UNIVERSIDAD NACIONAL DE UCAYALI ESCUELA DE POSGRADO
Maestría Maestría en Ingenierí Ingeniería a de Sistemas Sistemas Mención: Gestión de Tecnologías Tecnologías de de Información Información
Proyecto de tesis:
“LA NORMA TECNICA TECNICA PERUANA PERUANA ISO/IEC ISO/IEC 27001:2008 27001:2008 Y LA SEGURIDAD SEGURIDAD DE DE LA INFORMACION INFORMACION EN EN PECOR PECOR”
TESISTA: TESISTA: EDWIN TORRE TORRE SUÁREZ SUÁREZ
Puca Pucall llpa pa – Perú Perú 2012
Tabla de contenido
I.
PROB PROBLE LEMA MA DE INVE INVEST STIG IGA ACIÓN IÓN .......................................... ....................................... 6 1.1.. Descr 1.1 Descripc ipción ión del proble problema ma..................................................................................6 1.2.. Formul 1.2 Formulaci ación ón de dell proble problema ma ......................................... ............................................. . 8 1.2.1. Problema roblema gene general ral .......................................... .............................................. . 8 1.2. 1.2.2. 2. Probl Problem emas as espe especí cífic ficos os .......................................... ...................................... 8 1.3. .3. Objetiv tivos ........................................... .............................................. ........................... 9
1.3.1. Objetivo general ........................................... .............................................. . 9 1.3.2. Objetivos específicos.......................................... ....................................... 9 1.4. .4. Hipó ipótesis ........................................... .............................................. ........................ 10 1.4.1. Hipótesis general.......................................... ............................................. 10 1.4.2. Hipótesis específicos .......................................... ..................................... 10 1.5. .5. Variab iables ........................................... .............................................. ........................ 10 1.5.1. Variable independiente........................................ .................................... 10 1.5.2. Variable dependiente .......................................... ..................................... 10 1.5.3. Variable interviniente .......................................... ..................................... 10 1.5.4. Unidad de análisis .............................................. ...................................... 11 1.6.. Operac 1.6 Operacion ionali alizac zación ión de las las variab variables les............................................ .................... 11 1.7.. Justif 1.7 Justifica icació ción n e import importan ancia cia........................................... ..................................... 12 1.8. .8. Viab Viabil ilid idaad .......................................... .............................................. ........................ 15 1.9. 1.9. Limi Limita taci cion ones es............................................. ............................................. ................. 16 1.10. Delimitac Delimitación ión ............................................. ............................................. ................. 16 II. MARCO TEÓRICO ............................................. ............................................. ................. 17 2.1. 2.1. Antec nteced eden ente tess ........................................... .............................................. ................ 17 2.2. .2. Bases ses teór teóric icaas .......................................... ............................................. ................ 29 2.3. 2.3. Defin Definic icio ione ness conc concep eptu tual ales es ............................................ ..................................... 39 2.4. 2.4. Base Basess epis episté témi mico coss .......................................... .............................................. ....... 41 III .
METODOLOGIA ......................................... .............................................. ........................ 41 3.1. 3.1. Tipo Tipo de de inve invesstiga tigacción ión ............................................ .............................................. 41 3.2. 3.2. Nive Nivell de inve invest stig igac ació ión n ............................................ ............................................. 42 3.3. 3.3. Mé Méto todo do de inve invest stig igac ació ión n......................................... ............................................ 42
3.4.. Diseño 3.4 Diseño y esqu esquema ema de de la inves investig tigac ación ión ........................................ ................... 42 3.5. 3.5. Pobl Poblac ació ión n y mues muestr traa .............................................. .............................................. 43 3.6. Definición operativa de los instrumentos de recolección de datos. .............. .............. 44 ..................... .......... ... 45 3.7. Técnicas de recojo, procesamiento y presentación de datos. ..............
3.8.. Diseño 3.8 Diseño est estadí adístic stico: o: valid validaci ación ón de de hipót hipótesi esiss ............................................ ............ 45
IV.
CRONOGRAMA ......................................... .............................................. ........................ 47
V.
PRESUPUESTO ......................................... .............................................. ........................ 48 5. 5.1. 1. Pote Potenc ncia iall huma humano no ............................................. .............................................. ........ 48 5.2. 5.2. Re Recu curso rsoss ma mate teri rial ales es .......................................... .............................................. ....... 48 5.3. 5.3. Re Recu curso rsoss fina financ ncie iero ross ......................................... .............................................. ....... 48
VI. VI.
REFE REFERE RENC NCIA IAS S BIBL BIBLIO IOGR GRA AFICA FICAS S ......................................... .................................... 49
ANEXOS
Lista Lista de figura figurass Figura Figura 1. Organigra Organigrama ma del del PECOR…………………… PECOR………………………………………… ……………………………………… ………………….. 8 Figura Figura 2. Mod Modelo elo PDCA PDCA aplica aplicado do al proceso proceso ISMS…… ISMS……………. ……….………… …………………… ………………… ……….. 32
Lista Lista de diagrama diagramass Diagrama Diagrama 1: Cuadro con cronogra cronograma ma de acciones acciones …………………………………… ………………………………………….. …….. 47
Lista Lista de cuadros cuadros Cuadro 1. Presupuesto de recursos humanos....................................................................48 Cuadro 2. Presupuesto de materiales.................................................................................48 Cuadro Cuad ro 3. Resumen Resumen de presupues presupuestos tos ............ ......................... ............................... ............................... ............................... ........................48 ......48
Lista Lista de anexo anexo Anexo 1: Matriz de consistencia. consistencia. ........... ...................... ..................... ...................... ....................... .................... ................... ...................... ..............50 ..50 Anexo 2: Matriz de Operacionalización Operacionalización de Variables …………………………………….….. 51
Lista Lista de tabla tablass ........... 11 Tabla 1. Indicadores del sistema de gestión de seguridad de la información ........... Tabla 2.Indicadores de la seguridad de la información .......................................... .................. 11
6
I.
PROBLEMA DE INVESTIGACIÓN 1.1. Descripción del problema La empresa PECOR es un proyecto especial que se encarga de reducir el espacio cocalero a nivel nacional, con la finalidad de contribuir a la interrupción del ciclo de producción de drogas ilícitas.
El Proyecto Especial PECOR, es un organismo creado en el Perú para controlar y reducir el espacio cocalero (DS. Nº 043-82-AG), desde su creación (1982) hasta diciembre del año 2010, ha erradicado 142,102.64 has de plantaciones de coca ilegales y excedentes. Paralelamente, en toda su trayectoria institucional, ha eliminado 1’523,322.67 m2 de almácigos que hubiesen dado origen a 101,554.82 has de nuevas plantaciones de coca.
El desarrollo de los trabajos de reducción del espacio cocalero implica que los integrantes del PECOR y PNP afronten riesgos, como: •
Enfrentamientos con los cocaleros y población aledaña a los cultivos ilegales de coca, propiciados por personas interesadas en ganar espacios políticos, a través de infundados reclamos sociales.
•
Atentados por parte de agricultores cocaleros, traficantes de drogas ilícitas y/o delincuentes terroristas, mediante el empleo de armas de fuego, artefactos explosivos, lanzadoras de piedra (hondas de jebe y huaracas), objetos de ataque directo (palos con púas y/o clavos, machetes) y/o colocación de minas y tramperos.
