17/7/2020
Página 1
Evaluación de la seguridad de la información en la administración pública.
Edyta Karolina Szczepaniuk a, Hubert Szczepaniuk b , ∗Tomasz Rokicki bBogdan Klepacki b
una Universidad Fuerza Aérea de Polonia, Dywizjonu 303 no. 35 ST., 08-521 D˛eblin, Polonia
b Universidad de Ciencias de la Vida de Varsovia WULS - SGGW, Nowoursynowska 166 ST., 02-787 Varsovia, Polonia
artículo informacion
Historia del articulo:
Recibido el 23 de julio de 2019
Revisado el 21 de noviembre de 2019
Aceptado el 28 de diciembre de 2019
Disponible en línea el 30 de diciembre de 2019
Palabras clave:
Seguridad de información
La seguridad cibernética
Administración Pública
Evaluación de la seguridad de la información.
Gestión de la seguridad de la información
1. Introducción
Implementación de TI en la mayoría de las áreas de actividad del
Estado, la economía y la sociedad, genera muchas oportunidades
con respecto a la automatización de los procesos de gestión y el aumento de ef-
Ficción y calidad de los servicios realizados. Simultáneamente, la introducción
La conducción de soluciones informáticas en el sector público implica la necesidad
para proporcionar seguridad de los servicios realizados. Por esta razón, dentro de
instituciones de administración pública, el hombre de seguridad de la información
Se está implementando el sistema de gestión (SGSI), cuyo propósito es
para proporcionar seguridad de los recursos de información de una institución y
para proporcionar la realización ininterrumpida de la misión de la institución. ISMS
cubre un conjunto de tareas de planificación y organización y es
basado en la gestión de riesgos de amenazas de información que pueden tener
∗ Autor correspondiente.
Direcciones de correo electrónico: e.szczepaniuk@law.mil.pl (EK Szczepaniuk), hubert_szczep
aniuk@sggw.pl (H. Szczepaniuk), tomasz_rokicki@sggw.pl
bogdan_klepacki@sggw.pl (B. Klepacki).
https://doi.org/10.1016/j.cose.2019.10170 9
0167-4048 / © 2020 The Authors. Publicado por Elsevier Ltd. Este es un artículo de acceso abierto bajo la licencia CC BY-NC-ND. ( http://creativecommons.org/licenses/by-nc-nd/4.0/ )
Página 2
2 EK Szczepaniuk, H. Szczepaniuk y T. Rokicki et al. / Informática y seguridad 90 (2020) 101709
sistema de gestión de seguridad de formación. Las obligaciones indicadas
sobre gestión de seguridad de la información en instituciones públicas
no se reflejaron en la práctica varias veces, lo cual se indica
en los resultados de la investigación científica (Szczepaniuk, 2016), análisis
e informes, incluidos los resultados de control presentados por la Pol
ish Oficina Suprema de Auditoría (NIK, 2016) Un síntoma de cambios en
este aspecto era la obligación de implementar en la Unión Europea
https://translate.googleusercontent.com/translate_f
Evaluación de la seguridad de la información en la administración pública.
Computadoras y seguridad 90 (2020) 10170 9
Listas de contenidos disponibles en ScienceDirect
Computadoras y Seguridad
página de inicio de la revista: www.elsevier.com/locate/cose
resumen
El objetivo del artículo es caracterizar y evaluar la gestión de la seguridad de la información en unidades públicas
administración y definir soluciones recomendadas que faciliten un aumento en el nivel de información
seguridad. El artículo se considera un trabajo de investigación teórico-empírico. El objetivo de la investigación teórica.
es explicar los términos básicos relacionados con la gestión de la seguridad de la información y definir las condiciones para
La implementación del Sistema de Gestión de Seguridad de la Información (SGSI). Dentro del alcance de la teoría
Se hace referencia a consideraciones locales, literatura de origen, legislación e informes. En los años 2016-2019,
Se ha llevado a cabo una investigación empírica, cuyo objetivo era evaluar la eficiencia de la seguridad de la información.
gestión en oficinas de administración pública. La evaluación de los resultados de las encuestas fue acompañada por
Un análisis de las relaciones estadísticas entre las variables investigadas, que permitió definir los efectos de
Normativa de la Unión Europea sobre el suministro de seguridad de la información en la administración pública. Resultados de
Los datos empíricos muestran que en los años 2016-2017, en las oficinas de la administración pública, cierto problema
áreas en el aspecto de la gestión de seguridad de la información estuvieron presentes, que incluyen, entre otras: falta
de la organización del SGSI, documentación incompleta u obsoleta del SGSI, falta de análisis de riesgos regulares, falta de
revisiones, auditorías o controles, uso limitado de medidas de protección física y tecnológica, falta de capacitación
o desarrollo profesional. En los años 2018-2019, soluciones de la Unión Europea, es decir, el Reglamento GDPR
y la Directiva NIS, han afectado el aumento en el nivel de seguridad de la información en la administración pública
ción y tienen una ocurrencia significativamente limitada de irregularidades identificadas. Los resultados de la investigación permiten
asumir que la entrega de seguridad de la información en la administración pública requiere un enfoque sistémico
derivado de la necesidad de una mejora permanente.
© 2020 Los Autores. Publicado por Elsevier Ltd.
Este es un artículo de acceso abierto bajo la licencia CC BY-NC-ND.
(http://creativecommons.org/licenses/by-nc-nd/4.0/)
efecto destructivo sobre el funcionamiento de un instituto de administración pública
ción Por lo tanto, la gestión de la seguridad de la información en la administración pública
La filtración afecta la eficiencia, la confiabilidad y la calidad de lo realizado
tareas públicas
Análisis de problemas relacionados con fenómenos globales dentro del campo.
del entorno de información del estado permite percibir
tendencias de desarrollo de amenazas a la información para los elementos de
Infraestructura crítica del estado (ver, por ejemplo , WEF, 2019) Países
donde la administración pública opera sobre la base de nuevas tecnologías
nologías, se volvió sensible con respecto a la interferencia en la información
procesos. Prevención de amenazas y seguridad de la información.
constituye un desafío significativo, tanto para países específicos, como
así como para comunidades internacionales.
Muchos países y organizaciones reconocen la necesidad de
acelerar soluciones eficientes que faciliten un aumento de la información
nivel de seguridad (ver, por ejemplo, Janczewski y Caelli, 2015) En Polonia,
El Marco Nacional de Interoperabilidad ( Dz.U. [Journal of Laws]
de 2012, ítem 526 ) han obligado a las entidades en el sector de finanzas públicas
(T. Rokicki),
tor para diseñar, desarrollar, establecer, implementar y mejorar un
Los fundamentos teóricos de la gestión de la seguridad de la información son
destinado a indicar el problema fundamental en la implementación de
ISMS, que es la falta de un enfoque sistémico que incluiría
misión de la institución y su aspecto de proporcionar una calidad adecuada de def
servicios livered. Además, la evaluación del personal de seguridad de la información
El proceso de gestión que utiliza la investigación empírica requiere la adopción de la ciencia
Criterios de evaluación justificados de forma específica.
1/9
17/7/2020
Estados miembros los principios de la llamada protección de datos generales
Reglamento (Reglamento GDPR) (DO L 119/1, 4.5.2016 2016),
y la directiva sobre medidas para impulsar el nivel general de ciber-
seguridad de redes y sistemas informáticos en la Unión Europea (NIS
directiva) (DO UE L 191/1, 19.7.2016 2016) En Polonia, el europeo
Los documentos sindicales se implementaron en forma de aprobación, entre
otros, la Ley de Protección de Datos Personales ( Dz.U. [Journal of Laws]
de 2018, artículo 1000 ) y la Ley de Ciberseguridad Nacional
(Dz.U. [Diario de leyes] de 2018 artículo 1560) Implementación de
Las soluciones de la Unión Europea en el orden legal polaco dieron como resultado
aumento en el nivel de seguridad de la información y la protección de la privacidad. Le-
los actos de la UE afectaron a la mejora de la estructura organizativa de la UE
y procedimientos de seguridad (por ejemplo, procedimiento de gestión de riesgos, información
auditorias de seguridad de mation). Además, el número de
han aumentado las medidas de protección técnica y técnica (por ejemplo, acceso
mecanismo de control, copias de seguridad). Un cambio significativo también en
incluyó capacitación regular y mejora de las habilidades del personal (p. ej.
formación en protección de datos personales). En algunas administraciones públicas
instituciones de comercio todavía hay muchas amenazas de información vulner-
habilidades presentes. Además, el entorno de las amenazas es dinámico.
cambiando radicalmente debido al aumento en el rango de herramientas avanzadas y
técnicas de tachuela. El contexto resumido indica la necesidad de
Formar más investigación sobre seguridad de la información en publicidad pública
ministración para evaluar y mejorar la implementación actual
soluciones pensadas Además, los problemas de investigación de este artículo también
incluir las prioridades de investigación de la Unión Europea en el aspecto
de ciberseguridad (ENISA, 2017)
2. Metodología de la investigación.
El tema de la investigación es el organismo de administración pública.
En Polonia, en el contexto de los procesos de gestión de la información
seguridad de mation. La administración pública constituye un complejo.
mega-sistema compuesto por múltiples subsistemas (ver, por ejemplo, Mo˙zd˙ze´n-
Marcinkowski, 2012 ). Complejidad funcional y organizacional de
administración pública, en relación con la gestión de seguridad de la información,
constituye un tema interdisciplinario de investigación. El teórico
