UNIVERSIDAD NACIONAL DEL CENTRO DEL PERU
ESCUELA DE POSGRADO
UNIDAD DE POSGRADO DE LA FACULTAD DE INGENIERIA DE SISTEMAS
INFORME DE TESIS
Cultura de seguridad de información en la protección de activos informáticos en la Universidad Nacional Agraria de la Selva, 2018-
2020
PRESENTADO POR :
William Rogelio Marchand Niño
PARA OPTAR EL GRADO ACADÉMICO DE:
DOCTOR EN INGENIERÍA DE SISTEMAS
Huancayo – Perú
2020
UNIVERSIDAD NACIONAL DEL CENTRO DEL PERU UNIDAD DE POSGRADO
FACULTAD DE INGENIERÍA DE SISTEMAS
CIUDAD UNIVERSITARIA EL TAMBO HUANCAYO
ACTA DE SUSTENTACIÓN DE TESIS
En la Plataforma Microsoft TEAMS de la Universidad Nacional del Centro del Perú, en el equipo CANAL DE SUSTENTACIÓN VIRTUAL – UNIDAD DE POSGRADO DE LA FACULTAD DE INGENIERÍA DE SISTEMAS, a los veintitrés días del mes de abril del año dos mil veintiuno, con la presencia de los 5 miembros del Jurado.
Siendo las 3:00 p.m. se dió inicio al Acto de Sustentación por la Plataforma Microsoft Teams, de la Tesis del egresado del Doctorado en Ingeniería de Sistemas.
WILLIAM ROGELIO MARCHAND NIÑO
El secretario dió lectura a la Resolución de la Unidad de Posgrado de la Facultad de Ingeniería de Sistemas Nº 036-2021-DUPGFIS/UNCP, luego la sustentante procedió a exponer su TESIS titulada:
“CULTURA DE SEGURIDAD DE INFORMACIÓN EN LA PROTECCIÓN DE ACTIVOS INFORMÁTICOS EN LA UNIVERSIDAD NACIONAL AGRARIA DE LA SELVA 2018-2020”
Culminada la exposición, los señores Vocales del Jurado procedieron a efectuar las observaciones y preguntas respectivas. Una vez terminada la evaluación, el Secretario del Jurado invitó al Sustentante a abandonar la Plataforma de Microsoft Teams, para la deliberación del caso, pasándose luego a la calificación obteniéndose el siguiente resultado:
APROBADO - BUENO (17)
El Secretario del Jurado pidió que se una el interesado, a conectarse a la Plataforma Microsoft Teams para dar a conocer el resultado final, que fue anunciado por el Presidente.
Se dio por terminado el Acto de Sustentación a las 4:30 p.m. del 23 de abril del dos mil veintiuno, firmando a continuación los miembros del jurado.
Presidente
Dr. HENRY GEORGE MAQUERA QUISPE
Secretario
Dr. JESÚS ULLOA NINAHUAMÁN
VOCAL
Dr. ABRAHAM ESTEBAN GAMARRA MORENO
VOCAL
Dr. HÉCTOR HUAMÁN SAMANIEGO
VOCAL
Dr. RICHARD YURI MERCADO RIVAS
ASESOR
DR. HECTOR HUAMAN SAMANIEGO
Dedicatoria A mi madre.
AGRADECIMIENTOS
A Dios, por mantenerme con vida y salud en este proceso de alcanzar el grado de Doctor en Ingeniería de Sistemas.
A mi madre, por entregar su vida a mi cuidado y educación que me han permitido llegar a estas instancias.
A mi abuelo que de Dios goce por haber asumido el rol de padre hasta el momento de su partida, del cual aprendí a perseverar a pesar de las adversidades.
A mi esposa e hijas, por comprender el sacrificio y la ausencia en muchos momentos por causa de mis estudios.
A mi asesor de tesis, el Dr. Héctor Huamán, por sus acertadas y oportunas recomendaciones en la dirección de esta investigación.
RESUMEN
Esta investigación denominada cultura de seguridad de información para la protección de activos informáticos en la Universidad Nacional Agraria de la Selva trató el problema referido al comportamiento de los usuarios y su relación con la protección de activos informáticos en términos de confidencialidad, integridad y disponibilidad. El objetivo principal fue evaluar la relación entre las dimensiones de concienciación, cumplimiento y apropiación de la cultura de seguridad de información y las dimensiones de la protección de activos, para esto se aplicó una encuesta para el diagnóstico a una muestra de 79 usuarios, además se incorporaron técnicas de ingeniería social para este proceso. Los resultados evidencian los niveles de concienciación, cumplimiento y apropiación de la universidad bajo estudio, los cuales oscilan en promedio entre el nivel de desarrollo y sostenible. Del mismo modo, los resultados respecto a los niveles de las dimensiones de la protección de activos oscilan entre bajo y medio. Se validó la hipótesis estadísticamente, por lo que se concluye que existe una relación significativa entre las variables de la investigación. Como contribución se formuló un modelo de cultura de seguridad de información cuya principal característica es un proceso de diagnóstico complementario entre encuestas y técnicas de ingeniería social, también se incluye el sistema de gestión de seguridad de la información, la gestión de riesgos, la gestión de incidentes como parte del ecosistema de la cultura de seguridad de información en una organización.
Palabras clave: Seguridad de información, cultura de seguridad, ingeniería social.
ABSTRACT
This research denominate information security culture for the protection of computer assets at the National Agrarian University of the Jungle addressed the problem related to user behavior and its relationship with the protection of computer assets in terms of confidentiality, integrity and availability. The main objective was to evaluate the relationship between the dimensions of awareness, compliance and appropriation of the information security culture and the dimensions of asset protection, for this a survey was applied for the diagnosis to a sample of 79 users, they incorporated social engineering techniques for this process. The results show the levels of awareness, compliance, and appropriation of the university under study, which oscillate on average between the level of development and sustainable. Similarly, the results regarding the levels of the asset protection dimensions range from low to medium. The hypothesis was statistically validated, so it is concluded that there is a significant relationship between the variables of the investigation. As a contribution, an information security culture model was formulated whose main characteristic is a complementary diagnostic process between surveys and social engineering techniques, it also includes the information security management system, risk management, management of incidents as part of the information security culture ecosystem in an organization.
Keywords: Information security, security culture, social engineering.
RESUMO
Esta pesquisa denominada cultura de segurança da informação para a proteção de ativos de informática da Universidade Nacional Agrária de La Selva abordou o problema relacionado ao comportamento dos usuários e sua relação com a proteção de ativos de informática em termos de confidencialidade, integridade e disponibilidade. O objetivo principal foi avaliar a relação entre as dimensões de conhecimento, conformidade e apropriação da cultura de segurança da informação e as dimensões de proteção patrimonial, para isso foi aplicado um inquérito para o diagnóstico a uma amostra de 79 usuários, utilizou-se técnicas de engenharia social para este processo. Os resultados mostram os níveis de consciência, adesão e apropriação da universidade em estudo, que oscilam em média entre o nível de desenvolvimento e o sustentável. Da mesma forma, os resultados relativos aos níveis das dimensões de proteção de ativos variam de baixo a médio. A hipótese foi validada estatisticamente, portanto, conclui-se que existe uma relação significativa entre as variáveis da investigação. Como contribuição, foi formulado um modelo de cultura de segurança da informação cuja principal característica é um processo diagnóstico complementar entre pesquisas e técnicas de engenharia social, inclui também o sistema de gestão de segurança da informação, gestão de riscos, gestão de incidentes como parte do ecossistema da cultura de segurança da informação em uma organização.
Palavras-chave: Segurança da informação, cultura de segurança, engenharia social.
INDICE
INTRODUCCIÓN ... 12
CAPÍTULO I MARCO TEÓRICO ... 15
1.1 Antecedentes ... 15
1.2. Bases teóricas y conceptuales ... 24
1.2.1 Cultura de Seguridad de la Información ... 33
1.2.2 Protección de Activos Informáticos ... 34
1.3 Definición de términos básicos ... 35
1.3.1 ISCA. ... 35
1.3.2 Activo ... 35
1.3.3 Ingeniería social. ... 36
1.3.4 Incidente de seguridad. ... 36
1.3.5 Ataque... 36
1.3.6 Amenaza. ... 36
1.3.7 Vulnerabilidad. ... 36
1.4 Hipótesis de investigación ... 36
1.4.1 Hipótesis general ... 36
1.4.2 Hipótesis específicas... 36
1.5 Operacionalización de variables ... 37
CAPÍTULO II DISEÑO METODOLÓGICO ... 40
2.1 Tipo y nivel de investigación... 40
2.2 Métodos de investigación ... 40
2.3 Diseño de la investigación ... 41
2.4 Población y muestra ... 42
2.4.1 Población 1: ... 42
2.4.2 Población 2: ... 45
2.4.3 Muestra 1: ... 45
2.4.4 Muestra 2: ... 47
2.5 Técnicas e instrumentos de recopilación de datos ... 47
2.6 Técnicas de procesamiento de datos ... 48
CAPÍTULO III CULTURA DE SEGURIDAD DE INFORMACIÓN Y LA PROTECCIÓN DE ACTIVOS ... 49
3.1 Cultura de seguridad de información. ... 49
3.1.2 Cumplimiento ... 56
3.1.3 Apropiación ... 61
3.1.4 Nivel de cultura de seguridad de información ... 66
3.2 Protección de Activos. ... 68
3.2.1 Confidencialidad ... 71
3.2.2 Integridad ... 79
3.2.3 Disponibilidad ... 87
3.3 Modelo de cultura de seguridad de información. ... 88
3.3.1 Diagnóstico de cultura de seguridad de información. ... 91
3.3.2 Programa de concienciación, cumplimiento y responsabilidad. ... 94
3.3.3 Programa de capacitación técnica... 95
3.3.4 Gestión de riesgos. ... 96
3.3.5 Gestión de incidentes. ... 96
3.3.6 Sistema de Gestión de Seguridad de la Información ... 98
3.4 Validación de Hipótesis ... 100
3.4.1 Hipótesis específica 1. ... 100
3.4.2 Hipótesis específica 2. ... 101
3.4.3 Hipótesis específica 3. ... 103
3.4.4 Hipótesis General ... 104
3.5 Discusión de Resultados. ... 105
Conclusiones ... 110
Recomendaciones ... 112
Referencias bibliográficas. ... 113
Anexos ... 121
Anexo 1. Cuestionario ISCA ... 121
Anexo 2. Bases de Datos – Cultura de Seguridad de Información ... 126
ÍNDICE DE TABLAS
Tabla 1. Operacionalización de Variables ... 38
Tabla 2. Activos de información de la Universidad Nacional Agraria de la Selva. ... 42
Tabla 3. Muestra de los Activos de Información: activos informáticos ... 45
Tabla 4. Escala para la Medición de la Cultura de Seguridad de Información. .... 50
Tabla 5. Nivel de Concienciación en la Universidad Nacional Agraria de la Selva. ... 52
Tabla 6. Nivel de Cumplimiento en la Universidad Nacional Agraria de la Selva.57 Tabla 7. Nivel de Apropiación en la Universidad Nacional Agraria de la Selva. .. 63
Tabla 8. Conocimiento de las Responsabilidades con respecto a la Seguridad de Información. ... 65
Tabla 9. Cantidad de Incidentes de Seguridad Informática Reportados. ... 69
Tabla 10. Nivel de Confidencialidad de la Protección de Activos de la Universidad Nacional Agraria de la Selva. ... 72
Tabla 11. Comportamiento de los usuarios y tipos de ataque de ingeniería social que afectan directamente a la confidencialidad. ... 74
Tabla 12. Contraseñas con Baja Complejidad. ... 79
Tabla 13. Nivel de Integridad de la Protección de Activos de la Universidad Nacional Agraria de la Selva. ... 80
Tabla 14. Comportamiento de los Usuarios y Tipos de Ataque de Ingeniería Social que afectan directamente a la Integridad. ... 83
Tabla 15. Nivel de Disponibilidad de la Protección de Activos de la Universidad Nacional Agraria de la Selva. ... 87
Tabla 16. Tabla cruzada Concienciación*Confidencialidad ... 100
Tabla 17. Pruebas de chi-cuadrado de Concienciación*Confidencialidad ... 101
Tabla 18. Tabla cruzada Cumplimiento*Integridad ... 102
Tabla 19. Pruebas de chi-cuadrado de Cumplimiento*Integridad ... 102
Tabla 20. Tabla cruzada Apropiación*Disponibilidad ... 103
Tabla 21. Pruebas de chi-cuadrado de Cumplimiento*Integridad ... 104
ÍNDICE DE FIGURAS
Figura 1. Relaciones entre Gobierno corporativo, Cultura organizacional y
Seguridad de la información. ... 18
Figura 2. Modelo de Cultura de Seguridad de la Información. ... 27
Figura 3. Framework de Nivel uno de la Cultura de Seguridad de la Información. ... 29
Figura 4. Modelo de Negocio para la Seguridad de la Información – BMIS. ... 30
Figura 5. Nivel de Concienciación en la Universidad Nacional Agraria de la Selva. ... 54
Figura 6. Efecto de la Concienciación en la detección, identificación y respuesta de incidentes de seguridad. ... 55
Figura 7. Nivel de Cumplimiento de la Cultura de Seguridad de la Información de la Universidad Nacional Agraria de la Selva. ... 57
Figura 8. Conocimiento y Comunicación de Políticas de Seguridad de Información en la Universidad Nacional Agraria de la Selva. ... 59
Figura 9. Preferencias de Flujo de Información sobre Incidentes de Seguridad de Información. ... 60
Figura 10. Efecto del Cumplimiento en la Detección e Identificación de Incidentes de Seguridad. ... 61
Figura 11. Nivel de Apropiación de la Cultura de Seguridad de la Información de la Universidad Nacional Agraria de la Selva. ... 63
Figura 12. Efecto de la Apropiación en la Identificación y Respuesta de Incidentes de Seguridad. ... 66
Figura 13. Cultura de Seguridad de la Información de la Universidad Nacional Agraria de la Selva. ... 67
Figura 14. Nivel de Confidencialidad de la Protección de Datos de la Universidad Nacional Agraria de la Selva. ... 73
Figura 15. Nivel de Integridad de la Protección de Datos de la Universidad Nacional Agraria de la Selva ... 80
Figura 16. Nivel de Integridad de la Protección de Datos de la Universidad Nacional Agraria de la Selva ... 88
Figura 17. Modelo General de Cultura de Seguridad de Información. ... 90
Figura 18. Propuesta de Proceso de madurez de la Cultura de Seguridad de la Información. ... 91
Figura 19. Reporte dnstwister de dominios disponibles similares al dominio objetivo. ... 93
Figura 20. Ejemplo de correo electrónico para phishing. ... 94
Figura 21. Fases de la Gestión de Incidentes... 98
Figura 22. Sistema de Gestión de la Seguridad de la Información. ... 99
INTRODUCCIÓN
La investigación denominada Cultura de seguridad de información para la protección de activos informáticos de la Universidad Nacional Agraria de la Selva tiene por finalidad formular un modelo de cultura de seguridad después de evaluar la relación entre las variables del estudio en función de sus dimensiones, concienciación, cumplimiento y apropiación de la variable independiente y confidencialidad, integridad y disponibilidad de la variable dependiente.
El problema que se estudia es el comportamiento de las personas y su efecto en la protección de activos informáticos, y para tal propósito se aplica un instrumento de encuesta denominado ISCA (Information Security Culture Assessment) además de algunas técnicas de ingeniería social para el proceso de diagnóstico de la cultura de seguridad de información expresado en términos de niveles de concienciación, cumplimiento y apropiación; cómo estas dimensiones influyen en el nivel de protección de activos informáticos es la cuestión que se cubre en esta investigación. El problema general se formula con la pregunta de investigación ¿cómo influye la cultura de seguridad de información en la protección de activos informáticos de la Universidad Nacional Agraria de la Selva?
Algunos datos que soportan el planteamiento del problema son los expuestos por reportes de Verizon (2018; 2020) que indican que aproximadamente el 93% de las brechas de seguridad a nivel mundial corresponden a los ataques utilizando técnicas de ingeniería social como el phishing; siendo el correo electrónico el medio preferido por los ciberdelincuentes (Cisco Systems Inc., 2018), o el pretexting que es una técnica utilizada por los ciberdelincuentes para obtener datos directamente de las personas con una llamada telefónica. Estos datos están relacionados al comportamiento de las personas, a lo que Orgill (2004) y Winkler (1995) argumentan que un aspecto importante pero muchas veces sin atención es el relacionado al comportamiento de las personas frente a la protección de los activos de información; y aunque la inversión en soluciones tecnológicas de seguridad es alta en muchos casos, estas pueden ser evadidas con ataques dirigidos a las personas.
Este tipo de ataques que no requieren grandes recursos tecnológicos son aprovechados contra personas que no tienen niveles de concienciación y sentido
de responsabilidad suficientes en aspectos de seguridad de la información, y por lo general forman parte de una cultura de seguridad de la información inexistente o inmadura. Por ejemplo, es suficiente que un usuario interno de la organización haga
“click” en un enlace malicioso enviado por correo electrónico para comprometer a toda la plataforma tecnológica y la información que se almacena y procesa, o que se expongan datos sensibles como las credenciales de acceso a los sistemas informáticos. En Latinoamérica y el Perú el escenario no es diferente, según reportes de empresas de seguridad como ESET (2019) ubican a las técnicas de ingeniería social (ataques al factor humano) como uno de los tipos de ataques preferidos por los ciberdelincuentes. También menciona Nancylia (2014) y Feng- Quan (2015) que uno de los problemas principales que las organizaciones enfrentan es la protección de los activos, y esto también se evidencia en la Universidad Nacional Agraria de la Selva donde se presentan 298 incidentes de seguridad informática entre los años 2018 y 2020.
Por el lado del cumplimiento, a pesar de la existencia de normativas nacionales como la Resolución Nº 129-2012-PCM del 23 de mayo de 2012 del uso obligatorio de la Norma Técnica Peruana ISO/IEC 270001:2008 referida al Sistema de Gestión de Seguridad de la Información, o estándares como (ISO/IEC, 2013), COBIT (ISACA, 2013), NIST-800-100 (Bowen, Hash, & Wilson, 2006) y PCI DSS (PCI Security Standards Council, 2016) es aún laxa su implementación y cumplimiento, principalmente en el sector público. Precisar que la administración del comportamiento de los empleados y la interacción con la información en el contexto de la seguridad de la información es un desafío que no se aborda con estos estándares de forma eficiente.
El capítulo I versa sobre los antecedente y bases teóricas en las que se sustenta la investigación. Como parte de los antecedentes principales se mencionan a los trabajos realizados por Alnatheer (2012) con su propuesta de modelo de cultura de seguridad basado en tres componentes principales (concienciación, cumplimiento y apropiación), y Da Veiga (2008) que establece una forma de realizar el diagnóstico de la cultura de seguridad utilizando la encuesta ISCA. La base teórica que soporta la investigación es principalmente la de cultura organizacional que argumenta Schein (1992) como un conjunto de supuestos compartidos dentro de un grupo, y que luego de creada una cultura, esta
se puede enseñar a los recién llegados. Del mismo modo Lacatus (2013), muestra una clasificación basada en matrices de los modelos de cultura organizacional que se pueden considerar para una institución de estudios superiores; entre los modelos que se destaca, es el propuesto por Le Feuvre y Metso (2005) que señala que las bases de la cultura se pueden enseñar a los individuos de la organización; por lo tanto, la cultura se puede modelar y construir de acuerdo con la misión de la organización.
En el capítulo II se describe el diseño metodológico en la que se define que el tipo de investigación es aplicada con un nivel descriptivo correlacional explicativo;
El método sistémico, el análisis y síntesis; deducción e inducción predominan en el estudio. Asimismo, el diseño de investigación es de tipo no experimental y transversal, teniendo como muestra a 69 activos informáticos cuyos indicadores están en función de los niveles de confidencialidad, integridad y disponibilidad a través de la cantidad de incidentes de seguridad informática y 79 usuarios internos de la organización. También se describe la aplicación de técnicas de ingeniería social que evidencian el comportamiento de los miembros de la organización, principalmente en aquellos que procesan información por medio de la plataforma tecnológica.
En capítulo III explica los resultados obtenidos producto de la aplicación del instrumento de diagnóstico de la cultura de seguridad para medir el nivel de concienciación, cumplimiento y apropiación de la universidad; estos niveles oscilan en promedio entre el nivel de desarrollo y sostenible. Del mismo modo, los resultados respecto a los niveles de las dimensiones de la protección de activos oscilan entre bajo y medio. Se valida la hipótesis estadísticamente, por lo que se concluye que existe una relación significativa entre las variables de la investigación Como contribución de la investigación se propone un modelo de cultura de seguridad de la información en la que se incluyen aspectos como el sistema de gestión de seguridad de la información, gestión de riesgos, gestión de incidentes, y el proceso de diagnóstico donde se recomienda incluir aplicación de técnicas de ingeniería social para contrastar los datos obtenidos con el instrumento de encuesta ISCA.
CAPÍTULO I MARCO TEÓRICO
1.1 Antecedentes
Algunos de las investigaciones que se abordaron respecto a la cultura de seguridad de la información o sus dimensiones; así como sus efectos en la seguridad de la información o seguridad informática se detallan en las siguientes líneas.
Sobre el tratado de la cultura de seguridad y sus factores se realizaron algunas investigaciones como el de Tolah (2019) basada en entrevistas exploratorias a trece especialistas en seguridad con experiencia y conocimientos de diferentes organizaciones localizadas en los Estados Unidos, el Reino Unido y Arabia Saudita con el objetivo de corroborar la influencia de ciertos factores que influyen en la cultura de seguridad, estos factores fueron establecidos en estudios previos que se comentarán en posteriores párrafos. De acuerdo con los hallazgos del trabajo de Tolah, se afirma que someter a los empleados a un proceso continuo de formación y capacitación mejora la cultura de la seguridad de la información, además de ellos se argumenta que una definición poco clara de las políticas de seguridad y un programa deficiente conduce a niveles mínimos de conciencia y cumplimiento.
Estudios previos al realizado por Tolah, se identifica uno de los más importantes, desarrollado por Alnatheer (2015), que en la publicación de un artículo en la 12 Conferencia Internacional de Tecnología de la Información – Nueva Generación – ITNG 2015, examina los factores críticos de éxito en la cultura de la seguridad de la información. Señala que las investigaciones actuales no han
identificado claramente los factores que tienen influencia significativa sobre la adopción de una cultura de seguridad de la información. Los factores críticos de éxito que podrían tener influencia en la adopción de una cultura de seguridad de la información en el entorno organizacional; según los resultados de este trabajo de investigación son:
• Apoyo de la alta dirección.
• Establecimiento de una eficaz política de seguridad de la información.
• Conciencia de seguridad de la información.
• Capacitación y educación en seguridad de la información.
• Información y evaluación de análisis de riesgos para la seguridad de la información.
• Información de cumplimiento de la seguridad.
• Políticas de conducta ética.
• Cultura organizacional.
La cultura de la seguridad no es un fin en sí mismo, sino un camino para alcanzar y mantener otros objetivos, como el uso adecuado de la información. El mayor beneficio de una cultura de la seguridad es el efecto que tiene sobre otras interconexiones dinámicas dentro de una empresa. Conduce a una mayor confianza interna y externa, la consistencia de los resultados, mayor facilidad para el cumplimiento de las leyes y reglamentos y mayor valor de la empresa en su conjunto. Alnatheer ha realizado investigaciones previas relacionadas a la cultura de seguridad de la información, siendo uno de sus principales trabajos desarrollados, la tesis doctoral titulada “Understanding and Measuring Information Security Culture in Developing Countries: Case of Saudi Arabia”, que define un modelo de medición de la cultura de seguridad en el contexto de la salvaguardar los activos de información de las empresas de Arabia Saudí (Alnatheer, 2012). Este modelo concibe a la cultura de seguridad con tres elementos claves: la apropiación, la concienciación y el cumplimiento; que a su vez están influenciados por otros factores como: apoyo de la alta gerencia, cumplimiento y mantenimiento de políticas, entrenamiento y educación en seguridad de la información y políticas respecto de las conductas éticas.
En esa misma línea sobre la cultura de seguridad y las formas de conceptuarla y medirla, se encuentran los trabajos de Da Veiga que en su tesis doctoral “Cultivating and Assessing Information Security Culture”, señala la importancia de la cultura de seguridad para la protección de los activos de información de una organización (Da Veiga A. , 2008). El aporte de esta investigación es el desarrollo de un framework de Cultura de Seguridad de la Información (ISCF por sus siglas en inglés) basado en lo que el autor denomina un Marco Integral de Seguridad de la Información (CISF por sus siglas en inglés). Este marco referencial desarrollado, establece criterios de comportamiento organizacional a nivel de individuos y grupos, orientados básicamente a prácticas en el uso de la tecnología informática, las que deben reflejar finalmente el estado de la cultura de seguridad de la información. Es una herramienta que la alta gerencia de una organización puede utilizar para entender la cultura de seguridad.
En ese mismo sentido, Da Veiga propone el uso de un instrumento de evaluación de la cultura de la seguridad de la información (Information Security Culture Assessment, ISCA por sus siglas en inglés) para facilitar la evaluación de la cultura de protección de la información (Da Veiga & Eloff, 2010), este instrumento fue evolucionando durante el proceso de validación que se realizó con la aplicación a diversas organizaciones (Da Veiga & Martins, 2015a), (Da Veiga & Martins, 2015b). Posteriormente se presenta el uso de la herramientas para el diagnóstico inicial de la cultura de seguridad de información con un componente de análisis de incorporación de los conceptos del modelo de gestión de cambios ADKAR (Awareness, Desire, Knowledge, Ability, Reinforcement) de Prosci (Hiatt, 2006; Al- Qahtani, 2010) que incluye cinco fases, a saber, conciencia (de la necesidad de cambio), deseo (de apoyar y participar en el cambio), conocimiento (de cómo cambiar) ), capacidad (para implementar el cambio) y refuerzo (para sostener el cambio), que se proponen para tratar la madurez de la cultura de seguridad de la información en las organizaciones (Da Veiga A. , 2018)
Otro trabajo relacionado con la seguridad de la información y la relación con la cultura organizacional es el desarrollado por Thomson (2007) denominado
“Model for information security shared tacit espoused values” que explica la relación y el efecto que tiene la interacción de tres elementos definidos como cultura organizacional, gobierno corporativo y seguridad de la información, en el desarrollo
de una cultura organizacional de seguridad de la información, tal como se muestra en la Figura 1.
Figura 1.
Relaciones entre Gobierno corporativo, Cultura organizacional y Seguridad de la información.
Fuente: Thomson (2007)
En este modelo se establece que la relación D, es interpretada como es que la cultura organizacional determina las acciones y comportamientos de los miembros de una organización o empresa, en la cual los ejecutivos de la alta dirección deben promover y motivar las buenas prácticas de seguridad y control que tengan un impacto positivo en la protección de los activos de información.
Por el lado de la concienciación, Furnell y Thomson (2009) en el contexto de la definición de niveles de aceptación de los usuarios frente respecto a la seguridad de tecnologías de la información, manifiestan que el comportamiento de los usuarios, en el sentido que una persona puede tener conciencia de la seguridad, pero eso no es garantía de estar alineado con las políticas de seguridad de la información reflejándose en los niveles de cumplimiento al no estar sincronizados con los valores de la organización. Un usuario puede responder con lo que los directivos o sus jefes inmediatos quieren escuchar, pero eso no se refleja en su
la gente lo que deben hacer, pero no será suficiente para generar un nivel de cumplimiento deseado.
Recientemente se han realizado investigaciones relacionadas a los programas educativos de concienciación para jóvenes en el contexto de la seguridad en línea en la que se considera el marco cultural de la comunidad o país donde se aplica el modelo (Herkanaidu, Furnell, & Papadaki, 2020). Los resultados de la aplicación realizada en Tailandia indican que al incorporar los elementos culturales propios de la zona, los contenidos de los talleres deben adaptarse para lograr el éxito esperado; por ejemplo la percepción del rol que desempeñan los profesores de las instituciones educativas de Tailandia es importante porque son considerados responsables del futuro de los estudiantes orientando por lo tanto, el desarrollo de los talleres con la intervención de los maestros de las escuelas y colegios. Esta realidad es similar en los países latinoamericanos como el Perú.
Por su parte en España también se ha desarrollado una tesis doctoral orientada a la educación en seguridad de la información y como esta puede tener un impacto en la cultura de la seguridad de la información y la confianza en la sociedad de la Información. El Dr. (Ramió Aguirre, 2013), hace un repaso en un periodo de 25 años de la enseñanza y difusión de la seguridad de la información, y su evolución durante ese periodo. Asimismo, entre sus principales conclusiones destaca la importancia de la impartición de cursos relacionados a la seguridad de la información a nivel de pregrado y posgrado, y desde el punto de vista histórico se ha evidenciado un crecimiento favorable, lo cual indica la necesidad de la formación de profesionales que puedan aportar posturas solidas dentro de las organizaciones respecto a la protección de activos de información.
Sin embargo, una disciplina que debe contribuir para la formación y educación en temas de seguridad de la información para el personal de una organización es la andragogía, y precisamente el trabajo de Tolstoy y Miloslavskaya (2019) señala que es importante aplicar un modelo andragógico porque el público objetivo de los entrenamientos y formación son adultos, por lo que las técnicas y métodos aplicados por los formadores deben ser ajustados. Puesto que la presente investigación aborda factores de concienciación y cumplimiento que requieren
tareas de entrenamiento y educación, la andragogía es un aspecto que se debe considerar.
En la investigación sobre el cumplimiento de las políticas de seguridad, Amankwa, Loock y Krizinger (2018) realizaron un análisis basado en la recopilación de datos por encuesta para determinar la influencia de tres factores (cultura organizacional de apoyo, participación del usuario y el liderazgo) que pueden influir en el comportamiento de los empleados con respecto al establecimiento de una cultura de cumplimiento de políticas de seguridad. Como resultado se obtuvo que la cultura organizacional de apoyo y la participación del usuario influyen significativamente en el comportamiento de los empleados hacia una política de cumplimiento, mientras que el liderazgo no tuvo una influencia significativa. En esa misma línea, otro trabajo desarrollado en el plano del cumplimiento y apropiación se considera a Liu (2020) donde se estudia la influencia del binomio denominado supervisor-subordinado y el compromiso organizacional en la gestión de la seguridad de información y específicamente en el comportamiento de cumplimiento, cuyos hallazgos señalan una influencia directa de la relación supervisor-subordinado sobre el cumplimiento y una influencia indirecta en el comportamiento de cumplimiento a través del compromiso organizacional. También concluyen que cuando un empleado tenga mayor compromiso organizacional el efecto sobre el cumplimiento será más fuerte.
En contraste con lo manifestado en el párrafo anterior, Chen, Zhen, Dong y Xie (2019) realizan un estudio experimental sobre la aplicación de sanciones en términos de celeridad, certeza y severidad frente al cumplimiento de políticas se seguridad en escenarios de 320 empleados de universidades y empresas chinas.
Los hallazgos mostraron que la certeza, celeridad y severidad de las sanciones presentan una influencia significativa y positiva en el cumplimiento de políticas de seguridad de la información.
Respecto a la implementación de Sistemas de Gestión de Seguridad de la Información (SGSI), se cuentan con trabajos como el de Sun (2020) que argumenta que una implementación de la norma ISO/IEC 27001 (2013) debe seguir un modelo de análisis de efectividad de los controles de la norma basado en el ciclo PDCA (Planear, Hacer, Verificar y Actuar) y lograr una medición efectiva del cumplimiento.
En trabajos previos se analizó el plano del cumplimiento y los factores inhibidores del proceso de implementación de un SGSI en la Administración Pública Peruana (una muestra de 16 entidades públicas asociadas al Ministerio de la Presidencia del Consejo de Ministros), entre los cuales destacan, falta de capacitación y concienciación del personal, falta de personal especializado en seguridad de la información, presupuesto insuficiente o no asignado, falta un entendimiento cabal sobre la seguridad de la información por parte de la alta dirección para apoyar con mayor efectividad estas iniciativas (Mariño Obregón, 2010). Estos factores también se pueden considerar como posibles razones de una inadecuada o deficiente identificación de los activos de información que puede tener un efecto no deseado cuando se formulan políticas de seguridad y los mecanismos de tratamiento de riesgos.
Trabajos similares enfocados en los Sistemas de Gestión de Seguridad de la Información analizan el proceso basado en los estándares de la Organización Internacional de Estandarización (ISO por sus siglas en inglés) y su implementación utilizando el ciclo de Deming (Planear, Hacer, Verificar y Actuar) que también es aplicado en los Sistemas de Gestión de Calidad. La importancia del uso del ciclo de Deming conduce a garantizar la actualización del sistema y su mejora continua.
También que el hecho de tener implantado un SGSI, no significa contar con la máxima seguridad de la información, sino que la organización cumple con los requerimientos y buenas prácticas que establece la norma (Avila Arzuza, 2012), (Gomez Fernandez & Andres Alvarez, 2012). Desde el punto de vista del despliegue de la norma ISO 27001:2013, Monev (2020) propone una metodología con un método similar a COBIT 5 para determinar la madurez de la seguridad de la información en el contexto de un SGSI
Sobre la relación de la formulación y cumplimiento de las políticas de seguridad, normas, directivas y procedimientos, Ross (2011) argumenta que no hay políticas de seguridad que prevean todas las circunstancias que se puedan presentar, por lo tanto, si las partes interesadas no se basan en una cultura de la seguridad, existe la posibilidad de acciones que pongan en riesgo los activos de información. Asimismo, enfatiza que la cultura determina lo que una empresa hace realmente acerca de la seguridad (o cualquier otro objetivo) y no lo que dicen los documentos normativos o declaraciones de políticas, que se interpretan como la
intención de hacer. Una cultura de seguridad eficaz es compatible con la protección de la información y al mismo tiempo el apoyo a los objetivos generales de la empresa.
AlHogail (2015), muestra como resultado un marco de trabajo integral basado en un modelo que él denomina el diamante del factor humano que se compone de cuatro dominios: Preparación, Responsabilidad, Gestión y, Sociedad y normativa. Se argumenta que su modelo puede ayudar a mejorar el comportamiento, los valores, las suposiciones y el conocimiento de los empleados previa identificación de los problemas que afectan la seguridad de la información en la organización. Sin embargo, no dispone de un instrumento para medir el nivel de cultura de seguridad de información. En esa misma línea del factor humano, Astakhova (2015) en su investigación relacionada a los riesgos y el capital cultural de las personas de una organización, desarrolla un procedimiento para la evaluación del riesgo de seguridad de la información del personal, basado en la relación entre el capital cultural individual de seguridad de la información y el capital cultural de seguridad de la información corporativa.
Algunas investigaciones abordan los aspectos tecnológicos y el personal especializado en el contexto del ecosistema de la cultura de seguridad de la información, como el desarrollado por Kang (2015) que orientó su investigación hacia las competencias del personal profesional y técnico responsable de la seguridad en una organización, resaltando al mismo tiempo la necesidad de establecer una cultura de seguridad entre todos los empleados. Como resultado de esa investigación se definieron tres competencias generales (desarrollo, administración de seguridad, Infiltración y protección avanzadas) y nueve competencias especificas (post-investigación, recolección y descifrado, diagnóstico y evaluación, supervisión, continuidad del trabajo, respuesta a accidentes, comunicación, utilización de la información, y competencia global) las cuales pueden tomarse como referencia para los programas de capacitación relacionados a la seguridad de la información.
Peterson (2015) por su parte aborda la necesidad de adaptar la tecnología de la información, la seguridad de TI, y los profesionales de seguridad a las características de la organización considerando su tamaño, cultura, y ámbito; sin
embargo, hace notar que muchas empresas sobre todo las pequeñas, establecen una relación de la seguridad con los aspectos organizacionales por ensayo-error o peor aún, no son conscientes del problema.
Un tema poco tratado en las investigaciones sobre la cultura de seguridad en las organizaciones son las vulnerabilidades humanas que pueden ser aprovechadas por los agentes de amenazas (ciberdelincuentes) utilizando técnicas de ingeniería social, Rocha Flores y Ekstedt (2016) publican una investigación realizada en empresas de Suecia, sobre los factores organizacionales e individuales para la resistencia a los ataques basados en ingeniería social, estableciendo además que las normas, políticas y la actitud hacia ellas por parte de las personas juegan un papel importante en la cultura de seguridad de la información de las organizaciones.
En el aspecto de la protección de activos, la literatura consultada muestra que la mayor parte de los trabajos de investigación orientan la protección de los activos de información a la implementación de sistemas de gestión de seguridad de la información basados en la norma ISO/IEC 27001 haciendo énfasis en aspectos tecnológicos de hardware y software en sus diversas formas, considerando que las plataformas tecnológicas almacenan, procesan y transmiten los datos de la organización (Alonge, y otros, 2020; Rodionova & Utepbergenov, 2020; Rai, Singh,
& Kumar, 2020). También consideran aspectos de gestión y procedimientos, pero a nivel de protección de activos poco se manifiesta la estrecha relación que existe con el comportamiento de las personas que constituye parte de una cultura de seguridad de información.
No obstante, existen trabajos respecto a la forma de abordar la seguridad de la información en función de los incidentes de seguridad, tal es el caso de la investigación de Walker-Roberts y otros (2019) que entre sus hallazgos afirma que el activo más atacado es la información, además de que entre los tipos de incidentes más frecuente es el abuso de privilegios y que la mayoría de violaciones a la seguridad tienen origen interno y como resultado de errores humanos. Por otro lado, Ahmad y otros (2020) manifiestan dentro de la propuesta de integración de la gestión de seguridad de la información con la respuesta a incidentes, que las brechas de seguridad pueden conducir hacia oportunidades de aprendizaje que
incluyen mayor conciencia de los riesgos de seguridad, de las amenazas y de las fallas en las defensas, esto con la finalidad de crear mejoras en el proceso de respuesta a incidentes.
1.2. Bases teóricas y conceptuales
La presente investigación tiene su fundamento teórico en los resultados de las tesis doctorales correspondientes a Alnatheer (2012) y Da Veiga (2008);
además del modelo empresarial de seguridad de la información desarrollado por (Roessing, 2010) para ISACA (Information Systems Audit and Control Association).
Sin embargo, previamente es necesario considerar el concepto de cultura organizacional como base para entenderlo en el contexto de la seguridad de la información. Cújar Vertel, Ramos Paternina, Hernández Riaño, & López Pereira (2013) citan a varios autores e investigadores sobre la cultura organizacional y concluyen que existe un consenso general respecto al concepto y lo describen como un conjunto de significados compartidos, creencias, tradiciones y concepciones que pertenecen a una comunidad o colectividad, específicamente a una organización.
La idea inicial del concepto de cultura organizacional la dio Schein (1992) en su libro Organizational culture and leadership, en la que conceptualiza a la cultura organizacional como un conjunto de supuestos compartidos dentro de un grupo, luego de creada una cultura, esta se puede enseñar a los recién llegados.
Del mismo modo existen trabajos que abordan la cultura organizacional en la universidad como Lacatus (2013), que muestra en su artículo Organizational culture in contemporary university, una clasificación basada en matrices de los modelos de cultura organizacional que se pueden considerar para una institución de estudios superiores. Entre los modelos que destaca es el propuesto por Le Feuvre y Metso (2005) citados por Lacatus (2013) que establece tres modelos, el humboldtiano, el napoleónico y el modelo angloamericano. Lo interesante a destacar de estos estudios es que se reafirma que la cultura puede enseñarse a los individuos de la organización, tal como lo postula Schein. Y para este proceso de enseñanza que en el escenario de una cultura de seguridad de la información que requiera ser cultivada puede ser necesario adoptar algún proceso de cambio como el propuesto por Lewin (1947) con las etapas de “descongelar”, “cambiar” y
“congelar”, que tiene una aplicabilidad aún vigente (Sarayreh, Khudair, & & Barakat, 2013); además del modelo ADKAR recomendado por Da Veiga.
En la misma línea de la cultura organizacional, considerando el contexto de la seguridad, es posible conceptuar la cultura de seguridad en una organización o la cultura organizacional de seguridad, sin embargo, Edwards, Davey, & Armstrong (2015) afirman que para tratar o describir este tipo de cultura en particular se pueden enfocar en las interacciones entre la cultura y las estructuras organizativas y lugar de trabajo, de tal forma que posibiliten el diseño de sistemas que optimicen el desempeño de la seguridad. Esta afirmación es importante para el estudio que se realiza porque se tiene un sustento y referencia para el diseño de un modelo de cultura de seguridad de la información.
Después de analizar algunas definiciones de cultura de seguridad de la información, (Da Veiga, 2008) en su tesis doctoral “Cultivating and Assessing Information Security Culture” indica que cada investigador ha formulado una definición de cultura de seguridad de la información, y a su vez Da Veiga propone la siguiente definición para su ámbito y alcance de estudio, que se acerca también a los propósitos de esta tesis:
Una cultura de seguridad de la información se define como las actitudes, suposiciones, creencias, valores y conocimientos que los empleados / partes interesadas utilizan para interactuar con los sistemas y procedimientos de la organización en cualquier momento. La interacción resulta en un comportamiento aceptable o inaceptable (es decir, incidentes) evidente en artefactos y creaciones que se convierten en parte de la forma en que se hacen las cosas en una organización para proteger sus activos de información. Esta cultura de la seguridad de la información cambia con el tiempo. (Da Veiga, 2008).
En esa línea se añade que a pesar que los miembros de una organización puedan pertenecer a diversos grupos raciales o étnicos, diferentes creencias religiosas, distintas edades y otras características asociadas, estas tendrán una percepción parecida o común sobre la seguridad de la información dentro de una;
y si esa percepción se está expresando en un modo de cultura de seguridad de la
información que sea madura o positiva entonces la información (activos) estará protegida (Da Veiga A. , 2018)
Avnet (2015) en su artículo A network-based approach to organizational culture and learning in system safety, presenta en la Conferencia sobre Investigación en Ingeniería de Sistemas 2015, un estudio realizado a un conjunto de organizaciones del petróleo, gas, química y nuclear, para mejorar la seguridad en los procesos, y uno de los aspecto relevantes que se afirman es que la mayoría de las soluciones o propuestas para mejorar la seguridad se concentran en temas técnicos, y no se están considerando los temas de cultura de seguridad, a las de que se debe dar mayor énfasis. Asimismo, uno de los objetivos de la investigación de (Avnet, 2015) es desarrollar una metodología para medir la cultura organizacional y su relación con la seguridad, sin embargo, ya en el año 2012, Alnatheer, desarrollaba un modelo de medición de cultura de seguridad de la información, que es la base para la presente investigación.
La investigación desarrollada por (Alnatheer, 2012), formula un modelo de medición de la cultura de la seguridad de la información que consiste en los siguientes elementos: la apropiación, la concienciación y el cumplimiento, además de los factores que influencian dicha cultura que son, el apoyo de la alta gerencia, cumplimiento y mantenimiento de políticas, entrenamiento y educación en seguridad de la información y políticas respecto de las conductas éticas. Estos elementos son estructurados tal como se muestra en la Figura 2.
Figura 2.
Modelo de Cultura de Seguridad de la Información.
Fuente: Alnatheer (2012)
La apropiación, es el concepto por la cual las personas deben hacerse cargo de sus acciones, en el contexto de la protección de la información. Para llegar a este nivel de conciencia, las personas deben aceptar que la información es tan valiosa como los activos tangibles de la organización, e incluso de más valor.
(Alnatheer, 2012), señala tres sentencias que permiten entender la apropiación, las cuales se pueden resumir en, la responsabilidad de proteger la información organizacional, asumir los resultados de acciones y decisiones respecto a la seguridad de la información, y que la seguridad de la información es un aspecto vital dentro de las funciones laborales de las personas dentro de una organización.
Otro elemento del modelo que propone (Alnatheer, 2012) es la concienciación, que implica básicamente que las personas dentro de una organización sean conscientes de la existencia de amenazas y riesgos potenciales, asimismo de la importancia del impacto que tiene su rol en el contexto de la seguridad de la información en la organización. Las personas que sean conscientes de la necesidad de proteger los datos organizacionales también serán
una pieza importante en la monitorización de incidentes de seguridad puesto que tendrán la predisposición a reportar tales incidentes.
Ög ütçu, Müge Testik y Chouseinoglou (2016) afirman que la concienciación de los usuarios de los sistemas de información puede mejorar con el entrenamiento o capacitación en temas relacionados a la seguridad de la información; además se ha desarrollado un conjunto de escalas para evaluar el comportamiento y grado de conciencia de seguridad de los usuarios. Los estudios que abordaron casos en universidades turcas refuerzan el modelo propuesto por (Alnatheer, 2012), principalmente con el elemento de la concienciación, que para el propósito de esta investigación son fundamentales para el diseño del modelo adaptado a las universidades.
El tercer elemento de este modelo propuesto por (Alnatheer, 2012) es el cumplimiento, concepto relacionado con la normativa, estándares, políticas y procedimientos; a su vez se consideran dentro de este concepto, los mecanismos de auditoria y monitorización que aseguren que el contexto normativo y regulatorio se cumplan, garantizando que la seguridad de la información en la organización tenga un nivel formal esperado.
Respecto al concepto de cumplimiento, (Yazdanmehr & Wang, 2016) en su artículo Employees' information security policy compliance: A norm activation perspective, concluye que, para lograr el cumplimiento de las políticas de seguridad de la información en una organización, se debe llevar al usuario a un nivel de conciencia de las consecuencias y la responsabilidad personal respecto a su cumplimiento. Para este fin los autores abordan teorías, como la teoría de la activación de normas, la teoría de las normas sociales, teoría de la motivación, y la literatura sobre el clima ético; siendo este último, a opinión de los autores, punto poco tratado por los especialistas en seguridad de la información.
Bajo el framework que formula (Da Veiga, 2008), se pretende encontrar elementos que complementen la construcción de un modelo de cultura de seguridad de la información que se pueda adaptar a la realidad peruana, con posibles modificaciones o actualizaciones. Las relaciones de nivel 1 que establece da Veiga se muestran en la Figura 3.
Figura 3.
Framework de Nivel uno de la Cultura de Seguridad de la Información.
Fuente: Da Veiga (2008)
Roessing (2010) establece en el Modelo de Negocio para la Seguridad de la Información (BMIS, por sus siglas en inglés) relaciones definidas como interacciones dinámicas, por ejemplo, de acuerdo con la Figura 4, se observa una relación entre organización y personas al que denomina cultura, una relación entre tecnología y personas que se denomina factores humanos, y una relación entre procesos y personas que denomina emergencia; y argumenta que a las personas no se les puede estudiar como entidades independientes, por el contrario, el efecto que tiene la información sobre las personas y estas sobre la información deben abordarse de forma sistémica de acuerdo con las interacciones dinámicas con el resto de elementos del modelo. Este concepto es útil para la investigación debido a que la evaluación que se realiza es, cómo el comportamiento de las personas (miembros de una organización) contextualizados dentro de una cultura y por medio de las interacciones que se generan con el resto de los elementos del modelo (procesos, tecnología, organización) afectan la seguridad de los activos de información, específicamente los de tipo informático.
Figura 4.
Modelo de Negocio para la Seguridad de la Información – BMIS.
Fuente: Roessing (2010).
Continuando con la concepción de las personas y su interacción con elementos de la organización, Guo (2013) afirma que se debe evaluar su comportamiento y clasificarlos en cuatro tipos de comportamiento, comportamiento de garantía de seguridad (CGS), comportamiento conforme a la seguridad (CCS), comportamiento de riesgo de seguridad (CRS) y comportamiento perjudicial para la seguridad (CPS) que puede estar asociado al nivel de madurez de la cultura de seguridad de la información.
Por otro lado, el hecho que las personas son el elemento principal que caracteriza la cultura de seguridad de información en una organización, también es preciso acotar a qué tipo de amenazas se enfrentan desde el punto de vista de la seguridad de la información. Las amenazas más comunes son las asociadas a técnicas de ingeniería social, en las que incluso las víctimas no perciben el ataque y tampoco son conscientes de la información que divulgan (sensible o confidencial) (Mouton F. M., 2013; Mouton, Malan, Kimppa, & Venter, 2015). Además, se han realizados estudios como los de Acquisti y Grossklags (2003) en las que apoyan la idea sobre las encuestas que pueden ser insuficientes para determinar o evaluar el comportamiento de las personas debido a que la declaración en una encuesta puede ser muy diferente al comportamiento real.
Entonces surge otra idea como complemento a las encuestas para evaluar el comportamiento de las personas que son parte de una organización, y esta idea es la de realizar una simulación de ataques de ingeniería social dentro de un proceso de auditoria con el propósito de verificar el cumplimiento de los controles de seguridad asociados a las personas (Orgill, Romney, Bailey, & Orgill, 2004;
Bullée, Montoya, Pieters, Junger, & Hartel, 2015). El concepto de ingeniería social válido para el contexto de la investigación es la que se desprende del ámbito de la ciberseguridad que en términos de Mitinick y Simon (2002) son ataques basados en el arte del engaño que utiliza la influencia y la persuasión como principales armas del ingeniero social convertido en atacante, asimismo, uno de los tipos de ataques más comunes y efectivos ejecutados aprovechando la interacción hombre- computadora es el phishing o falsificaciones web (Heartfield & & Loukas, 2015).
También se considera como fundamento teórico los trabajos desarrollados por organizaciones como ISACA (Information Systems Audit and Control Association) y la ISO (International Organization for Standardization); entre ellos, COBIT (Objetivos de Control para Información y Tecnologías Relacionadas) y la ISO/IEC 27001 respectivamente.
COBIT 5 (2012), presenta en la actualidad un marco de referencia de gobierno de TI que integra varias herramientas y modelos para el desarrollo de políticas y mecanismos de buenas prácticas para el control y de TI. Según (Umana, 2015), la integración de Val IT y Risk IT a COBIT 5 cambia el enfoque del marco hacia la contribución de TI en un negocio exitoso y estable; esto significa que se dispone de un marco integrado con enfoque holístico, que pretende consolidar las bases del gobierno de TI y determinar el valor de las tecnologías para las organizaciones.
Por su parte, la ISO (2016), publica la norma actualizada ISO/IEC 27001 que incluye 14 objetivos de control referidos a la seguridad de la información y al despliegue de un Sistema de Gestión de Seguridad de la Información. Entre sus principales beneficios de esta norma se destaca el cumplimiento con los requerimientos legales, obtener una ventaja comercial, menores costos, y una mejor organización (Academy, 2016).
Asimismo, para esta investigación se consideran algunos fundamentos filosóficos de acuerdo con lo tratado en Teoría del Conocimiento de (Hessen, 1940), donde establece cinco interrogantes, cuyas respuestas enmarcan la investigación científica. El criticismo de Kant es el que más se adecua para la generación de conocimiento; asimismo el racionalismo y el apriorismo son la base del origen del conocimiento en el contexto de la presente investigación. El objetivismo y la forma del conocimiento discursivo-racional rigen en forma predominante los estudios que se vienen desarrollando.
Al considerar un objeto de estudio complejo, en la que las organizaciones humanas son cambiantes, distintas en planos geográficos diversos, también se considera la base filosófica promovida por (Morin, 2003; Morin, 2004; Morin, 2006), sobre los principios de la complejidad. Algunos de los principios que se pueden aplicar al objeto de estudio son:
• Principio de organización. Para conocer las partes de una cultura organizacional de seguridad de la información, es preciso comprender el todo, desde la concepción como una caja negra, hasta la identificación de sus partes. Asimismo, se puede considerar que al existir cambios en las instituciones (universidades públicas), por ejemplo, cambios de objetivos, visión o misión, cambios en la estructura organizacional; se convierten en una inyección de desorden para el sistema, el cual tendrá que reorganizarse y generar un nuevo orden para cumplir con su objetivo para con el sistema que lo contiene.
• El principio holográmico. Cada componente del sistema, a su vez se puede representar como un sistema que incluye aspectos del sistema mayor.
• El principio del bucle retroactivo o retroalimentación. El proceso de retroalimentación de encuentra presente en todos los componentes del sistema, así como en el propio sistema en general, y esto se explica, por ejemplo, con la necesidad de información de las salidas, y su evaluación, para determinar si se tienen que ajustar las entradas o los procesos, y tomar las acciones correctivas o reforzadoras.
• El principio dialógico. Para la cultura organizacional de seguridad de la información y la protección de activos informáticos, se puede aplicar el análisis/síntesis, y el proceso inductivo-deductivo.
Los principales conceptos que se utilizaron en el marco de esta investigación se definen las variables utilizadas y sus dimensiones que a continuación se detallan:
1.2.1 Cultura de Seguridad de la Información
Según Roessing (2010), la cultura organizacional de seguridad de la información es una subcultura de la cultura organizacional que es el factor más importante quizá para la gestión de la seguridad de los activos de la organización, y conceptualmente se refiere a la conciencia y comportamiento que tienen los miembros de una organización frente a los riesgos y la protección de los activos de la información. Las dimensiones asociadas son:
A. Apropiación.
Es el concepto por la cual las personas deben hacerse cargo de sus acciones, en el contexto de la protección de la información. Para llegar a este nivel de conciencia, las personas deben aceptar que la información es tan valiosa como los activos tangibles de la organización, e incluso de más valor. Alnatheer (2012) señala tres sentencias que permiten entender la apropiación, las cuales se pueden resumir en, la responsabilidad de proteger la información organizacional, asumir los resultados de acciones y decisiones respecto a la seguridad de la información, y que la seguridad de la información es un aspecto vital dentro de las funciones laborales de las personas dentro de una organización.
B. Concienciación.
Otro elemento del modelo que propone Alnatheer (2012) es la concienciación, que implica básicamente que las personas dentro de una organización sean conscientes de la existencia de amenazas y riesgos potenciales, asimismo de la importancia del impacto que tiene su rol en el contexto de la seguridad de la información en la organización. Las personas que sean conscientes de la necesidad de proteger los datos organizacionales también serán
una pieza importante en la monitorización de incidentes de seguridad puesto que tendrán la predisposición a reportar tales incidentes.
C. Cumplimiento.
El tercer elemento de este modelo propuesto por Alnatheer (2012) es el cumplimiento, concepto relacionado con la normativa, estándares, políticas y procedimientos; a su vez se consideran dentro de este concepto, los mecanismos de auditoria y monitorización que aseguren que el contexto normativo y regulatorio se cumplan, garantizando que la seguridad de la información en la organización tenga un nivel formal esperado.
1.2.2 Protección de Activos Informáticos
Son aquellos componentes de hardware (infraestructura tecnológica como las redes corporativas, servidores, sistemas de almacenamiento, sistemas de energía, entre otros) y software, incluido la información que es procesada por los sistemas informáticos (bases de datos, aplicaciones, servicios corporativos, etc.), que dan valor a la organización.
Las dimensiones se conceptualizan como:
A. Confidencialidad
Whitman y Mattord (2011) definen que la información tiene carácter confidencial cuando está protegida contra divulgación o exposición a personas o sistemas no autorizados. La confidencialidad se asegura de que sólo los que tienen los derechos y privilegios de acceso a la información son capaces de hacerlo.
Cuando las personas o sistemas no autorizados pueden ver la información, la confidencialidad es violada. Para proteger la confidencialidad de la información, se puede utilizar una serie de medidas, entre ellas las siguientes:
• Clasificación de la información
• Almacenamiento de documentos seguro
• La aplicación de las políticas de seguridad generales
• Educación de los custodios de la información y usuarios finales
La confidencialidad, como la mayoría de las características de la información, es interdependiente con otras características y está más estrechamente relacionada con la privacidad.
B. Integridad
La información tiene integridad cuando es entera, completa, y no corrompida.
La integridad de la información se ve amenazada cuando la información está expuesta a la corrupción, daño, destrucción, u otra alteración de su estado auténtico. La integridad de la información es la piedra angular de los sistemas de información, ya que la información no tiene ningún valor si no es posible verificar su integridad (Whitman & Mattord, 2011).
C. Disponibilidad
La disponibilidad permite a los usuarios o personas autorizadas para acceder a la información sin interferencia u obstrucción y para recibirlo en el formato requerido. Consideremos, por ejemplo, las bibliotecas de investigación que requieran una identificación antes de la entrada. Los bibliotecarios proteger el contenido de la biblioteca de modo que sólo están disponibles a los clientes autorizados (Whitman & Mattord, 2011).
1.3 Definición de términos básicos
En este apartado se definen algunos términos que frecuentemente se utilizan en la investigación.
1.3.1 ISCA.
Encuesta de evaluación de la cultura de seguridad de la información.
Instrumento utilizado en el proceso de diagnóstico. Instrumento constituido de 73 preguntas que pueden ser adaptadas a un caso específico.
1.3.2 Activo
Referido a los activos informáticos. Objeto tangible o intangible que tiene valor para la organización. Activo de información que tiene soporte informático o es un componente informático.
1.3.3 Ingeniería social.
Definido como la aplicación de conductas sociales y acciones que se aprovechan de las características psicológicas y emocionales de las personas para conseguir información de un sistema u organización.
1.3.4 Incidente de seguridad.
Es un suceso o evento que se genera contra las políticas de seguridad de la información que impacta directamente en la confidencialidad, integridad o disponibilidad de los activos de información. Un incidente de seguridad tiene una connotación negativa. Puede ser causado por intervención directa de los actores de amenazas o por deficiencias en los mecanismos de protección de activos.
1.3.5 Ataque.
Es un tipo de amenaza de seguridad que se materializa aprovechando las vulnerabilidades identificadas en un sistema, causando daño directamente a los activos de información de una organización. Estos ataques son generados por actores de amenazas que pueden ser externos o internos.
1.3.6 Amenaza.
Factor negativo de naturaleza externa al activo de información que tiene probabilidades de convertirse en un ataque o incidente de seguridad.
1.3.7 Vulnerabilidad.
Debilidad o deficiencia del activo de información. Es de naturaleza interna.
1.4 Hipótesis de investigación 1.4.1 Hipótesis general
La cultura de seguridad de la información influye directa y significativamente en el nivel de protección de los activos informáticos de la Universidad Nacional Agraria de la Selva.
1.4.2 Hipótesis específicas
a. La concienciación en seguridad de información influye directa y significativamente en el nivel de protección de los activos informáticos de la Universidad Nacional Agraria de la Selva.
b. El cumplimiento influye directa y significativamente en el nivel de protección de los activos informáticos de la Universidad Nacional Agraria de la Selva.
c. La apropiación influye directa y significativamente en el nivel de protección de los activos informáticos de la Universidad Nacional Agraria de la Selva.
1.5 Operacionalización de variables
La investigación presenta dos variables principales que son definidas en esta sección. En la Tabla 1 se muestra el detalle resultante.
• Variable independiente: cultura de seguridad de información.
• Variable dependiente: protección de los activos informáticos.