7
•
Campañas comunicacionales contra la imagen de las instituciones, por parte de cocaleros y traficantes de drogas ilícitas, manipulando información carente de veracidad sobre temas como: excesiva violencia policial, muertes y heridos inexistentes, empleo de químicos y hongos en el proceso de erradicación, fracaso del Programa de Desarrollo Alternativo (PDA) y de la política de erradicación, daño a sus viviendas y cultivos, entre otros; con la finalidad de generar confusión en la opinión pública.
Teniendo en cuenta que el PECOR para realizar sus actividades cuenta con bastante información sensible relacionada a sus operativos de campo y otras actividades que pueden ser de utilidad para que un atacante externo relacionado con los riesgos antes mencionados, pueda perpetrar un atentado contra ellos. Al mismo tiempo también existe el riesgo de ataques internos ya que siempre queda abierta la posibilidad de un ataque realizado por un trabajador disconforme. Un ataque simple puede originar daños catastróficos a la institución si es que no cuenta con controles que mitiguen la probabilidad de ocurrencia de estos. Es en este punto, aunque actualmente en PECOR existen algunos controles de seguridad de la información, estos son insuficientes, por lo tanto surge la necesidad de contar con un Sistema de Gestión de Seguridad de la Información para mitigar, no solo distintas modalidades de ataques, sino también casos de fuga de información, modificación indebida, entre otros casos que pueden realizarse, brindando un nivel aceptable de seguridad.
8
Figura 1. Organigrama del PECOR
1.2. Formulación del problema 1.2.1. Problema general ¿De qué manera la Norma Técnica Peruana ISO/IEC 27001:2008 mejora la seguridad de la información en PECOR? 1.2.2. Problemas específicos 1. ¿Cuáles son las principales áreas o procesos de PECOR donde existen riesgos de seguridad de la información? 2. ¿Cómo aplicamos la Norma Técnica Peruana ISO/IEC 27001:2008 en PECOR?
9
3. ¿Cuál es el grado de asociación y correlación entre la Norma Técnica Peruana ISO/IEC 27001:2008 y la seguridad de la información en PECOR? 4. ¿En qué medida la Norma Técnica Peruana ISO/IEC 27001:2008 mejora la seguridad de la información en PECOR?
1.3. Objetivos 1.3.1. Objetivo general Determinar como la Norma Técnica Peruana ISO/IEC 27001:2008 mejora la seguridad de la información en PECOR. 1.3.2. Objetivos específicos 1. Identificar las principales áreas o procesos de PECOR donde existe riesgos de seguridad de la información. 2. Aplicar la Norma Técnica Peruana ISO/IEC 27001:2008 para mejorar la seguridad de la información en PECOR. 3. Medir el grado de correlación entre la Norma Técnica Peruana ISO/IEC 27001:2008 y la seguridad de la información en PECOR. 4. Proponer un Sistema de Gestión de Seguridad de la Información basado en la Norma Técnica Peruana ISO/IEC 27001:2008 que mejore la seguridad de la información en PECOR.
10
1.4. Hipótesis 1.4.1. Hipótesis General “La Norma Técnica Peruana ISO/IEC 27001:2008 mejora la seguridad de la información en la empresa PECOR”.
1.4.2. Hipótesis específicos •
“Es posible identificar las principales áreas o procesos de PECOR donde exista riesgos de seguridad de la información”.
•
“Es necesario aplicar la Norma Técnica Peruana ISO/IEC 27001:2008 en PECOR”.
•
“La Norma Técnica Peruana ISO/IEC 27001:2008 posee un grado de asociación y correlación con la seguridad de la información en PECOR”
•
“Es posible diseñar un Sistema de Gestión de Seguridad de la Información basado en la Norma Técnica Peruana ISO/IEC 27001:2008 que mejore la seguridad de la información en PECOR”.
1.5. Variables 1.5.1. Variable independiente Norma Técnica Peruana ISO/IEC 27001:2008. 1.5.2. Variable dependiente Seguridad de la información. 1.5.3. Variable interviniente PECOR.
11
1.5.4. Unidad de análisis Áreas o procesos de PECOR.
1.6. Operacionalización de las variables Tabla 1.Indicadores del Sistema de Gestión de Seguridad de la Información Dimensiones
Indicadores No. de objetivos estratégicos
Plan
No. Factores críticos de éxito No. Factores claves de éxito Hacer
No. objetivos estratégicos ejecutados
Revisar
Nº total de incidencias Tiempo de absolución de incidencias No. de objetivos alcanzados
Acción
Nº de áreas o procesos atendidos
Tabla 2.Indicadores de la seguridad de la información Dimensiones Confidencialidad
Indicadores Número de accesos no autorizados Número de revelaciones no autorizadas
Integridad
Número de modificaciones no autorizadas
Disponibilidad
Número de documentos no disponibles Tiempo de respuesta para consulta de información
12
1.7. Justificación e importancia 1.7.1. Justificación teórica Para PECOR, la información es un activo vital para el éxito y la continuidad de sus operaciones en general y específicamente en sus operaciones de campo para alcanzar eficientemente sus objetivos y metas institucionales. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la institución. Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la institución. Actualmente en PECOR existe una necesidad muy grande de asegurar la información por medio del desarrollo e implantación de un SGSI que garanticen la integridad, confiabilidad y disponibilidad de la misma. La seguridad de la información, según la Norma Técnica Peruana ISO/IEC 27001:2008 (1), consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización. Estos tres términos constituyen la base sobre la que se cimienta todo el modelo de seguridad de la información: •
Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.
13
•
Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.
•
Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.
1.7.2. Justificación práctica Al aplicar la Norma Técnica Peruana ISO/IEC 27001:2008 en PECOR, permitirá en primer lugar, obtener una reducción de riesgos debido al establecimiento y seguimiento de controles sobre ellos. Con ello se logrará reducir las amenazas hasta alcanzar un nivel asumible. De este modo, si se produce una incidencia, los daños se minimizan y la continuidad del negocio estará asegurada. En segundo lugar, se producirá un ahorro de costes derivado de una racionalización de los recursos. Se eliminan los gastos innecesarios e ineficientes como las producidas por desestimar o sobrestimar riesgos. En tercer lugar, la seguridad será considerada un sistema y se convierte en una actividad de gestión. La seguridad dejará de ser un conjunto de actividades más o menos organizadas y pasará a transformarse en un ciclo de vida metódico y controlado, en el que participará toda la organización.
14
En cuarto lugar, la organización se asegura el cumplimiento del marco legal que protege a la empresa de aspectos que probablemente no se habían tenido en cuenta anteriormente. Por último, pero no por ello menos importante, la certificación del Sistema de Gestión de Seguridad de la Información contribuirá a mejorar la competitividad, haciéndola más fiable e incrementando su imagen institucional.
1.7.3. Justificación metodológica La aplicación de la Norma Técnica Peruana ISO/IEC 27001:2008 en PECOR para diseñar un Sistema de Gestión de la Seguridad de la Información constituye una herramienta importante para potenciar a la institución a que logre un adecuado posicionamiento en el corto plazo, la consecución de sus objetivos y cumplimiento de las normas legales relacionados con la seguridad de la información. La metodología en el diseño del SGSI que se aplica permite lograr un diagnóstico actual del entorno, diseñar y aplicar estrategias y finalmente proyectar a la empresa en el futuro inmediato.
1.7.4. Importancia La importancia de realizar una propuesta de una plataforma para la implementación
de
la
Norma
Técnica
Peruana
ISO/IEC
27001:2008, surge de la necesidad de la mejora continua para
15
PECOR, así como también lograr un mejor funcionamiento y eficiencia en el manejo de la información. La relevancia de esta investigación se centra en el aspecto de las cualidades y características de la información o activos que maneja PECOR, los cuales son de tipo planificación operativa, gestión financiera, asuntos legales, adquisiciones y manejo de personal; es de suma importancia establecer una estrategia de seguridad, que combata y disminuya las vulnerabilidades y amenazas de éstos. Esta investigación busca demostrar la importancia de aplicar estándares para la seguridad de la información en todo tipo de organizaciones. También resalta la importancia de sistematizar varias actividades propias de las Tecnologías de Información relacionados con las seguridad de la información (auditoria técnica de la plataforma TI, sistema de detección de intrusos, análisis de vulnerabilidades, inventario de activos, control de accesos, etc.)
1.8. Viabilidad Este proyecto es viable puesto que brinda un aporte a la gestión de las Tecnologías de Información y a su vez cumple con los lineamientos establecidos en el reglamento de la Escuela de Postgrado de la Universidad Nacional de Ucayali.
16
1.9. Limitaciones No existe un estudio previo o investigación previa relacionada con el tema a nivel de PECOR, esto restringe la posibilidad de desarrollo de una investigación de campo a nivel institucional. 1.10.Delimitación La investigación se desarrollará en las áreas o procesos de PECOR ubicados en la ciudad de Pucallpa.
17
II. MARCO TEÓRICO 2.1.
Antecedentes 1. Tesis: “Factores inhibidores en la implementación de sistemas de gestión de la seguridad de la información basado en la NTPISO/IEC 17799 en la administración pública” para optar el grado académico de Magíster en Dirección y Gestión de Tecnologías de Información, presentado por Alipio Mariño Obregón en la Universidad Nacional Mayor de San Marcos; Facultad de Ingeniería de Sistemas e Informática - Unidad de Postgrado, Lima - Perú 2010. Cuyo objetivo específico es: “ El propósito de la presente investigación es realizar un análisis cuantitativo de las causas o factores inhibidores que han influido en el bajo nivel de implantación de la Norma Técnica NTP-ISO/IEC 17799 Código de buenas prácticas para la gestión de la seguridad de la información en las Entidades del Sistema Nacional de Informática”. Como resultado o aporte de esta investigación
tenemos lo siguiente: “…se confirma, de acuerdo al análisis que la Seguridad de la información no está comprendido dentro del proceso de planificación estratégica que realizan dichas Instituciones y por lo tanto no constituye un objetivo estratégico dentro de las instituciones estudiadas, no hay una plan establecido a nivel estratégico para la seguridad de la Información. En consecuencia no hay metas y objetivos concretos a este nivel que se puedan reflejar con consistencia en el Plan Operativo y Presupuesto Institucional, como además; manda la Ley 28411 Ley General del Sistema Nacional de
18
Presupuesto, el cual señala claramente que el presupuesto Institucional se debe articular con el Plan Estratégico Institucional y que éste a su vez con el Plan Operativo Institucional (POI), de cada Institución….
no
hay,
un
entendimiento
claro
sobre
la
responsabilidad global de la seguridad de la información dentro de la Institución, lo cual se refleja en que el nivel de liderazgo para la implementación mayormente descansa en los gerentes o jefes de Área de Informática y sin el compromiso de la alta dirección, con un enfoque de seguridad informática más que a la Seguridad de la Información. Por las razones expuestas, esta investigación, ha determinado que el bajo nivel alcanzado en la implementación de la Norma de Seguridad en los Organismos Públicos Descentralizados Adscritos a la PCM tiene como causa principal el hecho de que la Seguridad de la Información a pesar de formar parte de los objetivos estratégicos del plan de acción de la Agenda Digital Peruana, objetivo No. 5 desarrollo de Gobierno Electrónico, estrategia 5.1, acción No 6 “Desarrollo de un plan de seguridad de la información para el sector público”, y declarado obligatorio por resolución ministerial de la PCM desde el año 2004, no ha sido incorporado en el planeamiento estratégico de cada una de las Instituciones , no forma parte del conjunto de objetivos estratégicos del mismo y como consecuencia
no
se
garantiza
las
metas
presupuestarias
correspondientes, dificultando la ejecución de los planes de corto, mediano y largo plazo del proyecto de implementación de la Norma”.
19
2. Tesis: “Diseño de un sistema de gestión de seguridad de información para una compañía de seguros” para optar el título de ingeniero informático, presentado por Carlos Enrique Ampuero Chang en la Pontificia Universidad Católica del Perú, abril 2011. Cuyo objetivo es: “ Utilizar estándares y buenas prácticas reconocidos mundialmente para poder desarrollar cada una de las etapas del diseño del Sistema de Gestión de Seguridad de Información (SGSI) y así poder tener una base que se pueda implementar en cualquier compañía de seguros”. Como resultado o
aporte de esta investigación tenemos lo siguiente: “ Con un SGSI como el expuesto en la tesis se pueden solucionar los siguientes problemas:
•
Cumplir con la normativa impuesta por la SBS (la circular G140) para todas las compañías de seguros que operen en territorio peruano.
•
Brindar un nivel aceptable de seguridad con relación a la información que maneja la empresa, evitando incidentes que puedan afectar en la operativa diaria de la misma.
•
Contar con un modelo que se amolde al paso del tiempo y se pueda actualizar siempre, debido a las revisiones periódicas a las que se ve sujeto el SGSI ”.
3. Tesis: “Propuesta de Políticas de Seguridad de la Información para el Sistema SIABUC” para obtener el grado de Maestra en
20
Tecnologías de la Información, presentada por Amalia Flores Muñoz, en la Universidad de COLIMA en la facultad de Telemática, Colima, Col; junio de 2009. Cuyo objetivo es: “ Proponer un esquema de políticas de seguridad de la información del acervo bibliográfico electrónico del sistema SIABUC de la Universidad de Colima alineado a estándares internacionales”. Como resultado o aporte de esta investigación
tenemos lo siguiente: “ Por lo anteriormente citado es necesario estudiar las medidas que se toman para proteger la información en el sistema SIABUC que utiliza la Universidad de Colima. Esto llevará a la concientización y la implantación de políticas, controles y procedimientos que eviten la divulgación de la información de forma inadecuada. Esto también permitirá que otras áreas de la Universidad tomen medidas similares para proteger su información ”.
4. Tesis: “Metodología de Implantación de un SGSI en un grupo empresarial jerárquico” para optar el grado de maestría en ingeniería en computación, presentado por Gustavo Pallas Mega en la Universidad de la República, facultad de ingeniería, Montevideo, Uruguay Diciembre 2009. Trabajo donde el “ El propósito es dar lineamientos metodológicos, de aplicación sistemática para el diseño, implantación, mantenimiento, gestión, monitoreo y evolución de un SGSI según la norma ISO 27.001, para una empresa perteneciente a un grupo empresarial, la cual además está
21
subordinada con respecto a una empresa principal del grupo. Además se ilustra con un Caso de Estudio, los principales aspectos de aplicación de la misma”. Como resultado de esta investigación
tenemos lo siguiente: “ Este trabajo aporta una metodología con esta concepción de enfoque global y sistémico, atendiendo a la pertenencia de la empresa a un grupo empresarial, y a su vez pragmático, a los efectos que la misma sea, no sólo viable, sino conveniente y efectiva, dando una estructura u organigrama para lograr la coordinación necesaria y especificando los procedimientos que deben cumplirse en cada fase, promoviendo no sólo la reutilización y coherencia integral de la seguridad sino también fomentando la sinergia entre las empresas del grupo … en referencia a la estrategia de análisis y gestión de riesgos así como de planificación, implementación y seguimiento del SGSI, proponemos un enfoque mixto, de dirección centralizada pero con la autonomía necesaria
a
nivel
de
cada
dominio
y
cada
empresa,
fundamentalmente en la gestión de controles y en la percepción del impacto de los riesgos locales. Esto permitirá aunar criterios y optimizar recursos cuando los riesgos deban afrontarse en forma conjunta”.
5. Tesis:
“Formulación
de
un modelo
electrónico
y una
metodología que permitan diseñar, implantar y mantener un plan de sistema de gestión de seguridad de la información para pymes: e-SGSI”, para optar al grado de magister en seguridad
22
informática y protección de información, presentado por Eric José Donders Orellana en la Universidad Central de Chile - Facultad de Ciencias Físicas y Matemáticas, Santiago, Región Metropolitana, Chile 2010. Cuyo objetivo es: “ Disminuir los tiempos y costos de Implementación de un Sistema de Gestión de Seguridad de la información para las PYMES en el mediano plazo, en conformidad con la norma ISO 27001 y dar cumplimiento a las mejores prácticas según lo establecido en la norma ISO 27002 ”. Como resultado o
aporte de esta investigación tenemos lo siguiente: “ La metodología propuesta es aplicable, es decir, permite implantar un SGSI en la PYME. El uso de la plataforma e-SGSI en su calidad de prototipo permiten en forma efectiva acortar los tiempos y costos de implantar un SGSI en la PYME ”.
6. Tesis: “Evaluación de procedimientos de seguridad de la información utilizando ISO 27002 y COBIT”, presentado por Giuliana Jakeline García Paredes y Verónika Yaneth Guillén Camarena, para optar el título profesional de Ingeniero de Sistemas en la Universidad Nacional Mayor de San Marcos, Facultad de Ingeniería de Sistemas e Informática, E.A.P. de Ingeniería de Sistemas, Lima - Perú 2009. Cuyo objetivo es “ Establecer el nivel de madurez de los procedimientos de seguridad de la información aplicando una metodología y proponiendo indicadores tomando como base ISO
23
27002 y COBIT ”. El aporte de esta investigación según las
conclusiones de la misma, es lo siguiente: “ Tomando en cuenta todas estas características y basándonos en el mapa del nivel de madurez establecido por COBIT, podemos concluir que al momento de iniciar con la metodología planteada este procedimiento se encontraba en el nivel de madurez 2: Repetible pero Intuitivo. Al implantar los cambios propuestos en los procedimientos y tomando como base los objetivos de control de la norma ISO 27002 para el caso de PetroAmérica se obtuvieron resultados que demuestran que existe una mejora en los procesos, lo cual se ve reflejado en los resultados obtenidos en el primer trimestre del año 2009 y la visible ayuda en la toma de decisiones y oportunidades de mejora. Debemos tener en cuenta que la metodología implantada seguirá un ciclo continuo (PDCA) ya que siempre ocurrirán oportunidades de cambio. Para implantar esta metodología sobre la base de la norma ISO27002 se debe tener pleno conocimiento de cómo se llevan a cabo los procesos en el área o áreas involucradas, así como contar con el visto bueno de los jefes de área o en su defecto de la alta gerencia y el apoyo del personal de TI para reducir costos y tiempo ”.
7. Tesis: “Sistema de Gestión de Seguridad de Información para una Institución Financiera”, presentado por Moisés Antonio Villena
24
Aguilar, para optar el título de ingeniero informático en la Pontificia Universidad Católica del Perú, Lima 2006. Cuyo objetivo es: “… establecer los principales lineamientos para poder implementar de manera exitosa, un adecuado modelo de sistema de gestión de seguridad de información (SGSI) en una institución financiera en el Perú, el cual apunte a asegurar que la tecnología de información usada esté alineada con la estrategia de negocio y que los activos de información tengan el nivel de protección acorde con el valor y riesgo que represente para la organización”. El aporte de esta investigación según las conclusiones
de la misma es: “… para implantar una adecuada gestión de seguridad de información en una institución financiera, el primer paso es obtener el apoyo y soporte de la alta gerencia, haciéndolos participes activos de lo que significa mantener adecuadamente protegida la información de la institución financiera. Al demostrarles lo importante que es la protección de la información para los procesos de negocio, se debe esperar de la alta gerencia su participación continua ”.
8. Tesis: “Sistema de Gestión de Seguridad de la Información (SGSI) para mejorar la Seguridad de la Información en la Realidad Tecnológica de la USAT - 2008”, presentado por Cesar Wenceslao De la Cruz y Juan Carlos Vásquez Montenegro para optar el título profesional de licenciado en Ingeniería de Sistemas y
25
Computación en la Universidad Católica Santo Toribio de Mogrovejo, Chiclayo Perú 2008.
Cuyo objetivo es: “ Realizar un diagnóstico de la situación actual de la seguridad de información en la USAT. Analizar y comprender la seguridad de los sistemas de información dentro de la USAT. Evaluar las áreas encargadas del cuidado y distribución de la información a través de una metodología de trabajo con encuestas, cuestionarios, entrevistas y otros. Identificar, a través del análisis de riesgo, los puntos fuertes y débiles de los sistemas de información (Tecnología de información y comunicaciones)”. El aporte de esta
investigación según las conclusiones de la misma es: “ Concluimos dando respuesta a una de las preguntas que nos planteábamos al principio, nuestro SGSI ¿nos ayudará a gestionar nuestra seguridad?, ahora una vez finalizado nuestro proyecto, damos como respuesta una afirmación. SI nos ayuda a gestionar nuestra seguridad siempre y cuando tengamos en cuenta las siguientes pautas que creemos que son la columna vertebral de todo Sistema de Gestión de seguridad de la Información y que fueron las que trabajamos meticulosamente: Primera Pauta: Saber qué información tienen las áreas involucradas en el proyecto y donde se encuentra. Segunda Pauta: Saber el valor de la información que tienen y las dificultades de volverla a crear si se daña, pierde.
26
Tercera Pauta: Saber quiénes están autorizados para acceder a la información y qué pueden hacer con ella. Puesto que al iniciar nuestro proyecto, sin tener muy claro lo que se pretendía lograr se nos mostraron estas pautas aparentemente simples de alcanzar; sin embargo, este desarrollo es un poco tedioso, pero a la vez satisfactorio, ya que, las respuestas nos permitieron el diseño e implementación de nuestro proyecto”.
9. Tesis: “Formu lación de un Plan de Seguridad d e Inform ación aplicando las normas ISO 27001 y 27002, para mejorar la Seguridad de la Inform ación en la g estión financ iera de la Caja Sip án: u n c aso de apl icac ión d e la m etod olo gía MA GERIT utilizando el softw are Pilar 4.2. ” , presentado
por Ana Pilar de Jesús
Maco Chonate para optar el título profesional: Ingeniero de Sistemas y Computación en la Universidad Católica Santo Toribio de Mogrovejo, Chiclayo Perú 2006. Cuyo objetivo es: “ Mejorar la seguridad de la información en la Caja Sipán, a través de la aplicación de las normas ISO 27001 y 27002, utilizando la Metodología Magerit y una herramienta tecnológica”. El
aporte de esta investigación según las conclusiones de la misma es: “…se concluye que mediante la adecuada implementación del plan de seguridad basado en normas ISO 27001 y 27002 usando la metodología MAGERIT se logró incrementar la seguridad en las políticas de seguridad de la Empresa Sipán como muestran los
27
siguientes indicadores: En el caso de los trabadores del área de tecnología
de
información
de
la
Caja
Sipán,
se
obtuvo
estadísticamente un cambio de valor significativo en cuanto su conocimiento sobre la existencia de un comité de seguridad de la información en un 14%, el conocimiento sobre la existencia de sanciones para aquellos usuarios que infrinjan las políticas de seguridad de la información de la Caja Sipán creció en un 43%, la importancia de la existencia de un registro de todos aquellos inconvenientes que se presentan tanto con el software o hardware aumento en un 100%, sobre la observación de algún trabajador que haya ingerido líquidos o alimentos cuando se encuentra trabajando con algún equipo informático disminuyo en un 29%, por último la opinión de la Caja Sipán si está en condiciones frente a algún desastre humano creció en un 71% . Por otro lado los trabajadores externos al área de tecnología de información de la Caja Sipán, Como se observa en los resultados obtenidos, en las encuestas realizadas a los trabajadores externos al área de tecnología de información de la Caja Sipán, que estadísticamente existe una diferencia significativa en un antes y después, en cuanto a: el conocimiento de la existencia de un comité de seguridad de la información, se dio un cambio porcentual de un 8%, al igual que se obtuvo
sobre
sus
conocimientos
de
la
existencia
de
la
documentación de las políticas de seguridad de la información con un cambio porcentual de 82%, otro punto que también tuvo una
28
diferencia significativa fueron, el compartimiento de sus claves el 50% cambio de manera de pensar. Si se presentó algún un conveniente con su software presentaron este al área encargada 22%, la percepción de capacitaciones para cualquier desastre humano o natural aumentó en un 83% y la observación de algún trabajador que ha ingerido líquidos o alimentos cuando se encuentra trabajando con algún equipo informático a disminuido en un 63%”. 10. Tesis: “ELABORAR UNA METODOLOGÍA APLICANDO LA NORMA ISO/IEC 27001 EN LA IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) EN EL DESITEL DE LA ESPOCH”, presentado por Verónica Isabel Gavilanes Pilco, para optar el título de Ingeniera en Sistemas Informáticos en la escuela superior politécnica de Chimborazo, facultad de informática y electrónica escuela de Ingeniería en Sistemas, Riobamba – Ecuador 2011. Cuyo objetivo es: “Elaborar una Metodología aplicando la norma ISO/IEC 27001 en la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) en el DESITEL de la ESPOCH”. El aporte de esta investigación según las conclusiones de la misma es: “El estudio realizado de políticas y reglamentos para la seguridad de la información permite visualizar con mayor claridad la
29
importancia y el valor de la información para la Organización adaptados a la necesidad de protección de datos.
Mediante la recopilación de la información de los activos involucrados en los sistemas de información pertenecientes al DESITEL, se pudo constatar los problemas actuales de falencias en el mantenimiento, organización y la falta de una metodología de seguridad de la información basadas en normas que garanticen su seguridad. El estudio de la Norma ISO 27001 ha permitido mejorar el conocimiento de los sistemas de seguridad de la información, sus problemas y los medios de protección además cubre el vacío que ha generado la inexistencia de un método documentado, sobre cómo proceder a implantar un Sistema de Gestión de Seguridad de la Información” .
2.2.
Bases teóricas 2.2.1. Norma Técnica Peruana ISO/IEC 27001:2008 EDI. Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de seguridad de la información. Requisitos.
Aspectos generales La Norma Técnica Peruana ha sido elaborada por el Comité Técnico Permanente de Codificación e Intercambio Electrónico
30
de Datos (EDI), mediante el Sistema 1 o Adopción, durante los meses de mayo a octubre del 2008, utilizando como antecedente la ISO/IEC 27001:2005 Information technology – Security techniques – Information security management systems – Requirements. La Norma Técnica Peruana de Seguridad de la Información ha sido preparada con el fin de ofrecer un modelo para establecer, implementar, operar, monitorear, mantener y mejorar un efectivo Sistema de Gestión de Seguridad de la Información ISMS, por sus siglas en Inglés (Information Security Management System). La adopción de un ISMS debe ser una decisión estratégica para una organización. El diseño e implementación del ISMS de una organización está influenciado por las necesidades y objetivos del negocio, requisitos de seguridad, procesos, tamaño y estructura de la organización. Se espera que éstos y sus sistemas de soporte cambien a lo largo del tiempo, así como que las situaciones simples requieran soluciones ISMS simples. (1)
Enfoque de proceso La Norma Técnica Peruana promueve la adopción de un enfoque del proceso para establecer, implementar, operar, monitorear, mantener y mejorar la efectividad de un ISMS en la organización. Una
organización
debe
identificar
y
administrar
varias
actividades con el fin de funcionar efectivamente. Cualquier
31
actividad que administre y use recursos para lograr la transformación de entradas en salidas, puede ser considerada un proceso. Con frecuencia la salida de un proceso se convierte en la entrada del proceso siguiente.
La aplicación de un sistema de procesos dentro de una organización, junto con la identificación e interacciones de estos procesos y su administración se define como un “enfoque de proceso”.
El modelo conocido como “Planear-Hacer-Verificar-Actuar” PDCA (Plan-Do-Check-Act), por sus siglas en inglés, puede aplicarse a todos los procesos ISMS. La Figura 2 ilustra cómo un ISMS toma como entrada los requisitos y expectativas de seguridad de la información de las partes interesadas y a través de las acciones y procesos necesarios genera productos de seguridad de la información (es decir: gestión de la seguridad de la información) que cumple estos requisitos y expectativas.
32
Figura 2. Modelo PDCA aplicado al proceso ISMS
Fuente: Norma Técnica Peruana NTP-ISO/IEC 27001:2008 Planear (establecer el ISMS) Establecer las políticas, objetivos, procesos y procedimientos de seguridad relevantes para administrar el riesgo y mejorar la seguridad de la información para obtener resultados de acuerdo con las políticas y objetivos de la organización. Hacer (implementar y operar el ISMS) Implementar y operar las políticas, controles, procesos y procedimientos de seguridad. Verificar (monitorear y revisar el ISMS) Monitorear y evaluar el funcionamiento de los procesos con respecto a las políticas, objetivos y experiencia práctica de
33
seguridad, informando sobre los resultados obtenidos a la gerencia para su revisión. Actuar (mantener y mejorar el ISMS) Tomar acciones correctivas y preventivas basándose en los resultados de la revisión gerencial para alcanzar la mejora continua del ISMS.
2.2.2. Seguridad de la información: Seguridad “Una de las acepciones de la Real Academia Española para el termino seguro, que es la que aquí nos interesa, es la de estar libre y exento de todo peligro, daño o riesgo”. (2)
Información “Es un activo, el cual, como cualquier otro activo de negocios, tiene valor para una organización y consecuentemente necesita ser protegido adecuadamente”. (3)
Seguridad de la Información La definición de la seguridad de la información en el contexto de esta investigación lo transcribimos textualmente de la Norma Técnica Peruana NTP-ISO/IEC 27001: 2008, primera edición: “Preservar la confidencialidad, integridad y disponibilidad de la información; además, también pueden ser involucradas otras
34
características como la autenticación, responsabilidad, norepudio y fiabilidad” . (1)
Este concepto, se aplica en forma amplia a la información como activo de la organización al margen del medio que lo soporte que puede ser papel o los distintos tipos de dispositivos electromagnéticos. En cualquiera de sus formas; sea texto, voz o video y durante todo el ciclo de vida de la misma (Recepción, almacenamiento, procesamiento y distribución).
2.2.3. Sistema de Gestión “El sistema de gestión es la herramienta que permite controlar los efectos económicos y no económicos de la actividad de la empresa. El control, en este caso, se define como aquella situación en que se dispone de conocimientos ciertos y reales de lo que está pasando en la empresa, tanto internamente como en su entorno y permite planificar, en cierta manera, lo que pasará en el futuro. Mide el aprovechamiento eficaz y permanente de los recursos que posee la empresa para el logro de sus objetivos ”.
(4)
2.2.4. Sistema de Gestión de la Seguridad de la Información (SGSI) SGSI son las siglas utilizadas para referirse a un Sistema de Gestión de la Seguridad de la Información, una herramienta de
35
gran utilidad y de importante ayuda para la gestión de las organizaciones. El SGSI, ayuda en las empresas a establecer políticas, procedimientos y controles en relación a los objetivos de negocio de la organización, con objeto de mantener siempre el riesgo por debajo del nivel asumible por la propia organización. Para los responsables de la entidad; es una herramienta, alejada de tecnicismos, que les ofrece una visión global sobre el estado de sus sistemas de información, las medidas de seguridad que se están aplicando y los resultados que se están obteniendo de dicha aplicación. Todos estos datos permiten a la dirección una toma de decisiones sobre la estrategia a seguir. (5)
2.2.5. Amenazas, vulnerabilidades y riesgo Amenaza, potencial de una fuente de amenaza que pueda explotar una vulnerabilidad específica ya se accidental o deliberadamente. Las fuentes más comunes de las amenazas se identifican por su naturaleza y estas provienen de: La naturaleza, causada por inundaciones, terremotos, tormentas etc., humanas ya sean estas accidentales, por errores o deliberadas, y las ambientales como son la contaminación, fallas del suministro eléctrico prolongado etc. Vulnerabilidad, defecto o debilidad en los procedimientos de los sistemas de seguridad, diseño, configuración o controles internos
36
que puede ser aprovechado por alguna fuente de amenaza para atentar contra o violar las políticas de seguridad. Riesgo, probabilidad de la materialización de una amenaza debido a la explotación de una vulnerabilidad y la magnitud de su impacto. (6)
2.2.6. Estado del arte de la Seguridad de la Información El fenómeno de la globalización como proceso político, económico y social en el mundo ha dado lugar al surgimiento de muchas regulaciones. Desde la directiva de la Unión Europea de protección de datos a Basel II o Sarbanes-Oxley, solo para nombrar unos pocos; las organizaciones obligadas a cumplir con estas regulaciones gubernamentales usualmente implementan marcos de trabajo reconocidos como COBIT o ISO 17799, a continuación se describen los más importantes: (7) Ley Sarbanes –Oxley (SOX). Marco regulatorio para Gobierno corporativo, reporte financiero y control interno. La sección 404 de la ley manda, entre otros requerimientos de reporte y auditoría, que las compañías establezcan un sistema de controles internos para asegurar un adecuado reporte financiero (Agosto, 2002). Ley de Responsabilidad y Portabilidad de los Seguros de Salud (HIPAA). El objetivo del HIPAA fue reformar el mercado de los seguros de salud y simplificar los procesos administrativos
37
del sector salud, mientras se robustecía la privacidad y seguridad de la información de los pacientes y las entidades relacionada con la salud (Agosto, 1996). BASEL II Accord. Establecimiento de directivas para la implementación de controles para la gestión de riesgo crediticio y operacional para el sector Bancario entró en vigor en el año 2003/2004.Gramm Leach Billey Act (GLBA). También conocido como la ley de modernización del sector financiero de 1999. Incluye directivas para la creación de nuevas regulaciones sobre la privacidad y seguridad de la información de los clientes. California Individual Privacy Senate Bill (SB 1386). Ley del Senado de California sobre la privacidad individual. Que obliga a cualquier organización dentro del estado a notificar cualquier incidencia relacionada con la revelación de la información privada de los residentes de California. The Federal Information Security Management Act FISMA. Ley Federal de Estados Unidos aprobada en el 2002, que manda a las agencias gubernamentales realizar una evaluación del estado de seguridad para sus sistemas clasificados y no clasificados y que incluya un análisis de riesgo y seguridad antes de la aprobación del presupuesto. Food and Drug Administration (FDA). Regulación para la Industria farmacéutica, establece un conjunto de controles y
38
procedimientos técnicos para el tratamiento de registros y firmas electrónicas. ISO 17799. Recomendaciones de mejores prácticas sobre la Gestión operativa de la Seguridad de la información. ISO
27001.
Especificación
estándar
de
los
principales
requerimientos para un sistema de Gestión de la Seguridad de la Información, contra la cual las organizaciones pueden certificar. COBIT. Objetivos de control para la información y tecnología relacionadas. Conjunto de buenas prácticas para la gerencia de TI, usado a menudo para lograr el cumplimiento de regulaciones de las tecnologías de la información. ITIL. Marco de trabajo muy popular para la gestión de los servicios de Tecnologías de la información. COSO. Establece un marco de trabajo integrado y una definición común de controles internos, estándares, y criterios contra el cual las compañías y organizaciones pueden evaluar sus sistemas de control. NIST 800. Instituto Nacional de estándares y Tecnología de los EE.UU, provee guías para la seguridad de los recursos de información basados en computadora, explicando conceptos importantes, consideración de costos e interrelación de los controles de seguridad. ISO 13335. Es un compendio de 5 documentos que de forma práctica aborda la seguridad de las Tecnologías de la
39
Información y orienta sobre los aspectos de su gestión, describiendo aspectos conceptuales, gestión, planificación, selección de controles y la seguridad de las redes. La norma ISO 15408. Define los criterios comunes de seguridad que las tecnologías de la información deben respetar. Estos criterios comunes permiten la evaluación de las funciones de seguridad a través de once clases funcionales y exigencias de garantía entre ellos la auditoria, la comunicación, soporte criptográfico, etc.
2.3.
Definiciones conceptuales Activo: Algo que presenta valor para la organización. (8) Disponibilidad: Garantizar que los usuarios autorizados tengan acceso a la información y activos asociados cuando sea necesario. (8) Confidencialidad: Garantizar que la información sea accesible únicamente para quienes tengan acceso autorizado. (8) Evento de la seguridad de la información: Ocurrencia identificada en un sistema, servicio o red indicando una posible brecha de la política de seguridad de la información o falla de las salvaguardas o una situación desconocida previa que puede ser relevante. (9)
40
Incidente de la seguridad de la información: Una serie de eventos no deseados que tienen una probabilidad significativa de comprometer operaciones del negocio y amenazar la seguridad de la información. (9) Integridad: Salvaguardar la exactitud e integridad de la información y activos asociados. (8) Riesgo residual: Riesgo remanente después de un tratamiento del riesgo. (10) Aceptación del riesgo: Decisión de aceptar el riesgo. (10) Análisis del riesgo: Uso sistemático de información para identificar amenazas y estimar el riesgo. (10) Estimación del riesgo: Proceso total de análisis y evaluación del riesgo. (10) Evaluación del riesgo: Proceso de comparación del riesgo estimado frente al criterio de riesgo para determinar el significado del riesgo. (10) Gestión del riesgo: Actividades coordinadas para dirigir y controlar el riesgo en una organización. (10) Tratamiento del riesgo: Proceso de selección e implementación de controles para minimizar el riesgo. (10) Declaración de aplicabilidad: Documento que describe los objetivos de control y los controles que son relevantes y aplicables al ISMS de la organización. (1)
41
2.4.
Bases epistémicos Entre los enfoques teóricos que sustentan esta investigación, se han considerado los supuestos de la historia, seguridad, estándares de seguridad, norma ISO/IEC 27001:2005, políticas de seguridad, administración del riesgo, entre otras. En ese sentido, se parte de un enfoque epistemológico sistémico, basado en una teoría que concibe la estructura como una concepción, que según Hurtado (11), “ es aquella donde la realidad es vista bajo una concepción sistemática, en la cual la integración de elementos cumple funciones y configura estructuras”.
III. METODOLOGIA 3.1.
Tipo de investigación La investigación aplicada es una actividad que tiene por finalidad la búsqueda y consolidación del saber, y la aplicación de los conocimientos para el enriquecimiento del acervo cultural y científico, así como la producción de tecnología al servicio del desarrollo integral del país. La investigación para la acción es la investigación orientada a la solución de problemas en el más breve plazo, por tanto debe considerar una interrelación permanente del conocimiento teórico con los elementos de la realidad. La investigación aplicada está interesada en la aplicación de los conocimientos a la solución de un problema práctico inmediato. (12)
42
3.2.
Nivel de investigación El nivel de ésta investigación será correlacional debido a que pretende determinar el grado de relación de la variable independiente con la variable dependiente.
3.3.
Método de investigación Los métodos empleados en la presente investigación serán: ─
Método Descriptivo - Explicativo: permite lograr una mejor comprensión de la realidad.
─
Método Analítico - Sintético: permite precisar las posibles causas y soluciones de la problemática planteada.
─
Método Comparativo: permite establecer semejanzas y diferencias el grupo control y el grupo experimental de la investigación.
3.4.
Diseño y esquema de la investigación El diseño de un SGSI basado en la aplicación de la “ Norma Técnica Peruana ISO/IEC 27001:2008 EDI. Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de seguridad de la información. Requisitos”, será de tipo correlacional.GE: Grupo experimental. r:
grado de correlación o asociación.
VI:
variable independiente
43
VD: variable dependiente.
VI
GE: r VD
3.5.
Población y muestra POBLACIÓN
Lo constituye todo el personal de PECOR que tenga acceso a información relacionada a las actividades de la institución en la sede central de la ciudad de Pucallpa. Esta población viene a ser de 120 personas. MUESTRA
La muestra para el presente estudio de investigación, se estimó siguiendo los criterios que ofrece la estadística, por ello se hizo uso del método probabilístico, mediante la técnica del muestreo aleatorio simple, teniendo en cuenta las siguientes consideraciones: N = Población () n = Tamaño de la muestra necesaria. P = Probabilidad de que evento ocurra (50%) Q = Probabilidad de que el evento no ocurra (50%) Z
α
ε
/2
=
= 0,05
44
Z
Cuya fórmula matemática es: n = ε
2
2 α
/2
PQN
( N − 1) + Z
2 α
/2
PQ
Obteniéndose una muestra de 92 personas, para realizar las entrevistas, de los cuales, se tiene desglosada la muestra estratificada, al cual se aplicaran los instrumentos de medida.
3.6. Definición operativa de los instrumentos de recolección de datos. Encuesta La encuesta puede definirse como un conjunto de técnicas destinadas a reunir, de manera sistemática, datos sobre determinado tema o temas relativos a una población, a través de contactos directos o indirectos con los individuos o grupo de individuos que integran la población estudiada. Cuestionario es un instrumento consistente en una serie de preguntas a las que contesta el mismo respondedor. (13)
Entrevista La entrevista es una técnica denominada de “elaboración y registro de datos mediante conversaciones”, que considera a la conversación como la unidad mínima de la interacción social. Es aquella destinada a comprobar los conocimientos o experiencias de una persona a detalle.
45
Para Powney y Watts, una entrevista es simplemente una conversación entre dos o más personas, donde uno o más participantes toman la responsabilidad de reportar lo substancial (cualitativo) que se dice. (14) Análisis Documental El análisis de documentos o análisis documental consiste en analizar la información registrada en materiales duraderos que se denominan documentos. Se consideran dos tipos básicos de documentos: escritos y visuales. Entre los escritos, se pueden considerar actas, circulares, cartas, diarios, discursos, periódicos, revistas, programas de cursos, materiales políticos, leyes y decretos. (15)
3.7. Técnicas de recojo, procesamiento y presentación de datos. Fuente
Técnica Encuesta
Primaria Entrevista
Secundaria
Análisis documental
Instrumento
Agente
Cuestionario Guía de entrevista Fichas (Textuales y de resumen)
3.8. Diseño estadístico: validación de hipótesis En primer lugar se procederá a la clasificación de los datos que servirán para los fines de la investigación; se pasará luego a la codificación de la información seleccionada para facilitar el manejo de la misma; se procederá luego a la tabulación de los datos para elaborar los
46
correspondientes cuadros estadísticos y para finalizar se realizará el análisis e interpretación de la información obtenida. El mecanismo estadístico a ser utilizado es el Software SPSS para generar una base de datos y procesar la información recolectada. Para ello se realizará una prueba piloto y se procesara con: -
Diferencia de medias para las variables
-
Anova (Análisis de varianza) para la hipótesis principal.
47
IV.
CRONOGRAMA Diagrama 1: Cuadro con cronograma de acciones 2012
Actividades
2013
Set. Oct. Nov. Dic. Ene. Feb. Mar. Abril.
x
1
Elección del tema
2
Elaboración del proyecto
3
Corrección y presentación del proyecto
x
x x
x
x
x
Preparación y reproducción de los 4
instrumentos de recolección de datos Desarrollo
del
marco
teórico
y
x
5
conceptual
6
Desarrollo del experimento
x x
x
Aplicación de los instrumentos de 7
x
recolección de datos Tabulación y elaboración de cuadros
8
9
x
estadísticos Análisis de resultados
interpretación
de
x x
10 Redacción del primer borrador
x
11 Redacción final
x
12 Presentación del informe final
x x
48
V. PRESUPUESTO 5.1. Potencial humano Cuadro 1. Presupuesto de recursos humanos Cant.
Recursos Humanos Unidad Descripción
3
mes
Asistente
1
mes
Encuestador
Costo Unitario Total S/. S/. 500.00 1500.00 500.00 Total
500.00 2000.00
5.2. Recursos materiales Cuadro 2. Presupuesto de materiales Cant. 1 1 1 1 6 6
Unidad S/U S/U S/U S/U S/U S/U
Descripción Recolección de datos Fotocopias Impresión Materiales de oficina Movilidad Gastos de telefonía
Sub Total S/. 50.00 100.00 200.00 150.00 100.00 50.00 Total
5.3. Recursos financieros Cuadro 3. Resumen de presupuestos Descripción
Costo S/.
Materiales
1400.00
Recursos Humanos
2000.00 Total:
3400.00
Total S/. 50.00 100.00 200.00 150.00 600.00 300.00 1400.00
49
VI. REFERENCIAS BIBLIOGRAFICAS 1.
INDECOPI, Comisión de Normalización y de Fiscalización de Barreras Comerciales No Arancelarias -. EDI. Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de seguridad de la información. Requisitos. Lima : s.n., 2009. NTP IS O/IEC 27001:2008.
2.
López, Purificación Aguilera. Seguridad informática. s.l. : Editex, 2010.
3.
AGUILAR, MOISES ANTONIO VILLENA. Tesis: SISTEMA DE GESTION DE SEGURIDAD DE INFORMACION PARA UNA. Lima : PONTIFICIA UNIVERSIDAD CATOLICA DEL PERU, 2006.
4.
Segura, Francisco Ogalla. Sistema de gestión: Una guía práctica. España : Ediciones Díaz de Santos, 01/04/2005. ISBN: 84-7978-695-7.
5.
INTECO. Implantación de un SGSI en la empresa.
6.
NIST. Special Publication 800-30. Special Publication 800-30. 2002.
7.
Saxe, Paquet y. The Business Case for Network Security: Advocacy, Governance, and ROI. 2004.
8.
International Organization for Standardization y Comisión Electrotécnica Internacional. ISO/IEC 13335-1:2004. 2004. ISO/IEC 13335-1:2004.
9.
ISO /IEC TR 18044:2004. ISO/IEC TR 18044:2004.
10. ISO /IEC Guide 73:2002. 2002. ISO/IEC Guide 73:2002. 11. Hurtado, M. Metodología de la investigación holística. Caracas - Venezuela : SYPAL, 2000. 12. Ávila Acosta, R.B. Metodología de la Investigación. 2005. 13. A. Zapata, Oscar. Herramientas para elaborar tesis e investigaciones socioeducativas. México D.F. : Editorial Pax México, 2007. 14. Balcázar, Patricia. Investigación cualitativa. México D.F. : Universidad Autónoma del Estado de México, 2006. 15. Vázquez Navarrete, M. Luisa, y otros, y otros. Introducción a las técnicas cualitativas de investigación aplicadas en la salud. Barcelona : Servei de Publicacions, 2006. 16. Standardization, International Organization for y Commission, International
Electrotechnical. ISO/IEC 27001. Information technology - Security techniques Information security management systems - Requirements. 2005. ISO/IEC 27001.
50
Anexo 1: TITULO
“LA NORMA TECNICA
PERUANA ISO/IEC 27001:2008 Y LA SEGURIDAD DE LA INFORMACION EN PECOR”
1. 2.
No se aplican políticas de seguridad de la informaciónen PECOR. Filtración de información clasif icada hacia el exterior dePECOR.
3.
Los usuarios no están preparados para reportar los incidentes de seguridad
de
los
sistemas
de
información. 4.
No se ejecutan planes de continuidad
5.
de las operaciones informáticas. Debili tación de la Imagen Institucional.
CAUSAS 1.
No se tienen identificados los riesgos de seguridad de la información.
2.
No se implementa ni se actualiza el manual de políticas de seguridad de la información.
3.
FORMULACIÓN DEL PROBLEMA PRINCIPAL:
GENERAL:
GENERAL:
¿De qué manera la Norma Técnica Peruana I SO/I EC 2 70 01 :2 00 8 mejora la seguridad de la información enPECOR?
Determinar comola Norma Técnica Peruana ISO/IEC 27001:2008 mejora la seguridad de la información en PECOR.
“La Norma Técnica Peruana ISO/IEC 27001:2008 mejora la seguridad de la información en la empresaPECOR”.
En la institución no existe un área o
OBJETIVOS
HIPÓTESIS
ESPECÍFICOS
de
seguridad
de
la
información. 4.
Los usuarios no reciben capacitación actualizada en temas de seguridad de la información.
5.
No existe planes de continuidad de las operaciones informáticas.
PROBLEMA: “Insuficiente seguridad de la información en la empresaPECOR”
DIMENSIONES/ INDICADORES
METODOLOGÍA TIPO DE INVESTIGACIÓN
1. ¿Cuáles son las 1. principales áreas o procesos de PECOR donde existe riesgos de seguridad de la información?
Identificar las principales áreas o procesos de PECOR donde existe riesgos de seguridad de la información.
VARIABLE DEPENDIENTE:
1. “Es posible identificar las principales áreas o procesos de PECOR donde exista riesgos de seguridad de la información”.
Aplicada.
GESTIÓN NIVEL DE INVESTIGACIÓN
Reducción de pérdidas por vulnerabilidades
Accesos controlados de usuarios
Seguridad de la información.
No experimental – Transversal- Descriptivo.
MÉTODOS
ESPECÍFICOS
VARIABLE INDEPENDIENTE:
Vulnerabilidades verificadas y tratadas
NormaT écnica PeruanaISO/IEC 27001:2008.
Nivel de Concientización
MétodoDescriptivo - Explicativo. Método Analítico- Sintético. Método Comparativo.
DISEÑO
Descriptivo simple. GE: M → x 1 → O1
POBLACIÓN: .
120 trabajadores
MUESTRA: 2 . ¿ Có mo a pl ic amo s l a 2. Norma Técnica Peruana ISO/IEC 27001:2008 en PECOR?
Aplicar la Norma Técnica Peruana I SO /I EC 2 70 01 :2 00 8 para mejorar la seguridad de la información enPECOR.
2. “Es necesario apli car la Norma Técnica Peruana ISO/IEC 27001:2008 en PECOR”.
3. ¿Cuál es el grado de asociación y correlación entre la Norma Técnica Peruana ISO/IEC 2 70 01 :2 00 8 y la seguridad de la información en PECOR?
3.
Medir el grado de correlación entre la NormaTécnica Peruana ISO/IEC 27001:2008 y la seguridad de la información enPECOR.
3. “La Norma Técnica Peruana ISO/IEC 27001:2008 posee un grado de asociación y correlación con la seguridad de la información enPECOR”.
4. ¿En qué medida la Norma Técnica Peruana ISO/IEC 27001:2008mejora la seguridad de la información en PECOR?
4.
Proponer unSistema de Gestión de Seguridad de la Información basado en la Norma Técnica Peruana ISO/IEC 27001:2008 que mejore la seguridad de la información en PECOR.
4. “Es posible diseñar un Sistema de Gestión de Seguridad de la Información basado en la Norma Técnica Peruana ISO/IEC 27001:2008 que mejore la seguridad de la información enPECOR”.
92 trabajadores
VARIABLE INTERVINIENTE:
SEGURIDAD DE LA INFORMACION
SW DE PROC. DE DATOS:
SPSS
PECOR.
una persona asignada para labores exclusivas
VARIABLES
ESPECÍFICOS
SINTOMAS
Matriz de consistencia.
Riesgosidentificados. Políticas de Seguridad. Controles implantados. Numero de incidencias. Procedimientos de seguridad.
F ue nt es Primaria Secundaria
T éc ni ca s Encuesta E nt re vi st a Análisis documental
H er ra mi en ta s Cuestionario G uí a d e en tr ev is ta Fichas textuales y de resumen
51
Anexo 2.
Matriz de Operacionalización de Variables