deben respetar. Estos

criterios comunes permiten la evaluación de las funciones de

seguridad a través de once clases funcionales y exigencias de

garantía entre ellos la auditoria, la comunicación, soporte

criptográfico, etc.

2.3. Definiciones conceptuales

Activo: Algo que presenta valor para la organización. (8)

Disponibilidad: Garantizar que los usuarios autorizados tengan acceso

a la información y activos asociados cuando sea necesario. (8)

Confidencialidad: Garantizar que la información sea accesible

únicamente para quienes tengan acceso autorizado. (8)

Evento de la seguridad de la información: Ocurrencia identificada en

un sistema, servicio o red indicando una posible brecha de la política de

seguridad de la información o falla de las salvaguardas o una situación

desconocida previa que puede ser relevante. (9)

40

Incidente de la seguridad de la información: Una serie de eventos no

deseados que tienen una probabilidad significativa de comprometer

operaciones del negocio y amenazar la seguridad de la información. (9)

Integridad: Salvaguardar la exactitud e integridad de la información y

activos asociados. (8)

Riesgo residual: Riesgo remanente después de un tratamiento del

riesgo. (10)

Aceptación del riesgo: Decisión de aceptar el riesgo. (10)

Análisis del riesgo: Uso sistemático de información para identificar

amenazas y estimar el riesgo. (10)

Estimación del riesgo: Proceso total de análisis y evaluación del riesgo.

(10)

Evaluación del riesgo: Proceso de comparación del riesgo estimado

frente al criterio de riesgo para determinar el significado del riesgo. (10)

Gestión del riesgo: Actividades coordinadas para dirigir y controlar el

riesgo en una organización. (10)

Tratamiento del riesgo: Proceso de selección e implementación de

controles para minimizar el riesgo. (10)

Declaración de aplicabilidad: Documento que describe los objetivos de

control y los controles que son relevantes y aplicables al ISMS de la

organización. (1)

41

2.4. Bases epistémicos

Entre los enfoques teóricos que sustentan esta investigación, se han

considerado los supuestos de la historia, seguridad, estándares de

seguridad, norma ISO/IEC 27001:2005, políticas de seguridad,

administración del riesgo, entre otras. En ese sentido, se parte de un

enfoque epistemológico sistémico, basado en una teoría que concibe la

estructura como una concepción, que según Hurtado (11), “es aquella

donde la realidad es vista bajo una concepción sistemática, en la cual la

integración de elementos cumple funciones y configura estructuras”.

III. METODOLOGIA

3.1. Tipo de investigación

La investigación aplicada es una actividad que tiene por finalidad la

búsqueda y consolidación del saber, y la aplicación de los conocimientos

para el enriquecimiento del acervo cultural y científico, así como la

producción de tecnología al servicio del desarrollo integral del país.

La investigación para la acción es la investigación orientada a la solución

de problemas en el más breve plazo, por tanto debe considerar una

interrelación permanente del conocimiento teórico con los elementos de

la realidad.

La investigación aplicada está interesada en la aplicación de los

conocimientos a la solución de un problema práctico inmediato. (12)

42

3.2. Nivel de investigación

El nivel de ésta investigación será correlacional debido a que pretende

determinar el grado de relación de la variable independiente con la

variable dependiente.

3.3. Método de investigación

Los métodos empleados en la presente investigación serán:

─ Método Descriptivo - Explicativo: permite lograr una mejor

comprensión de la realidad.

─ Método Analítico - Sintético: permite precisar las posibles causas y

soluciones de la problemática planteada.

─ Método Comparativo: permite establecer semejanzas y diferencias

el grupo control y el grupo experimental de la investigación.

3.4. Diseño y esquema de la investigación

El diseño de un SGSI basado en la aplicación de la “Norma Técnica

Peruana ISO/IEC 27001:2008 EDI. Tecnología de la información.

Técnicas de seguridad. Sistemas de gestión de seguridad de la

información. Requisitos”, será de tipo correlacional.-

GE: Grupo experimental.

r: grado de correlación o asociación.

VI: variable independiente

43

VD: variable dependiente.

3.5. Población y muestra

POBLACIÓN

Lo constituye todo el personal de PECOR que tenga acceso a información

relacionada a las actividades de la institución en la sede central de la ciudad de

Pucallpa. Esta población viene a ser de 120 personas.

MUESTRA

La muestra para el presente estudio de investigación, se estimó siguiendo los

criterios que ofrece la estadística, por ello se hizo uso del método probabilístico,

mediante la técnica del muestreo aleatorio simple, teniendo en cuenta las

siguientes consideraciones:

N = Población ()

n = Tamaño de la muestra necesaria.

P = Probabilidad de que evento ocurra (50%)

Q = Probabilidad de que el evento no ocurra (50%)

2/Z =

= 0,05

VI

GE: r

VD

44

Cuya fórmula matemática es: PQZN

PQNn

Z

2/22 1

2/2

Obteniéndose una muestra de 92 personas, para realizar las entrevistas, de los

cuales, se tiene desglosada la muestra estratificada, al cual se aplicaran los

instrumentos de medida.

3.6. Definición operativa de los instrumentos de recolección de

datos.

Encuesta

La encuesta puede definirse como un conjunto de técnicas destinadas a

reunir, de manera sistemática, datos sobre determinado tema o temas

relativos a una población, a través de contactos directos o indirectos con

los individuos o grupo de individuos que integran la población estudiada.

Cuestionario es un instrumento consistente en una serie de preguntas a

las que contesta el mismo respondedor. (13)

Entrevista

La entrevista es una técnica denominada de “elaboración y registro de

datos mediante conversaciones”, que considera a la conversación como la

unidad mínima de la interacción social. Es aquella destinada a comprobar

los conocimientos o experiencias de una persona a detalle.

45

Para Powney y Watts, una entrevista es simplemente una conversación

entre dos o más personas, donde uno o más participantes toman la

responsabilidad de reportar lo substancial (cualitativo) que se dice. (14)

Análisis Documental

El análisis de documentos o análisis documental consiste en analizar la

información registrada en materiales duraderos que se denominan

documentos. Se consideran dos tipos básicos de documentos: escritos y

visuales. Entre los escritos, se pueden considerar actas, circulares, cartas,

diarios, discursos, periódicos, revistas, programas de cursos, materiales

políticos, leyes y decretos. (15)

3.7. Técnicas de recojo, procesamiento y presentación de datos.

Fuente Técnica Instrumento Agente

Primaria

Encuesta Cuestionario

EntrevistaGuía de

entrevista

SecundariaAnálisis

documental

Fichas

(Textuales y de

resumen)

3.8. Diseño estadístico: validación de hipótesis

En primer lugar se procederá a la clasificación de los datos que servirán

para los fines de la investigación; se pasará luego a la codificación de la

información seleccionada para facilitar el manejo de la misma; se

procederá luego a la tabulación de los datos para elaborar los

46

correspondientes cuadros estadísticos y para finalizar se realizará el

análisis e interpretación de la información obtenida.

El mecanismo estadístico a ser utilizado es el Software SPSS para

generar una base de datos y procesar la información recolectada.

Para ello se realizará una prueba piloto y se procesara con:

- Diferencia de medias para las variables

- Anova (Análisis de varianza) para la hipótesis principal.

47

IV. CRONOGRAMA

Diagrama 1: Cuadro con cronograma de acciones

Actividades2012 2013

Set. Oct. Nov. Dic. Ene. Feb. Mar. Abril.

1 Elección del tema x

2 Elaboración del proyecto x x

3 Corrección y presentación del proyecto x x

4Preparación y reproducción de los

instrumentos de recolección de datos x x

5Desarrollo del marco teórico y

conceptual x x

6 Desarrollo del experimento x x

7Aplicación de los instrumentos de

recolección de datos x

8Tabulación y elaboración de cuadros

estadísticos x x

9 Análisis de interpretación deresultados x

10 Redacción del primer borrador x

11 Redacción final x x

12 Presentación del informe final x

48

V. PRESUPUESTO

5.1. Potencial humano

Cuadro 1. Presupuesto de recursos humanos

Recursos Humanos CostoCant. Unidad Descripción Unitario

S/.Total S/.

3 mes Asistente 500.00 1500.00

1 mes Encuestador 500.00 500.00

Total 2000.00

5.2. Recursos materiales

Cuadro 2. Presupuesto de materiales

Cant. Unidad Descripción SubTotal S/.

Total S/.

1 S/U Recolección de datos 50.00 50.001 S/U Fotocopias 100.00 100.001 S/U Impresión 200.00 200.001 S/U Materiales de oficina 150.00 150.006 S/U Movilidad 100.00 600.006 S/U Gastos de telefonía 50.00 300.00

Total 1400.00

5.3. Recursos financieros

Cuadro 3. Resumen de presupuestos

Descripción Costo S/.

Materiales 1400.00

Recursos Humanos 2000.00

Total: 3400.00

49

VI. REFERENCIAS BIBLIOGRAFICAS

1. INDECOPI, Comisión de Normalización y de Fiscalización de Barreras Comerciales NoArancelarias -. EDI. Tecnología de la información. Técnicas de seguridad. Sistemas degestión de seguridad de la información. Requisitos. Lima : s.n., 2009. NTP ISO/IEC27001:2008.

2. López, Purificación Aguilera. Seguridad informática. s.l. : Editex, 2010.

3. AGUILAR, MOISES ANTONIO VILLENA. Tesis: SISTEMA DE GESTION DE SEGURIDAD DEINFORMACION PARA UNA. Lima : PONTIFICIA UNIVERSIDAD CATOLICA DEL PERU, 2006.

4. Segura, Francisco Ogalla. Sistema de gestión: Una guía práctica. España : Ediciones Díazde Santos, 01/04/2005. ISBN: 84-7978-695-7.

5. INTECO. Implantación de un SGSI en la empresa.

6. NIST. Special Publication 800-30. Special Publication 800-30. 2002.

7. Saxe, Paquet y. The Business Case for Network Security: Advocacy, Governance, and ROI.2004.

8. International Organization for Standardization y Comisión Electrotécnica Internacional.ISO/IEC 13335-1:2004. 2004. ISO/IEC 13335-1:2004.

9. ISO/IEC TR 18044:2004. ISO/IEC TR 18044:2004.

10. ISO/IEC Guide 73:2002. 2002. ISO/IEC Guide 73:2002.

11. Hurtado, M. Metodología de la investigación holística. Caracas - Venezuela : SYPAL, 2000.

12. Ávila Acosta, R.B. Metodología de la Investigación. 2005.

13. A. Zapata, Oscar. Herramientas para elaborar tesis e investigaciones socioeducativas.México D.F. : Editorial Pax México, 2007.

14. Balcázar, Patricia. Investigación cualitativa. México D.F. : Universidad Autónoma delEstado de México, 2006.

15. Vázquez Navarrete, M. Luisa, y otros, y otros. Introducción a las técnicas cualitativas deinvestigación aplicadas en la salud. Barcelona : Servei de Publicacions, 2006.

16. Standardization, International Organization for y Commission, InternationalElectrotechnical. ISO/IEC 27001. Information technology - Security techniques -Information security management systems - Requirements. 2005. ISO/IEC 27001.

50

Anexo 1: Matriz de consistencia.

TITULO FORMULACIÓN DELPROBLEMA

OBJETIVOS HIPÓTESIS VARIABLES DIMENSIONES/INDICADORES

METODOLOGÍA

“LA NORMA TECNICAPERUANA ISO/IEC27001:2008 Y LA

SEGURIDAD DE LAINFORMACION EN PECOR”

SINTOMAS

1. No se aplican políticas de seguridadde la información en PECOR.

2. Filtración de información clasificadahacia el exterior de PECOR.

3. Los usuarios no están preparadospara reportar los incidentes deseguridad de los sistemas deinformación.

4. No se ejecutan planes de continuidadde las operaciones informáticas.

5. Debilitación de la ImagenInstitucional.

CAUSAS

1. No se tienen identificados los riesgosde seguridad de la información.

2. No se implementa ni se actualiza elmanual de políticas de seguridad dela información.

3. En la institución no existe un área ouna persona asignada para laboresexclusivas de seguridad de lainformación.

4. Los usuarios no reciben capacitaciónactualizada en temas de seguridad dela información.

5. No existe planes de continuidad delas operaciones informáticas.

PROBLEMA:

“Insuficiente seguridad de la informaciónen la empresa PECOR”

PRINCIPAL:

¿De qué manera laNorma Técnica PeruanaISO/IEC 27001:2008mejora la seguridad de lainformación en PECOR?

ESPECÍFICOS

1. ¿Cuáles son lasprincipales áreas oprocesos de PECORdonde existe riesgosde seguridad de lainformación?

2. ¿Cómo aplicamos laNorma TécnicaPeruana ISO/IEC27001:2008 enPECOR?

3. ¿Cuál es el grado deasociación ycorrelación entre laNorma TécnicaPeruana ISO/IEC27001:2008 y laseguridad de lainformación enPECOR?

4. ¿En qué medida laNorma TécnicaPeruana ISO/IEC27001:2008 mejora laseguridad de lainformación enPECOR?

GENERAL:

Determinar como la NormaTécnica Peruana ISO/IEC27001:2008 mejora laseguridad de la informaciónen PECOR.

ESPECÍFICOS

1. Identificar lasprincipales áreas oprocesos de PECORdonde existe riesgos deseguridad de lainformación.

2. Aplicar la NormaTécnica PeruanaISO/IEC 27001:2008para mejorar laseguridad de lainformación en PECOR.

3. Medir el grado decorrelación entre laNorma Técnica PeruanaISO/IEC 27001:2008 y laseguridad de lainformación en PECOR.

4. Proponer un Sistema deGestión de Seguridadde la Informaciónbasado en la NormaTécnica PeruanaISO/IEC 27001:2008 quemejore la seguridad dela información enPECOR.

GENERAL:

“La Norma Técnica PeruanaISO/IEC 27001:2008 mejora laseguridad de la información enla empresa PECOR”.

ESPECÍFICOS

1. “Es posible identificar lasprincipales áreas oprocesos de PECOR dondeexista riesgos de seguridadde la información”.

2. “Es necesario aplicar laNorma Técnica PeruanaISO/IEC 27001:2008 enPECOR”.

3. “La Norma TécnicaPeruana ISO/IEC27001:2008 posee ungrado de asociación ycorrelación con laseguridad de lainformación en PECOR”.

4. “Es posible diseñar unSistema de Gestión deSeguridad de laInformación basado en laNorma Técnica PeruanaISO/IEC 27001:2008 quemejore la seguridad de lainformación en PECOR”.

VARIABLEDEPENDIENTE:

Seguridad de lainformación.

VARIABLEINDEPENDIENTE:

Norma TécnicaPeruana ISO/IEC27001:2008.

VARIABLEINTERVINIENTE:

PECOR.

GESTIÓN

Reducción de pérdidaspor vulnerabilidades

Accesos controlados deusuarios

Vulnerabilidadesverificadas y tratadas

Nivel deConcientización

.

SEGURIDAD DE LAINFORMACION

Riesgos identificados. Políticas de Seguridad. Controles implantados. Numero de incidencias. Procedimientos de

seguridad.

TIPO DE INVESTIGACIÓN Aplicada.

NIVEL DE INVESTIGACIÓN No experimental – Transversal - Descriptivo.

MÉTODOS Método Descriptivo - Explicativo. Método Analítico - Sintético. Método Comparativo.

DISEÑO Descriptivo simple.

GE: M → x 1 → O1

POBLACIÓN:120 trabajadores

MUESTRA:92 trabajadores

SW DE PROC. DE DATOS: SPSS

Fuentes Técnicas HerramientasPrimaria Encuesta Cuestionario

Entrevista Guía de entrevistaSecundaria Análisis

documentalFichas textualesy de resumen

51

Anexo 2. Matriz de Operacionalización de Variables

52