La base del tema discutido se origina en muchos campos académicos, por ej.
ciencias de la computación, gestión y ciencias de la calidad, ciencias de la seguridad
ences, teoría jurídica.
El objetivo principal de la investigación es evaluar la seguridad de la información.
gestión en entidades de administración pública en Polonia y en
dicar soluciones recomendadas que facilitarían un aumento
del nivel de seguridad de la información. Alcanzar la meta adoptada
Realización requerida de lo siguiente, de naturaleza teórica, detallada
metas:
- definir la seguridad de la información en la administración pública;
- identificación de amenazas a la seguridad de la información en public public-
instituciones de ministración;
- explicando la esencia de la gestión de seguridad en publicidad pública
agencia;
- definición de condiciones para la implementación de la información
Sistema de gestión de seguridad.
La necesidad de realizar las consideraciones teóricas anteriores dentro de
El contexto del objetivo de investigación adoptado se justifica por el hecho de que
dentro de la literatura fuente, el tema de la gestión de seguridad de la información
La administración pública a menudo se analiza de una manera que
lo separa del funcionamiento de una institución pública como un todo.
Página 3
EK Szczepaniuk, H. Szczepaniuk y T. Rokicki et al. / Informática y seguridad 90 (2020) 101709
tabla 1
Atributos de seguridad de la información.
No. Atributo Caracteristicas
1 confidencialidad Siempre que el acceso a la información esté restringido solo para usuarios autorizados
2 integridad Siempre que la información se conserve en su forma original, excepto cuando el personal autorizado la actualice o la borre.
3 disponibilidad Siempre que la información esté disponible para personas autorizadas en el tiempo requerido.
44 responsabilidad Relacionado con la asignación inequívoca de un rango dado de acciones a un usuario específico.
55 autenticación Siempre que la identidad de un usuario o recurso sea la declarada
Fuente: Alhassan y Adjei-Quaye, 2017 ; Barczak y Sydoruk, 2003 ; Liderman, 2012 .
Vista de la investigación sistémica. Sobre la base del análisis sistémico, hay
son dos enfoques predominantes (Sienkiewicz, 2010):
- seguridad del sistema entendida como propiedad de un investigado
objeto, caracterizado con resistencia a la ocurrencia
de situaciones peligrosas (amenazas), mientras que el foco está en
vulnerabilidad con respecto a la ocurrencia de incidentes de seguridad;
- seguridad del sistema definida en términos de capacidad para proteger el
valores internos (recursos) de un objeto contra amenazas.
Según la definición anterior, la seguridad se percibe en términos
de una característica de un sistema dado, que condiciona la confiabilidad del sistema
flexibilidad y eficiencia operativa en caso de ocurrencia de una seguridad
incidente. Por lo tanto, el término seguridad debe considerarse en relación
a posibles amenazas.
Uno de los modelos generales de seguridad del sistema es el que se desarrolla
operado por Clements, según el cual, la interacción entre
se define amenazas y un objeto investigado. Que haya un conjunto de
Todas las amenazas Z = { z 1 , z 2 , z 3 ,. . . , z n } y un conjunto de todos los objetos O =
{ O 1 , o 2 , o 3 ,. . . , o n } . Un conjunto de todos los puntos que son vulnerables a
es decir, las vías de penetración del sistema, se pueden expresar con un
https://translate.googleusercontent.com/translate_f
Evaluación de la seguridad de la información en la administración pública.
El tema de investigación, presentado en una visión general, expresa
la naturaleza compleja e interdisciplinaria del objeto y la
objetivo de la investigación. Debido a este hecho, un modelo de investigación adecuado para
Se ha adoptado un análisis sistémico (véase, por ejemplo , Sienkiewicz, 1995)
El enfoque metodológico adoptado permite investigar cuestiones
presente en campos de conocimiento distantes y para analizar varios
fenómenos en un enfoque holístico, en el que se presupone que
la realidad se percibe como un todo y no como una colección de
partes.
La elección de los métodos y herramientas de investigación fue determinada por
El modelo de proceso de investigación adoptado. En el aspecto teórico
deliberación, la fuente de literatura, legislaciones e informes fueron revisados
Ferré a. Dentro del rango de la investigación empírica, un cuestionario
encuesta basada se realizó. Evaluación de resultados de la encuesta.
fue seguido por un análisis de las relaciones estadísticas entre la evaluación
variables evaluadas, que se evaluaron mediante una prueba de Chi-cuadrado y
C Coeficiente de contingencia de Pearson.
La prueba Chi-2 ( x 2 ) es una prueba estadística no paramétrica que
permite indicar la presencia de relaciones entre las variables examinadas
ables La fórmula de la prueba de relación Chi-2 se define de la siguiente manera (ver
por ejemplo , Zibran, 2007):
( )2
∑k Oj-Ej
x2= (1)
Ej
j=1
llave:
x 2 - Prueba de relación Chi-2
O j - tamaño observado para un grupo dado
E j - tamaño esperado para un grupo dado
El coeficiente de contingencia de C Pearson es una medida de
fuerza de la relación entre las variables evaluadas, y es
calculado usando la siguiente fórmula (ver, por ejemplo, Vogt y John-
hijo, 2015 ):
√
x2
C= (2)
x2+n
llave:
C - C coeficiente de contingencia de Pearson
x 2 - Prueba de relación Chi-2
n - tamaño de muestra de prueba
3. Base teórica de la gestión de la seguridad de la información.
3.1. Definición de seguridad de la información en la administración pública.
La literatura fuente proporciona muchas definiciones de información
Curity. Adoptar una interpretación específica requiere referirse a
Teoría general de la seguridad y teoría de la seguridad del sistema. Como un conse-
Debido a las determinaciones adoptadas, es razonable explicar el
esencia de la seguridad de la información y adoptar una propuesta específica
de la terminología que aclara la especificidad de la seguridad de la información en las publicaciones
administración lic.
La categoría de seguridad es un término complejo y multidimensional,
lo cual es confirmado por una variedad de tipologías y definiciones disponibles
capaz en literatura de origen (véase, por ejemplo , Brooks, 2009 ; Degaut, 2015;
Sta´nczyk, 1996) Al percibir la administración pública en términos
de un sistema, es razonable interpretar la seguridad desde el punto de
3
(p. ej., proporcionar servicios a los ciudadanos) y dominio externo (p. ej.
operación de unidades de administración pública). El funcionamiento de pub-
la administración lic se basa en la recopilación, el procesamiento y el intercambio
información, por lo tanto, la información es uno de los activos básicos
y se considera un valor protegido. Un incidente de seguridad puede indicar
Reducir significativamente la calidad del servicio administrativo al interrumpir
ing el proceso de su provisión. En casos extremos, puede resultar en
posibilidad incapacitante de prestar servicios por parte de las administraciones públicas
(Szczepaniuk, 2016) Seguridad de la información en la administración pública.
está relacionado con la capacidad de proporcionar la realización de programas administrativos
ceses y seguridad de la información en todos los niveles de actividad del público
instituciones.
La seguridad de la información a menudo se define en el contexto de proporcionar
atributos de seguridad de la información, expresados en la Tabla 1. El primero
tres atributos se refieren a información que no tiene en cuenta su forma. El siguiente
Los atributos de reducción se refieren a proporcionar protección de datos en los sistemas de TIC.
La información se considera segura si todos los atributos de la información
Se proporcionan seguridad.
La seguridad de la información en la administración pública debe ser considerada
en el contexto de la realización de misiones de una institución y entrega
La calidad adecuada de los servicios prestados, al mismo tiempo proporciona
2/9
17/7/2020 Evaluación de la seguridad de la información en la administración pública.
Producto cartesiano R ⊆ Z × O , que define las interacciones entre
las amenazas y objetos identificados (Stokłosa et al., 2010) Un dado
el objeto puede interactuar con múltiples amenazas o una sola amenaza puede
interactuar con múltiples objetos. La identificación de amenazas puede en gran medida
imponer el riesgo de que ocurra, debido al hecho de que proporciona la
posibilidad de implementar medidas de seguridad adecuadas.
El modelo Clements define un sistema de seguridad con el siguiente
conjunto ingHoffman, 1982 ; Stokłosa et al., 2010):
S = { O, Z, B, R, P }
llave:
O - conjunto de objetos en riesgo de amenaza,
Z - conjunto de amenazas,
B - conjunto de medidas de seguridad (protecciones),
R ⊆ Z × O - conjunto de caminos de penetración,
P ⊆ Z × B × O - conjunto de caminos de penetración protegidos contra
virar.
En el enfoque presentado, un sistema se considera totalmente seguro
si para cada punto vulnerable al ataque (ruta de penetración) una seguridad
Se proporciona medida. Las unidades de administración pública se caracterizan
con su propia especificidad, medidas de seguridad, vulnerabilidades y
El riesgo resultante. Por lo tanto, para proporcionar un suficiente o-
Para la organización de un sistema de seguridad, es necesario identificar, analizar,
supervisar y mejorar elementos específicos de un sistema. Realización de
los supuestos adoptados requieren un enfoque sistémico, debido a la
de hecho, que entre elementos de un sistema, una causa-efecto, el tiempo varía
Se producen relaciones.
Las deliberaciones actuales sugieren adoptar la noción, ese término en
la seguridad de la formación se refiere a la capacidad de garantizar la protección legal
información contra interferencia no autorizada, por ejemplo, no autorizada
divulgación, modificación, borrado de información o acciones que
desactivar la posibilidad de procesar información. Al referir estos
determinaciones a la seguridad de la información en la administración pública,
debe subrayarse que la tarea básica del instituto del sector público
es realizar tareas públicas tanto dentro del dominio interno
Página 4
44 EK Szczepaniuk, H. Szczepaniuk y T. Rokicki et al. / Informática y seguridad 90 (2020) 101709
cumplir con las normas legales, realizar tareas (objetivos) en formas legalmente definidas
y utilizando los recursos disponibles. Un instituto de administración pública
La definición definida anteriormente puede describirse utilizando el siguiente conjunto de
elementos (Szczepaniuk, 2016):
U = { L, I, M, F, C, O, R }
llave:
U - institución de administración pública,
L - recursos humanos,
I - recursos de información,
M - recursos materiales,
F - recursos financieros,
C - objetivos y normas (incluida la ley),
O - soluciones organizativas, de procedimiento y técnicas,
R - relaciones entre elementos de un organismo de administración pública
tution
La tarea principal de una institución de administración pública es la realización
ción de tareas públicas relacionadas con la toma de decisiones en función de la disponibilidad
información. Basado en la teoría del sistema, la toma de decisiones en un
la institución se realiza en base al procesamiento de información de entrada en
información de salida (véase, por ejemplo, Chikere y Nwoka, 2015) Considerar-
Definición de una institución definida en (4) y el carácter de
toma de decisiones en la administración pública, una institución es un conjunto de
elementos cooperantes que recopilan datos (datos de entrada) y procesan
ellos, emiten y entregan comentarios para lograr una adopción
objetivo (datos de salida). Un ejemplo del proceso descrito anteriormente es
emitir una decisión administrativa basada en los documentos entregados
por partes de un procedimiento administrativo.
En una institución de administración pública, un subsistema ejecutivo
y un sistema de gestión puede ser diferenciado. Primero de esos re
plantea procesos relacionados con la realización de tareas públicas. El otro
uno se da cuenta de los procesos de gestión, lo que afecta la realidad requerida
Relación de las necesidades ambientales dentro del sistema ejecutivo. Func-
El funcionamiento de una institución de administración pública puede realizarse mediante
ing papel, circulación electrónica o mixta de documentos. Debería
Cabe señalar, que la circulación de documentos en una institución gestionada
se realiza electrónicamente de una manera diferente que en una institución
con circulación de documentos en papel. Esos modelos difieren en,
entre otros, la infraestructura utilizada para la circulación de documentos
ments, incluyendo también la ubicación y la forma de entrada (datos de entrada) y
salida (datos de salida) de documentos y el método de su pro-
cese y circulación. Los documentos electrónicos fluyen a una información
sistema de acción, no un sistema ejecutivo, ya que se realiza en caso de un
sistema con circulación de documentos en papel. Ambos en Polonia
así como en todo el mundo, muchos informes evalúan el nivel de avance
ment de la administración electrónica (véase, por ejemplo la administración electrónica Encuesta, 2018 ; El
Se desarrolló el Informe Global de Tecnología de la Información, 2016 ). En
practican, en la mayoría de las instituciones en Polonia, una circulación mixta de documentos
umentos con el uso de sistemas de TI (por ejemplo, Plataforma Electrónica de Público
Servicios de administración - ePUAP), registros públicos electrónicos (p. Ej.
Sistema de Registros Nacionales (SRP) y circulación de documentos us-
Instrucciones de oficina (por ejemplo, una carta oficial se entrega en papel
formulario para el departamento de administración de la institución).
Una institución de administración pública caracterizada como arriba puede
ser afectado con varios tipos de amenazas. Cabe señalar que
https://translate.googleusercontent.com/translate_f
Vidriando atributos de seguridad de la información. Se sugiere definir
seguridad de la información en la administración pública como estado y pro
cess en el que (Szczepaniuk, 2016):
- La seguridad de la información se logra y se mantiene de forma predeterminada.
nivel terminado de confidencialidad, integridad y accesibilidad;
- La seguridad de los servicios prestados se logra y mantiene en un
nivel predeterminado de confiabilidad, accesibilidad e integridad
de servicios;
(3)
- Autenticación y rendición de cuentas de entidades, relacionadas con au-
autenticación de usuarios que utilizan información y servicios específicos
se proporcionan vicios;
- Elementos que constituyen el sistema de administración pública.
se caracterizan por la capacidad de proteger contra la corriente
y futuras interrupciones (amenazas) por funcionamiento o pérdida de
valores específicos: el sistema es resistente a las amenazas (
ternal, externo, accidental, con propósito);
- Usuarios de información y servicios (empleados en administraciones públicas)
tration) y destinatarios de información y servicios (ciudadanos, en-
empresarios, empleados que trabajan en diferentes administraciones públicas
unidades de tracción) son conscientes de las amenazas y son invulnerables a
ellos;
- Perpetuadores de incidentes de seguridad (también delincuentes internos)
tienen posibilidades restringidas de usar el ciberespacio para un propósito
de generar amenazas utilizando vulnerabilidades y brechas
dentro del sistema de seguridad.
3.2. Amenazas de seguridad de la información en las instituciones de administración pública.
Las amenazas a la seguridad de la información en las instituciones públicas pueden ser anal
Desde el punto de vista de todo un país, una autoridad local
unidad, o una sola institución. En el artículo, una sola institución se
anhelo de sistema de administración pública se centró en.
Una institución de administración pública puede definirse como un todo,
separado del sistema de administración pública, establecido de acuerdo
análisis (Sienkiewicz, 2013):
= 〈S, O, R 〉 (5)
llave:
- situación sistémica,
(4)
S - sistema que es objeto de amenazas de información,
O - entorno compuesto por objetos considerados fuente de información
amenazas de formación
R ⊂ S × O - conjunto de relaciones.
Entonces, el objeto de amenazas (sistema), que es un anuncio público
institución ministerial, tiene un potencial defensivo: P ( s ) ≥ 0, s ∈ S ,
mientras que la fuente de amenazas se caracteriza por su capacidad destructiva
potencial P ( O ) ≥ 0, s ∈ O . En el R conjunto, una relación Rz = Rz ( O, S ) , era
definido, lo que resulta en (Sienkiewicz, 2013):
V o, s o Rz s ⇔ P ( o ) ≥ P ( s ) (6)
Es decir - objeto s ∈ S es amenazado por O ∈ O .
Dentro de la literatura fuente hay múltiples clasificaciones de
amenazas a la seguridad de la formación (véase, por ejemplo, Howard y Longstaff, 1998;
Loch et al., 1992 ; Szczepaniuk, 2016) Situaciones que amenazan la seguridad
En las instituciones de administración pública pueden ocurrir múltiples
dimensiones, entre otros:
• Amenazas naturales relacionadas con desastres naturales, por ejemplo, inundaciones;
• Amenazas tradicionales de información relacionadas con actividades dirigidas a
adquirir información, por ejemplo, espionaje;
• Amenazas originadas en el ciberespacio que cubren ataques contra
formación dentro de los sistemas de TIC, por ejemplo, man-in-the-middle at-
tachuela (MITM)
• Amenazas resultantes de la confiabilidad de los sistemas de TI, por ejemplo, software.
errores (brechas);
• Acciones intencionales de los empleados de la institución, por ejemplo, información.
robo de acciones;
• Amenazas que ocurren debido a una organización inadecuada e interna.
procedimientos de una institución, por ejemplo, empleados no capacitados gen-
borrar una amenaza real; por ejemplo, debido a la vulnerabilidad hacia
ataques de ingeniería social;
• Amenazas que violan los derechos civiles, por ejemplo, la violación de datos personales,
entrega de información a entidades no autorizadas, identidad
robo.
Incidentes de seguridad de la información en el instituto de administración pública
las funciones están condicionadas a vulnerabilidades que pueden ocurrir en caso de que
de cualquiera de los elementos indicados (4) de una administración pública
stitution. Debe subrayarse que cada institución tiene su propio
características específicas, por ejemplo, hardware de TI utilizado, sistema de TI dedicado
tems, organización de un sistema informático, que se caracterizan por
vulnerabilidad específica con respecto a las amenazas de información. Por lo tanto, de
se puede aumentar el nivel de la cerca de una institución de administración pública
utilizando la gestión de seguridad de la información que debe ser disuadida
minado por obligaciones legales, naturaleza de las operaciones realizadas por un
institución y la necesidad de mejora continua.
3.3. La esencia de la gestión de la seguridad de la información en público.
administración
3/9
17/7/2020 Evaluación de la seguridad de la información en la administración pública.
las instituciones con circulación de documentos en papel están en riesgo
con respecto a otros tipos de amenazas que las instituciones con electrónica
circulación de documentos, mientras que en una unidad que utiliza simultane-
Ambas soluciones, ambas: información procesada electrónicamente
y la información procesada tradicionalmente puede estar en riesgo de seguridad
incidente.
Relacionando las consideraciones anteriores con la sección general de Clements
El modelo de curiosidad discutido en (3) y la definición de la sección de información
curiosidad propuesta en el artículo, amenazas de información por información
La seguridad en una institución de administración pública puede caracterizarse.
Para este propósito, se propone la siguiente situación sistémica para
Página 5
EK Szczepaniuk, H. Szczepaniuk y T. Rokicki et al. / Informática y seguridad 90 (2020) 101709
relaciones con la situación sistémica descrita en (7)- (11), en el cual
se dan los siguientes valores (Sienkiewicz, 2015):
- amenazas externas A ( t ) resultantes del entorno de un
sistema, que corresponde a la función de destructivo
potencial de amenaza,
- resistencia de un sistema a las amenazas externas B ( t ), que
corresponde a la función del potencial defensivo (aseguramiento).
Las características de una situación indicadas anteriormente son funciones aleatorias
iones con distribuciones de probabilidad conocidas:
F ( a, t ) = P { A ( t ) <a } ,
G ( b, t ) = P { B ( t ) <b } ,
t∈T
Un factor de seguridad generalizado de un sistema puede ser la probabilidad,
que las amenazas no excederán el nivel aceptable (crítico) a o ≥ 0,
mientras que la resistencia del sistema será por encima de la b o valor límite, es decir:
β ( t ) ≡ β ( a o, b o ) = P { A ( t ) ≤ a o , B ( t ) > b o }
lo que conduce a un factor de evaluación de seguridad del sistema, siempre que
La independencia estadística de los valores analizados se entrega:
β ( t ) = F ( a o , t ) [1 - G ( b o , t ) ]
Adoptando el nivel de seguridad del sistema requerido como β o > 0, puede ser
indicó que en el período T , el sistema es seguro si en un momento dado
Se cumple la siguiente condición:
β ( t ) ≥ β o , t o <t ≤ t o + T
El análisis de seguridad del sistema a menudo incluye el uso de procedimientos simplificados
que dan como resultado el cálculo de la probabilidad:
P = p ( P s <P o )
es decir, la probabilidad de ocurrencia de un evento en el cual el gen-
resistencia oral (potencial defensivo) P s es mayor que la general
amenaza P o (Sienkiewicz, 2015)
Teniendo en cuenta lo anterior, la cuestión del personal de seguridad de la información
la gestión puede conducir a la optimización de la distribución de servicios
medidas de curiosidad en relación con las rutas de penetración del sistema, en orden
para proporcionar protección al sistema. En otras palabras, un nivel de P s ,
que maximiza el nivel de seguridad β , se puede definir. Este gener-
odia la necesidad de elegir dicha estrategia de seguridad del conjunto de
variantes aceptables, para las cuales el valor anticipado de los efectos de un
amenaza toma el valor mínimo y los costos de implementación
de una estrategia no excederá el valor aceptado. Por lo tanto, imple-
La protección debe ir precedida de un límite de definición definido.
ues por resultados de amenazas y estimación del valor aceptado de las finanzas
activos patrimoniales que pueden gastarse en medidas de seguridad. Esto implica
una necesidad de adoptar una metodología específica de amenaza de información
gestión de riesgos y elección del método para calcular los costos.
En la práctica del análisis de amenazas de información, varios riesgos
se utilizan métodos de evaluación, por ejemplo, OCTAVE - Operational Criti-
Evaluación de amenazas, activos y vulnerabilidades (véase, por ejemplo, Alberts y
Dorofee, 2003 ), CRAMM - Análisis y gestión de riesgos CCTA
Método (véase, por ejemplo , Yazar, 2002), MEHARI - Método de análisis de riesgos
(véase, por ejemplo , Mihailescu, 2012), FMEA - Modo de falla y efecto anal-
sis (ver, por ejemplo, Schmittner et al., 2014), ISRAM - Seguridad de la información
Método de análisis de riesgos de la ciudad (véase, por ejemplo, Karaback y Sogukpinar, 2005)
Además, los métodos de gestión de riesgos dentro de las normas, estándares y
buenas prácticas, por ejemplo, la norma ISO / IEC 27001 y las normas relacionadas
(ver por ejemplo ISO / IEC 27001 ; ISO 27005), Metodología COBIT (véase, por ejemplo,
ISACA, 2013), NIST 800–37 (véase, por ejemplo , NIST, 2018), se han desarrollado
abierto
Como se mencionó anteriormente, la gestión de seguridad de la información
requiere un aumento en los costos específicos, que en caso de complejos
Las soluciones pueden constituir una parte importante del presupuesto de un determinado
Página 6
66 EK Szczepaniuk, H. Szczepaniuk y T. Rokicki et al. / Informática y seguridad 90 (2020) 101709
https://translate.googleusercontent.com/translate_f
La gestión de la seguridad de la información en la administración pública es un
parte integral de la gestión del sistema y está relacionada con la racionalización
La elección de las medidas que permiten el funcionamiento del sistema.
tem según su finalidad en un entorno peligroso. Informa-
La administración de seguridad de la nación se somete a los mismos principios que cualquier otra.
otro campo de gestión: tiene su objetivo, planes, políticas, soluciones
acciones relacionadas con la implementación, el control y los instrumentos de auditoría,
gestión contable y programas relacionados con el mantenimiento de la corriente
Resultados de alquiler y mejora continua y aumento de calidad.
Teniendo en cuenta las consideraciones incluidas en (4)- (6), el
La esencia de la gestión de la seguridad de la información puede explicarse en
55
institución. En la literatura fuente y en soluciones prácticas, vari
son métodos apropiados para calcular los costos en seguridad de la información
aplicado, por ejemplo, método ROI - Retorno de la inversión, método ROT -
Teoría de opciones reales, método de mensajería unificada - Maximización de utilidad
Schatz y Bashroush, 2017), Método ABC - Costo basado en actividades-
ing, método TDABC - Costeo basado en actividades basadas en el tiempo (véase, por ejemplo,
Leszczyna, 2017), Método ALE - Expectativa de pérdida anual (véase, por ejemplo,
Sklavos y Souras, 2006 ; Tsiakis y Stephanides, 2005)
En resumen, la cuestión de la gestión de la seguridad de la información en
La administración pública puede expresarse como (Sienkiewicz, 2013):
- minimizar la función de riesgo, siempre que el valor de los efectos
(usabilidad) lograda debido a la operación de un sistema no será
por debajo del valor límite (exigido), o
(7)
- maximización de la función de eficiencia del sistema, siempre que
la función de riesgo no excederá el valor aceptado.
Este marco debe ser sostenido con respecto a
valores límite aceptados de los efectos de las amenazas y costos aceptados
(8) icated para asegurar un sistema.
3.4. Implementación del sistema de gestión de seguridad de la información.
(9)
Realización del marco teórico relacionado con la provisión de
la seguridad de la formación en la administración pública se relaciona con la necesidad
implementar el Sistema de Gestión de Seguridad de la Información (SGSI). En
En el proceso de implementación del SGSI, se aplican varios estándares
como ISO / IEC 27001, BS 7799, ITIL y COBIT (ver p. ej.
(10)
Susanto et al., 2011) En el artículo, la base teórica de la implementación
La implementación del SGSI se basa en la norma ISO / IEC 27001, que
Es la solución recomendada en Polonia.
De acuerdo con la norma ISO / IEC 27001, un seguro de información
(11)
rity Management System es una parte de un sistema de gestión integral
tem, basado en el enfoque resultante de un riesgo comercial, que
se refiere al establecimiento, implementación, utilización, monitoreo, sustento
obteniendo y mejorando la seguridad de la información. ISMS incluye orga-
estructura nacional, políticas, acciones de planificación, pasivos, prácticas,
procedimientos, procesos y recursos "(Liderman, 2006)
El objetivo de un SGSI operativo es eliminar o minimizar el
riesgo de que ocurran amenazas de información utilizando un conjunto de planificación, o-
Actividades organizativas, técnicas y de control. ISMS es un elemento
del sistema de gestión de la organización, que se caracteriza por or-
estructura organizacional, política de seguridad, procesos realizados y recuperación
fuentes. Dentro del proceso de desarrollo del SGSI, lo siguiente
etapas, presentadas en la Fig. 1. puede ser distinguido.
La esencia del SGSI incluye aspectos organizativos y técnicos.
mecanismos en el aspecto de proporcionar seguridad de la información, que
debe ser adecuado al riesgo de interferencia de datos. Análisis y riesgo.
La evaluación de la seguridad de la información constituye la base de
Plementación de SGSI en una organización. La obligación de hombre-
envejecer el riesgo para la protección de datos personales y para proteger
vide ciberseguridad se establece también en los documentos de la Unión Europea
- Reglamento GDPR (DO UE L 119/1 de 4.5.2016) y la Directiva NIS
(DO UE L 191/1, 19.7.2016) Implementación de ISMS de acuerdo a
ISO / IEC 27001 y basado en soluciones indicadas por el europeo
Unión y a nivel nacional, puede ser una solución complementaria que
incluye un amplio espectro de información legalmente protegida.
La gestión de riesgos en seguridad de la información requiere un inventario
y evaluación de recursos que pueden estar en riesgo. Los recursos
son de valor específico para una institución; por lo tanto, la aparición de
un incidente de seguridad genera consecuencias específicas para una organización
sation. Fundamental para el análisis de riesgos es la identificación de amenazas.
que se definen como „cualquier fenómeno (proceso, evento), no deseado
desde el punto de vista de un funcionamiento ininterrumpido de un sistema "
(Sienkiewicz, 2013) La aparición de una amenaza es facilitada por un
llamada vulnerabilidad, que es una debilidad o una brecha en la seguridad
4/9
17/7/2020 Evaluación de la seguridad de la información en la administración pública.

Fig. 1. El marco del SGSI.

Fuente: Basado en ENISA, 200 6

Fig. 2. Diagrama de interrelaciones en la gestión de riesgos.

Fuente: Basado en Tupa y Steiner, 2006. .

sistema de un objeto dado. La relación entre una amenaza y la vulnerabilidad.
habilidad, expresada con la probabilidad de ocurrencia de una amenaza y
La cantidad de pérdidas generadas por esta amenaza se conoce como
riesgo. El análisis de riesgos indica requisitos en el aspecto de seguridad,
que se implementan en forma de medidas de protección que
minimizar el riesgo Las interrelaciones caracterizadas en el hombre de riesgo
el envejecimiento se presenta en la Fig. 2.
El elemento clave en el proceso de implementación del SGSI en
Una institución pública está implementando medidas de protección adecuadas.
En el anexo A a la norma ISO / IEC 27001, lo siguiente
La lista agrupada de medidas de protección se incluye entre otras:
política de seguridad de la formación, organización de la seguridad de la información, hu-
seguridad de recursos humanos, gestión de activos, control de acceso, criptomonedas
Tografía, seguridad física y ambiental, seguridad operativa,
seguridad de comunicación, obtención, desarrollo y mantenimiento
de un sistema, gestión de incidentes de incidentes de seguridad de la información,
gestionar la continuidad de la gestión y el cumplimiento ( Brewer y
Nash, 2010 ). Estos grupos se detallan con los tipos recomendados.
de medidas de seguridad y recomendaciones sobre implementación
tation.

Página 7
EK Szczepaniuk, H. Szczepaniuk y T. Rokicki et al. / Informática y seguridad 90 (2020) 101709 77

Entorno de seguridad y condiciones internas de una organización. Tabla 2

Número de elementos del SGSI en las instituciones investigadas (años: 2016 - 2019).
son variantes de tiempo; por lo tanto, es necesario monitorear y mejorar
elementos del SGSI. Dentro de las normas ISO / IEC con respecto al SGSI, dentro de Elementos investigados 2016 2017 2018 2019

toda la estructura de los procesos, el ciclo de Deming (PDCA

Estructura organizativa, procedimientos, documentos internos.
modelo), desarrollado en la década de 1950, se aplicó. Este modelo ilustra Organización estructural del SGSI 9 14 31 42
un proceso de mejora continua de una institución y está compuesto SGSI certificado 00 00 77 11
Inventario de hardware y software. 50 50 50 50
apreciado de las siguientes etapas: planificar, ejecutar, verificar, actuar. Respecto a
Política de seguridad de la información 18 años 21 43 50
ISMS en las instituciones de administración pública, el modelo PDCA es un cy-
Gestión de riesgos 55 55 23 38
cle de acciones consecutivas con el objetivo de cumplir el objetivo principal, que es Gestión de incidentes de seguridad de la información. 1 3 28 33
lograr la seguridad de la información dentro de una institución. Manejo de vulnerabilidades 00 2 11 29
Gestionar la continuidad de las operaciones. 00 1 13 29
Resumen de seguridad de la información 55 8 18 años 37
3.5. Resultados de la investigacion Auditoría de seguridad de la información. 3 77 18 años 37
Controles externos 00 1 3 9

El análisis teórico realizado en el artículo sugiere la con- Medidas de seguridad física y técnica.
Control de acceso físico 17 27 39 45
conclusión de que la gestión eficiente de la seguridad de la información debería incluir
Control de acceso a sistemas informáticos 3 9 29 42
Incluya la gestión compleja de la seguridad de la información
Monitoreo del uso de sistemas de TI 00 2 11 27
fuentes, infraestructura dedicada para su procesamiento, conocimiento y Copias de seguridad 1 55 18 años 32
competencia de los trabajadores y medidas de seguridad en el conjunto Protección antivirus 66 11 29 41

institución de administración pública. Medidas de seguridad criptográfica. 00 2 9 23

Con el propósito de realizar investigación empírica y presentar Factor humano

Mejorando las habilidades dentro de la seguridad de la información 00 1 3 3
En los resultados de la investigación, se supone que el proceso de gestión en
Entrenamientos de seguridad de la información. 2 2 12 17
la institución de la administración pública depende de lo siguiente
Entrenamientos de protección de datos personales 25 25 42 50
factores: Definiendo rango y responsabilidades 77 12 31 42
Seguridad de los recursos humanos. 2 77 27 38
- legal - definido por las regulaciones del derecho consuetudinario, que
Fuente: trabajo propio.
capaz de la creación de condiciones y reglas de funcionamiento de un
unidad de administración pública;
- procesal y organizacional - cubriendo un rango de respuesta- política de seguridad, uso limitado de la gestión de riesgos, falta de vulnerabilidad

https://translate.googleusercontent.com/translate_f 5/9
17/7/2020
La posibilidad y las normas internas de una administración pública.
unidad;
- Físico y técnico: abarca los pro- pios físicos y técnicos.
medidas de protección implementadas en la institución del público
administración;
- social (factor humano) - relacionado con la competencia de em-
empleados de una unidad;
- otros recursos de una organización (por ejemplo, capital), que influyen
influir en la eficiencia de la gestión de la seguridad de la información
sistema.
El modelo de proceso de investigación adoptado en el artículo es característico
expresado por el rechazo del postulado sobre el dominio de cualquier
de los factores organizacionales en el concepto sistémico de una o-
organización La actualización de la organización es equivalente a la demandada
conformación de todos los factores analizados (véase, por ejemplo , Sienkiewicz, 1989) Debido
a este hecho, la investigación empírica ha incluido legal, procesal,
elementos organizativos, físicos, técnicos, sociales y de otro tipo y
recursos de una organización.
La investigación empírica se realizó mediante encuestas con encuestas.
cuestionarios 50 unidades de la administración pública participaron en la re
buscar. Para determinar la influencia de la Unión Europea
soluciones (es decir, Reglamento GDPR y Directiva NIS) sobre información
gestión de seguridad en la administración pública en Polonia, el
La investigación se realizó en los años 2016-2019. La Tabla 2 presenta
datos sobre el número de elementos elegidos de un hombre de seguridad
Sistema de gestión en las entidades investigadas en los años 2016 -
2019.
Resultados de la investigación en el campo de la estructura organizacional,
procedimientos y documentos internos en los años 2016 - 2017 tienen
mostró una pequeña participación de las unidades de administración pública en el
implementación de elementos del SGSI. En el año 2016 - 18% de re
entidades buscadas han aplicado estructura organizativa y en el
año 2017 - 28%. Ninguna de las entidades había implementado un certificado
SGSI que cumple con ISO / IEC 27001. En los años 2016–2017, la mayoría
las entidades no han desarrollado documentación o procedimientos, o ellos
estaban incompletos o anticuados. entre las irregularidades identificadas,
entre otros, se incluyeron los siguientes: falta de información
Página 8
8 EK Szczepaniuk, H. Szczepaniuk y T. Rokicki et al. / Informática y seguridad 90 (2020) 101709
Tabla 3
Investigación sobre la influencia de las soluciones de la Unión Europea en el SGSI en la administración pública.
Variable A
Valor empírico
Variable B: años 2016-2019
Estructura organizacional, procedimientos, 504,9
documentos internos
Seguridad fisica y tecnica 368,3
medidas
Factor humano 235,68
Fuente: trabajo propio.
fueron las copias de seguridad que en los años 2016-2017 en la mayoría de
las entidades investigadas no fueron desarrolladas o fueron desarrolladas y
almacenado incorrectamente Los resultados de la investigación, entre otros, indicaron: falta
de un número suficiente de aplicaciones que realizan copias de seguridad y
Poco conocimiento sobre la necesidad de crearlos. En los años
2018-2019, el número de entidades en las que se realizaron copias de seguridad
creado regularmente ha aumentado. Los mecanismos criptográficos fueron
La solución más raramente utilizada en el aspecto del campo investigado
de seguridad Porcentaje de entidades que aplican protección criptográfica.
con la siguiente forma: 0% (año 2016), 4% (año 2017), 18% (año 2018),
46% (año 2019).
Los resultados de la investigación en el campo de la sociedad han revelado que en el
años 2016 - 2019, en la mayoría de las entidades investigadas, empleados
no estaban aumentando sus habilidades, por ejemplo, a través de cursos externos, capacitación
ing o estudios de posgrado. Según los directores de estos enti-
Lazos, fondos insuficientes fueron la razón de esta situación. En el
años 2016 - 2019, solo en dos entidades, capacitación en información
seguridad, incluidas amenazas, resultados y consecuencias y protección
se proporcionaron medidas de provisión. En los próximos años,
se produjo un aumento en el número de piezas de entrenamiento realizadas:
12 en 2018 y 17 en 2019. Significativamente más a menudo, datos personales
se proporcionaron capacitaciones de protección, que en los años 2016–2017
se realizaron en la mitad de las entidades investigadas. Después de aplicar
El Reglamento GDPR en Polonia, que regula la provisión de datos personales
Además, los entrenamientos se realizaron en la mayoría de las entidades, es decir, el 84% (el
año 2018) y 100% (el año 2019). En los años 2016–2017, defin-
El alcance y la responsabilidad para el propósito del SGSI ocurrieron en un
de manera limitada. En los años siguientes, la mayoría de las entidades han establecido
amplia gama y competencia en el aspecto de la seguridad de la información
administración. En los años 2016–2017, en la mayoría de las entidades, no hay seguridad
de recursos humanos fue entregado. Estas irregularidades fueron re
relacionado con la concesión excesiva de permisos en los sistemas de TI, es decir, autor
Más allá del rango de deberes. Además, un problema de no negar
Se identificó la negación de autoridad en los sistemas de TI o demasiado tarde.
entre las razones de las irregularidades ocurridas, un número demasiado pequeño
Se indicaron varios empleados de TI empleados o sobrecarga de trabajo.
En los años 2018-2019, irregularidades relacionadas con la seguridad humana
https://translate.googleusercontent.com/translate_f
Evaluación de la seguridad de la información en la administración pública.
Gestión de incidentes de seguridad de la información e información. En los años
2018-2019, después de implementar en el marco legal polaco, el
El Reglamento Europeo GDPR y la directiva NIS, una importante
pliegue en el número de entidades con estructura organizacional aplicada
Se ha producido la documentación y el SGSI. En el año 2018, 31
(62%) de las entidades investigadas han implementado organizaciones ISMS
estructura nacional, que indica un aumento del 34% con respecto al
año anterior En el año 2019, el 84% de las entidades han establecido o-
estructura organizacional. Los resultados de la investigación indican que también el número
El número de entidades con SGSI certificado ha aumentado: 7 en el año
2018 y 11 en el año 2019. En los años 2018-2019, un importante
no puede aumentar el aspecto del desarrollo de la documentación del SGSI y
soluciones procesales. El porcentaje de entidades que en el año
2019 han desarrollado documentación y procedimientos del SGSI en forma
como sigue: política de seguridad de la información (100%), gestión de riesgos
(76%), resumen de la seguridad de la información (74%), seguridad de la información
auditoría (74%), gestión de incidentes de seguridad de la información (66%), vulner-
gestión de capacidades (58%), gestión de continuidad de operaciones
(58%) y controles externos (18%). En los años 2016-2019 todos
las entidades investigadas se estaban dando cuenta del inventario de hardware y
software.
Otro campo indicado en la Tabla 2. incluye físico elegido y
medidas técnicas de seguridad. En los años 2016-2019, lo físico
los mecanismos de control de acceso fueron el tipo de aplicación más frecuente
medida de seguridad en las entidades investigadas. entre seguridad usada
medidas, entre otras, se aplicaron las siguientes: monitoreo,
Código PIN y tarjetas magnéticas. En los años 2016 - 2017, la mayoría de los
las entidades no habían aplicado el mecanismo de control de acceso a TI
sistemas. Debido a esto, no hay medidas que puedan prevenir
se aplicó el aumento del acceso a la información, por ejemplo, no se requiere
autenticación de contraseña, protección inadecuada del acceso a una red inalámbrica
red. En los años siguientes, un aumento significativo en la aplicación
para la protección contra el acceso no autorizado a los sistemas de TI ha ocurrido
curred En el año 2016, ninguna de las entidades investigadas tiene
El uso de los sistemas de TI. En el año siguiente, este mecanismo
se aplicó solo en dos entidades. En los años siguientes, un importante
Se ha producido un aumento considerable en el uso de la supervisión de los sistemas de TI - 11
entidades en 2018 y 27 entidades en 2019. Otro campo investigado
Prueba de Chi-2 C coeficiente de contingencia de Pearson
Valor crítico Verificación de hipótesis Valor empírico Fuerza de relación
7,81 positivo 0,69 fuerte
positivo 0,74 fuerte
positivo 0,7 fuerte
los recursos se anularon significativamente en la mayoría de los estudios investigados
tidades
El análisis de los resultados permite sospechar que existe una relación
relación entre la gestión de la seguridad de la información en la administración pública
Tration e implementación de soluciones de la Unión Europea - GDPR
Reglamento y Directiva NIS, en el año 2018 en Polonia legal o-
der. Esta hipótesis ha sido verificada usando una prueba de relación Chi-2
y el coeficiente de contingencia de C Pearson (Tabla 3)
Análisis estadístico de las relaciones entre elementos: variable A
(estructura organizativa, procedimientos, documentos internos, fisiología
medidas de seguridad técnicas y técnicas, factor humano) y variable B
(año de investigación), proporciona confirmación de la hipótesis formulada
esis. Existe una relación entre la implementación de elementos.
del SGSI en la administración pública y los años de investigación. Ya que
el año 2018, las entidades de la administración pública en Polonia están obligadas
para cumplir con las regulaciones contenidas en el Reglamento GDPR y
Directiva NIS, que implica cambios positivos en el proceso de
gestión de seguridad de la información en la administración pública.
En el año 2019, los empleados de la administración pública también fueron
investigado en el aspecto del conocimiento sobre amenazas, efectos de seguridad
incidentes urbanos, medidas de seguridad, reglamentos de derecho consuetudinario y
Documentación del SGSI. El cuestionario de la encuesta fue completado por
10 personas de cada entidad investigada (500 encuestados sobre-
todas). A los fines del análisis de los resultados de la investigación, una hipótesis
sis sobre la existencia de relaciones entre conocimiento y conciencia
ness de encuestados y educación (TI, no IT) y capacitación realizada
ing, fue adoptado. Entre los encuestados, 74 personas tenían un
grado universitario en TI, mientras que 170 personas fueron asignadas para capacitación.
La Tabla 4 muestra el conocimiento de los encuestados dentro de los campos definidos
por la variable A, dividida de acuerdo con la educación obtenida y
formación formada (variable B). Las relaciones entre variables fueron re
buscado utilizando la prueba de Chi-2 y el coeficiente de contingencia de C Pearson
(Tabla 5)
Análisis estadístico de las relaciones entre las variables investigadas.
ha demostrado que existe una fuerte relación entre la educación obtenida
catión y conocimiento sobre amenazas y medidas de seguridad. Investigación
los resultados indicaron que existe una relación entre educación y
6/9
17/7/2020 Evaluación de la seguridad de la información en la administración pública.
Tabla 4
Conocimiento de los encuestados en las entidades investigadas.

Variable A Variable B: educación Variable B: entrenamiento

ESO otro dio cuenta No realizado

Tiene conocimiento No tiene Tiene conocimiento No tiene Tiene conocimiento No tiene Tiene conocimiento No tiene
conocimiento conocimiento conocimiento conocimiento

Amenazas 74 00 62 364 129 129 41 77 323

Efectos 70 44 76 350 132 38 14 316
Seguridad 73 1 51 375 117 53 77 323
medidas
Regulaciones legales 32 42 210 216 145 25 97 233
ISMS 61 13 211 215 160 10 112 218
documentación

Fuente: trabajo propio.

Página 9
EK Szczepaniuk, H. Szczepaniuk y T. Rokicki et al. / Informática y seguridad 90 (2020) 101709 9

Tabla 5
Investigación sobre la influencia de la educación y la formación sobre el conocimiento de los encuestados.

Variable Prueba de Chi-2 C coeficiente de contingencia de Pearson

UNA
Valor empírico Valor crítico Verificación de hipótesis Valor empírico Fuerza de relación
Variable B: educación

Amenazas 288,1 3,84 positivo 0,61 fuerte

Efectos 235,1 positivo 0,57 moderar
Medidas de seguridad 316,5 positivo 0,62 fuerte
Regulaciones legales 1,4 negativo - -
Documentación del SGSI 31,2 positivo 0,24 débiles

Variable A Variable B: entrenamiento

Amenazas 348,1 3,84 positivo 0,64 fuerte
Efectos 328,4 positivo 0,62 fuerte
Medidas de seguridad 326,7 positivo 0,63 fuerte
Regulaciones legales 140,8 positivo 0,47 moderar
Documentación del SGSI 166,4 positivo 0,5 moderar

Fuente: trabajo propio.

conocimiento, es decir, moderado en el aspecto de los efectos y débil en el - El SGSI incluye planificación, procedimientos, organización, fisioterapia.
campo de documentación del SGSI. No hay relación entre la educación superior de TI Soluciones cal, técnicas y sociales, que incluyen información
Se indicó la información y el conocimiento de las normas de derecho consuetudinario. gestión de riesgos de amenazas y responsabilidades definidas en el registro
En resumen, los resultados de la investigación han mostrado irregularidades en formulaciones de derecho.
plementación de ISMS en la administración pública en Polonia, en el - El SGSI incluye planificación, procedimiento, organización, físico,
años 2016–2017. Implementación de soluciones de la Unión Europea en soluciones técnicas y sociales que deberían ser adecuadas para
Polonia, en el aspecto de protección de datos personales y ciberseguridad El riesgo de interferencia en los datos y las responsabilidades definidas
ridad, han implicado cambios positivos en el aspecto de la organización en regulaciones de ley. La implementación del SGSI requiere es-
SGSI en entidades de administración pública. Una necesidad de ampliar el conocimiento establecer, implementar, utilizar, monitorear y mejorar
borde y para sensibilizar a los empleados de las oficinas públicas, en ing todos los elementos del sistema.
Se indicó el aspecto de la gestión de la seguridad de la información. - Investigación empírica en el aspecto de la implementación de
ISMS ha demostrado que, en la práctica de operación de
4. Conclusiones y recomendaciones. entidades administrativas, enfoques para la protección de la información
mation son varios. En los años 2016–2017, en la mayoría de los casos
Tendencias de crecimiento de las amenazas de información y cambios en el archivo vínculos, no se implementaron elementos básicos del SGSI, ni se proporcionaron
el sistema gal impone a las entidades de la administración pública una obligación Los intentos nacionales de implementar un sistema de seguridad fueron subestimados.
para introducir, implementar y mejorar el Hombre de Seguridad de la Información tomado, por ejemplo, acciones de departamentos individuales que no fueron
Sistema de gestión. Con respecto al objeto y el objetivo de la re coordinado dentro de toda la institución. Campos problemáticos
búsqueda, se formularon las siguientes conclusiones: e identificaron irregularidades, que incluyen entre

- Proporcionar seguridad de la información requiere un enfoque sistémico otros: falta de organización de un SGSI, incompleto u obsoleto

y debería ser uno de los elementos de las operaciones de pub- Documentación del SGSI, falta de evaluación de riesgos regular, falta

entidades de administración lic. Seguridad de la información en publicidad pública de vistas generales, auditorías o controles, uso limitado de

la ministración debe percibirse en el contexto de la realización medidas técnicas de seguridad, sin formación o formación profesional.

misiones de las instituciones y entrega de calidad suficiente velocidad Soluciones de la Unión Europea, es decir, el Reglamento GDPR

de servicios prestados, proporcionando simultáneamente atributos de y la Directiva NIS, han influido en un aumento en el nivel de

seguridad de información. seguridad de la información en la administración pública en Polonia y

- Una institución de administración pública es una organización redujo significativamente la aparición de irregularidades identificadas

estructura separada del sistema de administración pública, corbatas.

que realiza tareas públicas. Ocurrencia de una información - Investigación empírica en el aspecto del conocimiento y la conciencia.

incidente de seguridad puede disminuir el nivel de servicio entregado Los empleados de las oficinas públicas han indicado una falta de

vicios, o puede causar falta de disponibilidad de servicios. Situa- conocimiento común sobre gestión de seguridad de la información.

Nociones de amenazas relacionadas con la seguridad de la información en anuncios públicos Además, una relación entre el nivel de conocimiento de la

las instituciones de ministración pueden considerar sus diversos elementos los encuestados y la educación de TI y la capacitación realizada, fue

y recursos. Las unidades individuales tienen su característica característica dicado Se propone aumentar el número de empleados

tures, por ejemplo, hardware de TI utilizado, sistemas de TI dedicados, organizaciones Especialistas en TI y especialistas en seguridad de la información y

sation de un sistema de TI, que se caracterizan con Conducir capacitación obligatoria que cubra a todos los empleados en público

vulnerabilidad con respecto a las amenazas de información. Nivel de defensa de administración. La capacitación debe proporcionar la entrega de conocimientos

las instituciones de administración pública deberían aumentar su utilidad borde, control de conocimiento e identificación de empleados

ing gestión de seguridad de la información. requiere entrenamiento adicional.

- La eficiencia de la gestión de la seguridad de la información en pub-

la administración lic está determinada por su resistencia hacia el
ocurrencia de situaciones peligrosas (seguridad de la información
Cidentes). La cuestión de la gestión de la seguridad de la información puede
desglosarse para la optimización de la distribución de se-
medidas de actualidad en relación con las amenazas probables, con el fin de
Proporcionar seguridad a una entidad. Esta determinación debe ser
realizado considerando los valores límite aceptados para los efectos
de amenazas y los costos aceptados dedicados a la seguridad.
Se pueden utilizar los resultados de la investigación teórica y empírica.
pleno en la implementación del SGSI en el instituto de administración pública
y en la continuación de la investigación sobre las secciones de información
Curity. Los autores recomiendan las deliberaciones teóricas
contenido en el artículo a tener en cuenta al diseñar y
implementando ISMS. Efectividad de los mecanismos de protección.
contra la seguridad de la información en las unidades públicas depende una aplicación sistémica
enfoque que incluye la gestión de todos los elementos de una administración pública

Página 10
10 EK Szczepaniuk, H. Szczepaniuk y T. Rokicki et al. / Informática y seguridad 90 (2020) 101709

https://translate.googleusercontent.com/translate_f 7/9
17/7/2020
institución de tration. La realización de las disposiciones anteriores debe ser
realizado considerando la naturaleza específica y las misiones del individuo
Instituciones públicas. Identificación de amenazas y riesgos de información.
La gestión constituye elementos importantes del SGSI. Estos pro-
los procesos facilitan la mejora del sistema y generan una posibilidad
capacidad para eliminar vulnerabilidades y selección de seguridad adecuada
medidas. Esto permite alcanzar el potencial defensivo adecuado de un
sistema, adecuado con respecto al potencial destructivo de una amenaza, que
se caracterizan por (4)- (11). Sin embargo, debe subrayarse que
las unidades de administración pública operan dentro de un entorno de seguridad volátil
ronment, por lo tanto, el nivel de seguridad no se considera un estado permanente
y requiere monitoreo y mejora constantes.
Los resultados de la investigación empírica presentada en las Tablas 2–5 han demostrado:
que existe una relación estadística entre la seguridad de la información
gestión en instituciones públicas e implementación en Pol-
ish legal order, en 2018, soluciones de la Unión Europea, es decir, el GDPR
Reglamento y la Directiva NIS. Los autores recomiendan el indi-
Resultados esperados de la investigación empírica para ser utilizados en el trabajo del sistema
analistas y planificadores en el proceso de diseño e implementación
ción de SGSI en instituciones de administración pública. Se aconseja que
los elementos del SGSI presentados en la Tabla 2 se consideraron obligatorios
Elementos históricos de una estructura organizativa y soluciones procesales.
relaciones de las instituciones de administración pública. Estos elementos consisten
Tute un intento de estandarizar las soluciones utilizadas en la administración pública.
instituciones y representan posibilidades generadas por
Gestión sistémica de la seguridad de la información. Datos empíricos
Señalar aspectos prácticos del diseño y mantenimiento del SGSI, que
debe desarrollarse más en forma de análisis de procedimientos detallados
dures y modelos sobre, entre otros:
- métodos para evaluar la vulnerabilidad a las amenazas de las instituciones,
- métodos para realizar la gestión de riesgos de la información
amenazas,
- métodos de formación de empleados de la administración pública en
instituciones,
- métodos de selección de medidas de seguridad,
- métodos de auditoría del SGSI,
- métodos para integrar una gestión de calidad de servicios públicos
sistema de ment con un sistema de gestión de seguridad de la información
tem,
- programas que incluyen consejos prácticos para la administración pública
unidades para fines de implementación del SGSI
- direcciones de cooperación, intercambio de experiencias y buenos
prácticas entre instituciones.
Para realizar las disposiciones anteriores, es razonable
aumentar los desembolsos financieros para la implementación del SGSI en publicidad pública
unidades de ministerio. Además, hay un déficit de información de seguridad.
especialista en monedas en el mercado. La tarea básica de la educación superior
instalaciones es el desarrollo de programas y especializaciones ori
para educar a los futuros expertos en seguridad de la información. los
los autores recomiendan que los elementos contenidos en la Tabla 2 sean revisados
flexionó en los planes de aprendizaje dentro de los programas que educan a futuros empleados
ees de la administración pública.
La cuestión de la gestión de la seguridad de la información en la administración pública
Las instituciones de istración requieren más investigación. Esta necesidad es justi-
Fied por el hecho de que la seguridad no se considera un estado permanente.
Además, tanto en Polonia como en todo el mundo, hay problemas
campos lemáticos en el diseño e implementación de SGSI. Análisis de
entorno de seguridad global de las instituciones de administración pública
permite asumir que las amenazas evolucionarán y serán más avanzadas
Se desarrollarán métodos para realizar ciberataques. Administraciones publicas
Tration también participará en un mayor desarrollo de la tecnología digital.
isation, que probablemente generará otra transformación de lo local
gobiernos Se puede suponer que esto conducirá a cambios en
múltiples niveles, entre otros: legal, organizacional, tecnológico.
Estas cuestiones abarcan un amplio espectro de naturaleza interdisciplinaria.
Página 11
EK Szczepaniuk, H. Szczepaniuk y T. Rokicki et al. / Informática y seguridad 90 (2020) 101709
Mo ZD ZE n-Marcinkowski, M . , 2012. Introducción al derecho administrativo polaco. CH
Arroyo. Polonia, Varsovia.
NIK, 2016. Zapewnienie Bezpiecze nstwa Działania Systemów Informatycznych
Wykorzystywanych Do Realizacji Zada n publicznych. Informacja o wynikach
Kontroli NIK Polonia, Varsovia https://www.nik.gov.pl/kontrole/P/15/042/KPB/ .
NIST. (2018) Marco de gestión de riesgos para sistemas y organizaciones de información.
iones Accedido el 14 de abril de 2019. doi: 10.6028 / NIST.SP.800-37r2 .
DO L 119/1 de 4.5.2016. (2016) Reglamento (UE) 2016/679 del Parlamento Europeo
ment y del consejo de 27 de abril de 2016 sobre la protección de las personas físicas
con respecto al procesamiento de los datos personales y a la libre circulación
de dichos datos, y derogando la directiva 95/46 / CE (Reglamento general de protección de datos
ción).
DO UE L 191/1 de 19.7.2016. (2016) Directiva (UE) 2016/1148 del Parlamento Europeo-
ment y del consejo de 6. julio de 2016 sobre medidas para un alto común
nivel de seguridad de redes y sistemas de información en todo el sindicato.
Schatz, D., Bashroush, R., 2017. Valoración económica para la inversión en seguridad de la información.
ment: una revisión sistemática de la literatura. Inf. Syst. Frente. Vol. 19 (número 5), 1205–
1228. https://link.springer.com/article/10.1007%2Fs10796- 016- 9648- 8 . Accedido
17 de abril de 2019 .
Schmittner, Ch., Gruber, T., Puschner, PP y Schoitsch, E. (2014). Aplicación de seguridad
del modo de falla y análisis de efectos (FMEA) en seguridad informática, confiabilidad,
y seguridad: 33ª conferencia internacional. pp. 310-325. Florencia Italia.
https://www.researchgate.net/publication/290751391 _ Seguridad _ Aplicación _ de _
Falla _ Modo _ y _ Efecto _ Análisis _ FMEA. Accedido el 11 de abril de 2019.
Sienkiewicz, P . , 1989. Systemy Kierowania. Wiedza Powszechna. Polonia, Varsovia.
Sienkiewicz, P. , 1995. Analiza Systemowa. Bellona Polonia, Varsovia.
Sienkiewicz, P. , 2010. Análisis de sistemas de gestión de seguridad. Scientif. J. Maritime
Univ. Szczecin 24 (96), 93–99 2010.
Sienkiewicz, P . , 2013. 25 Wykładów. AON Polonia, Varsovia.
Sienkiewicz, P . , 2015. Podstawy en ˙zynierii systemów bezpiecze nstwa. En:
Sienkiewicz, P. (Ed.), In ˙zynieria Systemów Bezpiecze nstwa. PWE. Polonia,
Varsovia, págs. 4–18.
https://translate.googleusercontent.com/translate_f
Evaluación de la seguridad de la información en la administración pública.
problemas; por lo tanto, los autores recomiendan realizar investigaciones
apoyado por la cooperación de instalaciones científicas polacas y extranjeras,
instalaciones y empresas de educación superior. Debido a lo anterior, en
Investigaciones adicionales, se recomienda discutir la necesidad de
constante colaboración internacional dentro del alcance de la seguridad de la información
gestión de la ciudad en instituciones de administración pública.
Declaración de intereses en competencia
Los autores declaran que no tienen ninguna competencia financiera conocida.
intereses personales o relaciones personales que podrían haber parecido
influir en el trabajo reportado en este documento.
Referencias
Alberts, Ch. , Dorofee, A., 2003. Gestión de riesgos de seguridad de la información. El OCTAVO
Enfoque .. Addison-Wesley. Estados Unidos, Boston.
ALH Assan, MM, Adjei-Quaye, A., 2017. La seguridad de información en una organización. En t. J.
Comput Volumen 24 (núm. 1), 100-116. https://www.researchgate.net/publication/
314086143 _ Información _ Seguridad _ en _ una _ Organización . Accedido el 11 de abril de 2019.
Barczak, A. , Sydoruk, T., 2003. Bezpiecze nstwo systemów informatycznych
zarz ˛adzania. Varsovia: Bellona. Polonia
Brewer , D., Nash, M. (2010). Información sobre el iso / iec 27001 anexo a, http: // www.
gammassl.co.uk/research/27001annexAinsights.pdf . Accedido el 27 de marzo de 2019.
Brooks, DJ, 2009. Qué es la seguridad: definición a través de la categorización del conocimiento.
Secur. J. 23 (3), 225–239. doi : 10.1057 / sj.2008.18 .
Chikere, CC, Nwoka, J., 2015. La teoría de sistemas de gestión en la actualidad
organizaciones - Un estudio de aldgate congress resort limited port harcourt. En t.
J. Scientif. Res. Publ. Vol. 5 (número 9), 1-7. https://pdfs.semanticscholar.org/d1e4/
03a4a017d00b081122c2a0abd1d7317f14fe.pdf . Accedido el 20 de octubre de 2019 .
Degaut , M., 2015. ¿Qué es la seguridad? Revista Brasileira de Inteligência 9–28. https:
//www.researchgate.net/publication/310495076 _ Qué _ es _ Seguridad . Accedido 09
Abril 2019 .
Dz.U. [Revista de leyes] de 2012, artículo 526. (2012) Rozporz ˛adzenie rady ministrów
z dnia 12 kwietnia 2012 r. w sprawie krajowych ram interoperacyjno sci, min-
imalnych wymaga n dla rejestrów publicznych i wymiany informacji w postaci
elektronicznej oraz minimalnych wymaga n dla systemów teleinformatycznych.
Polonia.
Dz.U. [Journal of Laws] de 2018, ítem 10 0 0. (2018) Ustawa z dnia 10 maja 2018 r. o
Ochronie Danych Osobowych. Polonia.
Dz.U. [Journal of Laws] de 2018, ítem 1560. (2018) Ustawa z dnia 5 lipca 2018 r. o
krajowym systemie cyberbezpiecze nstwa. Polonia.
e- Encuesta del gobierno (2018). Departamento de asuntos económicos y sociales. Unido
Naciones Nueva York 2018. https://publicadministration.un.org/egovkb/Portals/
egovkb / Documents / un / 2018- Survey / E- Government% 20Survey% 202018 _ FINAL%
20 para% 20web.pdf . Accedido el 15 de octubre de 2019.
ENISA, (2006). Gestión de riesgos: principios de implementación e inventarios para
Métodos y herramientas de gestión de riesgos / evaluación de riesgos: encuesta de los existentes
Gestión de riesgos y métodos de evaluación de riesgos. Departamento técnico de
Sección ENISA Gestión de Riesgos. https://www.enisa.europa.eu/publications/
principios de gestión de riesgos e inventarios para gestión de riesgos riesgo
evaluación de métodos y herramientas . Accedido el 16 de noviembre de 2019.
ENISA (2017) Prioridades para el análisis de investigación de la ue de la estrategia estratégica ecso
agenda de búsqueda e innovación (SRIA). https://www.enisa.europa.eu/publications/
prioridades para la investigación . Accedido el 14 de marzo de 2019.
Hoffman, LJ , 1982. Poufno scw Systemach Informacyjnych. WNT Polonia, Varsovia.
Howard, JD y Longstaff, TA (1998). Un lenguaje común para la seguridad informática.
incidentes https://www.osti.gov/servlets/purl/751004 . Accedido el 20 de octubre de 2019.
ISACA . (2013) COBIT 5 por riesgo. https://m.isaca.org/COBIT/Documents/COBIT- 5- for-
Vista previa de riesgos _ res _ eng _ 0913.pdf . Accedido el 14 de abril de 2019.
ISO / CEI 27001: 2013, Tecnología de la información - Técnicas de seguridad - Información
Sistemas de gestión de seguridad. Requisitos.
ISO / CEI 27005: 2018, Tecnología de la información - Técnicas de seguridad - Información
gestión de riesgos de seguridad.
Janczewski, LJ, Cealli, W. (Eds.) (2015). Conflictos cibernéticos y estados pequeños, nuevo
Zelanda 2015.
Kar aback, B., Sogukpinar, I., 2005. ISRAM: método de análisis de riesgos de seguridad de la información.
Comput Secur. 24 (2), 147-159. https://www.sciencedirect.com/science/article/
pii / S0167404804001890 . Accedido el 14 de abril de 2019 .
Leszczyna, R. , 2017. Metoda szacowania kosztu zarz ˛adzania bezpiecze nstwem infor-
macji i jej przykład zastosowania w zakładzie opieki zdrowotnej Nr 46 (2017),
pp. 319-330. Varsovia Polonia
Liderman, K. , 2006. Zarz ˛adzanie ryzykiem jako element zapewnienia odpowied-
niego poziomu bezpiecze nstwa teleinformatycznego Nr 23/2006, pp. 44, War-
Sierra. Polonia
Liderman, K. , 2012. Bezpiecze nstwo Informacyjne. PWN Polonia, Varsovia.
Loch, KD, