SEGURIDAD
DE LA INFORMACIÓN EN UNIVERSIDAD NACIONAL TORIBIO RODRÍGUEZ DE MENOZA –
CHACHAPOYAS
INFORMATION SECURITY AT TORIBIO RODRÍGUEZ
DE MENDOZA NATIONAL UNIVERSITY – CHACHAPOYAS
Ñañez Campos, O.1
ORCID: 0000-0002-7840-3999
Villalobos Monsalve, A. E.2
ORCID: 0000-0002-0825-3112
Baca Castillo, E.E.3
ORCID: 0000-0002-2944-1702
Montenegro Camacho, L.A.4
ORCID: 0000-0002-5224-4854
1Estudiante Doctorado Universidad Cesar Vallejo
oscarnc@ucvvirtual.edu.pe
2Estudiante Doctorado Universidad Cesar Vallejo
avillalobosmo@ucvvirtual.edu.pe
3Estudiante Doctorado Universidad Cesar Vallejo
bcastilloee@ucvvirtual.edu.pe
4DTP. Doctorado Universidad Cesar Vallejo
mcamachola@ucvvirtual.edu.pe
RESUMEN
La
seguridad de la información en la Universidad Nacional Toribio Rodríguez de
Mendoza – Chachapoyas se realizó con el objetivo de describir el riesgo de la seguridad de la información
en la universidad, aplicando una metodología activa que permite orientar a incrementar el nivel de seguridad de
la información.
Así mismo, como diseño de investigación se
eligió trabajar con un solo grupo de participantes, y se utilizó el instrumento
de la encuesta contenida en 15 reactivos distribuidos en 3 dimensiones
(confidencialidad, integridad y disponibilidad).
Para el desarrollo de la investigación se
realizó una encuesta virtual a los administrativos de la Universidad Nacional
Toribio Rodríguez de Mendoza de Amazonas, lo que permitió constatar que tan
vulnerables están los activos de la información y la infraestructura
tecnológica en la universidad.
En conclusión, la seguridad de la información en
la universidad puede ser vulnerada debido a que el personal administrativo
desconoce o la universidad no dispone de las políticas de seguridad para el
adecuado manejo de la información que se gestionan en las diversas áreas de la
universidad, y que la universidad no cuenta con un departamento de seguridad de
la información con personal especializado.
Palabras claves: Seguridad,
Información, Riesgo, Universidad.
ABSTRACT
Information
security at the National University Toribio Rodríguez de Mendoza - Chachapoyas
was carried out with the objective of describing the risk of information
security in the university, applying an active methodology that allows to guide
to increase the level of information security.
Likewise,
as the research design, it was chosen to work with a single group of
participants, and the instrument of the survey contained in 15 items
distributed in 3 dimensions (confidentiality, integrity and availability) was
used.
For
the development of the research, a virtual survey was conducted with the
administrators of the National University Toribio Rodríguez de Mendoza de
Amazonas, which allowed us to verify how vulnerable the information assets and
technological infrastructure are in the university.
In
conclusion, the security of information at the university may be violated
because the administrative staff is unaware or the university does not have the
security policies for the proper handling of information that are managed in
the various areas of the university, and that the university does not have an
information security department with specialized personnel.
Key words: Security, Information, Risk, University.
INTRODUCCIÓN
En los últimas épocas en el mundo, las empresas,
instituciones públicas o privadas para realizar sus actividades administrativas
se apoyan en las tecnologías de la información y la comunicación (TIC) mediante
estas, se realizan innumerables transacciones y operaciones a nivel nacional e
internacional; asimismo, se comunican personas de manera eficaz, económica y
veloz; sin embargo, el uso de estas
tecnologías eventualmente podría derivar grandes riesgos en las cuales están
expuestas a las actuaciones de piratas electrónicos, fraudes, robos, como
también el saboteo en la comercialización, asimismo usufructúan o borran
información de sus víctimas, causando perjuicios a los usuarios o dueños de la
información. De lo expuesto con este trabajo se pretende analizar y
describir sobre la seguridad
de la información donde, existen diferentes tipos de amenazas que
atentan contra el buen funcionamiento de la administración de la Universidad
Nacional Toribio Rodríguez de Mendoza, en la cual se atenta con las amenazas de
la seguridad de la información.
El trabajo de investigación se sustentará en las teorías
de la administración tecnológica, modelo de gestión de la seguridad de la
información, la teoría jurídica, teniendo en cuenta la variable de la
investigación.
Modelo de gestión de seguridad, las tecnologías de la información contribuyen a
mejorar la toma de decisiones en las organizaciones, suministrando datos con la
calidad y en la cantidad que estas requieren, sin embargo, el flujo de la
información genera riesgos de diverso tipo: para manejar en dichos riesgos se
han elaborado modelos de gestión de seguridad de la información como el
planteado en la norma internacional (ISO, 2017, p. 56)
Según,
Zhou et al. (2015) Definen a la gestión de seguridad en la intersección de
la ley, la tecnología y el mercado que han surgido a través y en reacción a la
informatización y las redes digitales, la formula en los principios de
aplicación legal tomando en cuenta la administración del riesgo, desde tres
aspectos: el mercado, la tecnología y el derecho, acercando así las dos esferas
existentes: el marco jurídico y el marco de gestión técnica. (p. 67)
Por lo
tanto, las organizaciones la seguridad de la
información es un tema que, por representar intereses de contenido legal y
económico, adicionales a los técnicos, no solo debe estar en manos de los
ingenieros y encargados de sistemas informáticos, sino que necesita involucrar
a la gerencia, que a su vez debe convocar a grupos de interés a participar
activamente en la salvaguarda y uso adecuado del derecho fundamental y mayor
activo: la información. (Zhou et al. 2015, p. 78)
Por último,
la seguridad siempre busca la gestión de
riesgos, esto quiere decir que se tenga siempre una forma de evitarlo o
prevenirlo y que se pueda realizar ciertas acciones para evitar esas
situaciones de la mejor forma. Asimismo, se definió que la seguridad podría ser
catalogada como la ausencia de riesgo, la definición de este término involucra
cuatro acciones que siempre están inmersas en cualquier asunto de seguridad
como son: La Prevención del riesgo, Transferir el riesgo, Mitigar el riesgo y
Aceptar el riesgo (Gerber y Von Solms 2015, p. 45)
Teoría
jurídica, Aguilera (2017)
indica que los acuerdos de confidencialidad o
elemento contractual tienen un efecto persuasivo y disuasivo, y se deben usar
siempre que estén acordes con la ley y sean explicados a cada firmante, de lo
cual debería quedar evidencia. La confidencialidad está en manos de las
personas; en otras palabras, la seguridad de la información depende de la
conciencia, formación y compromiso que tengan los individuos respecto al tema
en el interior de la organización.
Por otro lado, los expertos jurídicos explican
que los elementos tecnológicos especializados para proteger los datos deben
acompañarse de un conjunto de medidas normativas, es decir, toda técnica,
metodología o procedimiento debe estar acorde con la ley. Es probable que, en
un mar de normas técnicas y jurídicas, estas puedan contradecirse; en esto los
encargados del área legal en las organizaciones deben poner especial atención
para evitar futuros inconvenientes. (Peltier, 2015, p. 54).
Asimismo, los expertos argumentan
contundentemente que los acuerdos de confidencialidad no solamente son válidos
y útiles, sino necesarios, siempre y cuando se puedan hacer cumplir y
monitorear. Estos acuerdos deben ser complementados con diferentes formas de
gestión. (Peltier, 2015, p. 75).
Según, Guzmán (2015) sostiene que la ley se
enfoca en el sector financiero y favorece a la empresa privada. En Colombia la
ley no protege las bases de datos de ciudadanos, sino las de usuarios
bancarios. El experto dice que los grandes vacíos están en el concepto de banco
de datos.
Se puede concluir que Los hallazgos a nivel
general dicen que existen o se pueden desarrollar procedimientos o técnicas de
seguridad tecnológica y jurídica para la protección de derechos de propiedad
intelectual. Es recomendable establecer dentro de las organizaciones políticas
la obligación de proteger los derechos propios y de terceros.
Administración
tecnológica, Choo (2017)
afirma que la naturaleza de las amenazas informáticas de hoy es más sofisticada
y sin precedentes en términos de alcance, habilidad, frecuencia, y capacidad.
De realizarse podrían dar lugar a graves pérdidas económicas
Asimismo,
Gerber y Von Solms (2015)
proponen adoptar un enfoque alternativo al análisis de riesgos tradicional, en
el cual se analicen no solamente los riesgos de los activos tangibles, sino
también los riesgos de los intangibles como la información. (p. 56)
Por lo tanto, se enfatizan que las empresas deben asegurar que los riesgos sean
gestionados holísticamente y que la terminología y prácticas de riesgo
relacionadas con TICs estén congruentemente alineadas con la terminología y
prácticas de la empresa. (Lategan y Von Solms, 2016, p.67)
Según, Wallace (2016) considera que la gestión del conocimiento permite habilitar
personas, equipos y organizaciones completas en la creación, compartición y
aplicación del conocimiento, colectiva y sistemáticamente, para mejorar la
consecución de los objetivos de negocio. El interés por este campo sigue
creciendo, aunque son escasos los estudios sobre cómo proteger los activos
basados en conocimiento (p. 45)
Por tanto, según Desouza y Vanapalli, (2015)
consideran que existe un gran interés en el diseño de marcos de trabajo en la
administración tecnológica que proporcione una guía en la protección de la
información y conocimiento generado, gestionado y transferido en las
organizaciones (p. 65)
En el
trabajo de investigación anteriormente mencionado, se trabajó con un tipo de
investigación no aplicada, siendo su diseño descriptivo correlacional.
La
población estuvo conformada por los 150 trabajadores administrativos de la
Universidad Nacional Toribio Rodríguez de Mendoza de Amazonas, solo se trabajó
con una muestra de 80 trabajadores administrativos, resultado por la formula
tamaño de la muestra para estimar proporciones, se utilizó el muestreo
probabilístico de manera estratificada debido, a que la universidad está
constituida por diferentes áreas, luego se seleccionaron aleatoriamente.
El
instrumento utilizado, fue un cuestionario denominado Seguridad de la
información, consta de 15 reactivos, con preguntas cerradas (estilo liker) para
la recolección de los datos se utilizó la técnica de campo de manera online.
El
mencionado cuestionario obtuvo una fiabilidad significativa. Este resultado se
obtuvo aplicando un piloto de 15 sujetos, donde las correlaciones de Pearson
superaron el valor de 0,30 (validez) y el coeficiente de consistencia interna
alfa Cronbach (α >0,80) y 96.4 de fiabilidad
|
Estadísticos
de fiabilidad |
||
|
Alfa
de Cronbach |
Alfa de
Cronbach basada en los elementos tipificados |
N
de elementos |
|
0,84 |
96,4 |
15 |
Resultados
La información obtenida a partir de la
aplicación de instrumento, ha sido tabulada y analizada para cada dimensión
Tabla 1: Confidencialidad de la información en
la seguridad de la información en la UNTRM
|
Confidencialidad |
Si |
No |
No sé |
|||
|
fi |
% |
fi |
% |
fi |
% |
|
|
La Universidad posee un departamento de
Seguridad de informática con personal especializado |
29 |
32,6 |
22 |
24,7 |
38 |
42,7 |
|
¿La Universidad ha sido víctima de ataques
informáticos en su infraestructura tecnológica en los últimos 5 años? |
11 |
12,4 |
24 |
27,0 |
54 |
60,7 |
|
¿Los Usuarios de los sistemas utilizan
contraseñas fuertes? |
24 |
27,0 |
29 |
32,6 |
36 |
40,4 |
|
¿La Universidad actualmente cuenta con
políticas de seguridad para el adecuado manejo de la información que se
gestiona en las respectivas áreas? |
32 |
36,0 |
25 |
28,1 |
32 |
36,0 |
Fuente: Elaboración propia
Según la Tabla 01, se observa en la primera
dimensión con relación a la confidencialidad
de la información que el 42,7 % de los encuestados no saben o desconocen si la
universidad cuenta con un departamento de seguridad con personal especializado,
así mismo el 12,4 % responde que la universidad ha sido víctima de ataques
informáticos en su infraestructura tecnológica en los últimos 5 años, seguido
de un 32,6% que opina que los usuarios de los sistemas no utilizan contraseñas
fuertes. En lo referente a las políticas de seguridad para el adecuado manejo
de la información que se gestionan en las respectivas áreas de la universidad,
el 36% no sabe o desconoce de las políticas de seguridad para el adecuado
manejo de la información que se gestiona en las respectivas áreas.
Tabla 2: Integridad de la información en la
seguridad de la información en la UNTRM
|
Integridad |
Si |
No |
No sé |
|||
|
fi |
% |
fi |
% |
fi |
% |
|
|
¿Encriptas de alguna forma tus bases de datos
y la información sobre los estudiantes? |
19 |
21,3 |
49 |
55,1 |
21 |
23,6 |
|
¿Los Sitios Webs de los sistemas de la
Universidad que se utilizan están protegidos? |
46 |
51,7 |
11 |
12,4 |
32 |
36,0 |
|
Actualmente realizan mantenimientos periódicos
sobre las computadoras de la universidad. |
25 |
28,1 |
49 |
55,1 |
15 |
16,9 |
|
¿Utilizas un software de firewall en tu
ordenador? |
28 |
31,5 |
38 |
42,7 |
23 |
25,8 |
|
¿Tienes Antivirus instalado en tu computadora? |
68 |
76,4 |
17 |
19,1 |
4 |
4,5 |
|
¿La Universidad dispone de mitigación de
riesgos? |
15 |
16,9 |
27 |
30,3 |
47 |
52,8 |
|
¿Existe un control para evitar que el personal
pueda realizar cambios tanto en el hardware como en el software de los
equipos de cómputo? |
34 |
38,2 |
22 |
24,7 |
33 |
37,1 |
Fuente: Elaboración propia
Según la Tabla 02 se observa en la segunda
dimensión con relación a la integridad de la información, que el 55.1 % de los
administrativos no encripta la información de los estudiantes; así mismo el
51.7% responden que los sitios webs de los sistemas si están protegidos contra
los intrusos, por otro lado, el 55.1% responde que no se realizan
mantenimientos periódicos sobre las computadoras. de la universidad; y un 42,7
% no utilizan software de firewall en su ordenador, mientras que un 52.8%
desconoce sobre la mitigación de riesgos de la información en la universidad;
finalmente un 37.1 % desconoce de la existencia de controles para evitar que el
personal pueda realizar cambios tanto en el hardware como en el software de los
equipos de cómputo.
Tabla 3: Disponibilidad de la información en la
seguridad de la información en la UNTRM
|
Disponibilidad |
Si |
No |
No sé |
|||
|
fi |
% |
fi |
% |
fi |
% |
|
|
¿Realizas periódicamente una copia de
seguridad de tu información? |
38 |
42,7 |
50 |
56,2 |
1 |
1,1 |
|
¿El personal de universidad tiene conocimientos
acerca del proceso que se deben realizar en el caso de que personas no
autorizadas utilicen los equipos de cómputo? |
15 |
16,9 |
46 |
51,7 |
28 |
31,5 |
|
¿Se realizan periódicamente mantenimientos
preventivos de los equipos? |
20 |
22,5 |
52 |
58,4 |
17 |
19,1 |
|
¿Conoce los procedimientos que se debe seguir
en caso de detectar alguna falla o amenaza en los equipos de cómputo? |
33 |
37,1 |
48 |
53,9 |
8 |
9,0 |
Fuente: Elaboración propia
Según la Tabla 03 se observa en la tercera
dimensión con relación a la disponibilidad de la información. Los
administrativos de la universidad respondieron que el 56.2% no realizan
periódicamente copias de seguridad de la información, así mismo el 51.7%
responde que el personal de la universidad no tiene conocimiento acerca del
proceso que se debe realizar en el caso de que personas no autorizadas no
autorizadas utilicen los equipos de cómputo; por otro lado, el 58,4% menciona
que no se realizan periódicamente mantenimientos preventivos de los equipos;
finalmente el 53.9 % administrativos responden que no conocen los
procedimientos que se deben seguir en caso de detectar alguna falla o amenaza
en los equipos de cómputo de la universidad.
Discusión
Después de analizar los resultados de las
encuestas aplicado a los administrativos de la universidad con respecto a la
dimensión de confidencialidad, integridad y disponibilidad de la información en
relación a la seguridad de la información en la universidad se puede sustentar
que no existe una cultura en cuanto a seguridad de la información por parte de
los administrativos, que desconocen las políticas de seguridad que la
universidad tiene sobre la seguridad de la información, por lo tanto se debe
describir el riesgo de la
seguridad de la información en la Universidad Nacional Toribio Rodríguez de
Mendoza.
Se aprecia en la Tabla 01, sobre la primera
dimensión con relación a la confidencialidad
de la información que el 42,7 % de los encuestados no saben o desconocen si la
universidad cuenta con un departamento de seguridad con personal especializado,
así mismo el 12,4 % responde que la universidad ha sido víctima de ataques
informáticos en su infraestructura tecnológica en los últimos 5 años, seguido
de un 32,6% que opina que los usuarios de los sistemas no utilizan contraseñas
fuertes. En lo referente a las políticas de seguridad para el adecuado manejo
de la información que se gestionan en las respectivas áreas de la universidad,
el 36% no sabe o desconoce de las políticas de seguridad para el adecuado
manejo de la información que se gestiona en las respectivas áreas. Según los
resultados se debe realizar un análisis sobre la seguridad de la información de
la universidad nacional
Toribio Rodríguez de Mendoza – Chachapoyas, que permita que la base de la
seguridad no sea vulnerada y manipulada por terceras personas, esto lo lograría
teniendo en un departamento de seguridad informática con personal especializado
y que esta cuente con políticas de seguridad para el adecuado manejo de la
información.
En cuanto a la segunda dimensión con relación a
la integridad de la información, y
según la Tabla N° 02 se observa que el 55.1% de los administrativos no encripta
la información; así mismo el 51.7% responden que los sitios webs de los
sistemas si están protegidos contra los intrusos, por otro lado, el 55.1%
responde que no se realizan mantenimientos periódicos sobre las computadoras.
de la universidad; y un 42,7 % no utilizan software de firewall en su
ordenador, mientras que un 52.8% desconoce sobre la mitigación de riesgos de la
información en la universidad; finalmente un 37.1 % desconoce de la existencia
de controles para evitar que el personal pueda realizar cambios tanto en el
hardware como en el software de los equipos de cómputo. Es decir se tiene que tener en cuenta que los datos
no se vean afectados por errores o modificaciones no deseadas manteniendo de
esta manera la Integridad de la información en la seguridad de la
información en la UNTRM.
Por último, la tercera dimensión de la disponibilidad de la información plasmada en la Tabla 03 se observa que el
56.2% no realizan periódicamente copias de seguridad de la información, así
mismo el 51.7% responde que el personal de la universidad no tiene conocimiento
acerca del proceso que se debe realizar en el caso de que personas no
autorizadas no autorizadas utilicen los equipos de cómputo; por otro lado, el
58,4% menciona que no se realizan periódicamente mantenimientos preventivos de
los equipos; finalmente el 53.9 % administrativos responden que no conocen los
procedimientos que se deben seguir en caso de detectar alguna falla o amenaza
en los equipos de cómputo de la universidad. Es decir, la disponibilidad debe
girar en base a la seguridad de la información.
Asimismo,
los resultados tienen relación con las teorías expuesta, tenemos a Gerber y Von Solms (2015) proponen adoptar un enfoque
alternativo al análisis de riesgos tradicional, Por otro lado, Lategan y Von
Solms, (2016) enfatizan que las empresas deben asegurar que los riesgos sean
gestionados holísticamente y que la terminología y prácticas de riesgo
relacionadas con las TICs estén alineadas con la terminología de la empresa.
Conclusiones
El trabajo
de investigación está orientado en
describir la problemática de riesgo
de la seguridad de la información en la Universidad Nacional Toribio Rodríguez
de Mendoza. Teniendo en cuenta que los servidores no cuentan con el mínimo de
seguridad en la informática.
1.
Teniendo
en cuenta el objetivo y la problemática de la investigación, se puede demostrar
en los resultados en las dimensiones que se debe fortalecer e implementar una
propuesta para mejorar la seguridad de la información de la universidad.
2. Y por último respecto a la
protección es que no existe normatividad legal y técnica suficiente al respecto
de los derechos relacionados con información de los consumidores y las
obligaciones para la empresa. Dicho de otra manera, la normativa que existe es
muy distante de lo que se requiere.
REFERENCIAS
Aguilera, E.
(2017) detección de riesgos operacionales en empresas del sector eléctrico
aplicando las recomendaciones del Comité de Basilea. Btasil: Interciencia.
Choo,
T. (2017) Business Research Methods. Mason,
Ohio, USA: Cengage Learning.
Desouza, C. y Vanapalli, K.
(2015) Securing knowledge in organizations: Lessons from the defense and
intelligence sectors. Recuperado: https://doi.org/10.1016/j.ijinfomgt.2004.10.007
Gerber, M. y Von Solms, R. (2015) Management of risk in the information
age. Computers &
security, recuperado: https://www.researchgate.net/publication/222827356_
Guzmán, R. (2015) Introducción a la ciencia de la computación. México: Thomson
ISO (2017) Cyber Security Management: A Review. Business Management Dynamics, 5 (11), 16-39.
Lategan, N. y Von Solms, R.
(2016) “Towardsenterprise information risk
management: a body analogy”. Computer
fraud & security, Recuperado: https://goo.gl/Cl0qSY https://doi.org/10.1016/S1361-3723(06)70453-5
Peltier, T. (2015) Information
Security, Policies, Procedures and Standards: Guidelines for Effective
Information Security Management. USA: CRC Press
LLC
Wallace, W.
(2016) La gestión del conocimiento. William Wallace explica cómo el capital
intelectual aumenta la productividad”. Recuperado:
http://www.lanacion.com.ar/183309-la-gestion-de-conocimiento
Zhou, E. et al. (2015) Security and privacy in cloud computing:
A survey. Washington, DC, SKG’10 Procs,
ANEXO
ENCUESTA
ENCUESTA VIRTUAL
Estimado, sr (a) (ta) con la
finalidad de realizar un trabajo de investigación sobre la seguridad de la información de la UNTRM.
Se solicita contestar con la veracidad las siguientes preguntas. En la cual
estos datos son confidenciales, y se empleará concretamente para la
complementación del presente estudio. Gracias por su participación.
I. Instrucciones: Lee atentamente las preguntas, luego, sírvase
contestar la presente encuesta escriba una X, en caso de SI O NO.
II. Datos generales
Edad: ……… años…….. Área de trabajo: ……………………Sexo: Masculino
( ) Femenino( )
|
Nro |
Dimensión |
Preguntas |
Niveles |
||
|
Si |
No |
No sé |
|||
|
1 |
Confidencialidad |
La Universidad posee un departamento de
Seguridad de informática con personal especializado |
|
|
|
|
2 |
¿La Universidad a sido víctima de ataques
informáticos en su infraestructura tecnológica en los últimos 5 años? |
|
|
|
|
|
3 |
¿Los Usuarios de los sistemas utilizan
contraseñas fuertes? |
|
|
|
|
|
4 |
¿La Universidad actualmente cuenta con
políticas de seguridad para el adecuado manejo de la información que se
gestiona en las respectivas áreas? |
|
|
|
|
|
5 |
Integridad |
¿Encriptas de alguna forma tus bases de datos
y la información sobre los estudiantes? |
|
|
|
|
6 |
¿Los Sitios Webs de los sistemas de la Universidad
que se utilizan están protegidos? |
|
|
|
|
|
7 |
Actualmente realizan mantenimientos periódicos
sobre las computadoras de la universidad. |
|
|
|
|
|
8 |
¿Utilizas un software de firewall en tu
ordenador? |
|
|
|
|
|
9 |
¿Tienes Antivirus instalado en tu computadora? |
|
|
|
|
|
10 |
¿La Universidad dispone de mitigación de
riesgos? |
|
|
|
|
|
11 |
¿Existe un control para evitar que el personal
pueda realizar cambios tanto en el hardware como en el software de los
equipos de cómputo? |
|
|
|
|
|
12 |
Disponibilidad |
¿Realizas periódicamente una copia de
seguridad de tu información? |
|
|
|
|
13 |
¿El personal de universidad tiene
conocimientos acerca del proceso que se deben realizar en el caso de que
personas no autorizadas utilicen los equipos de cómputo? |
|
|
|
|
|
14 |
¿Se realizan periódicamente mantenimientos
preventivos de los equipos? |
|
|
|
|
|
15 |
conoce los procedimientos que se debe seguir
en caso de detectar alguna falla o amenaza en los equipos de cómputo? |
|
|
|
|
GRACIAS POR SU COLABORACIÓN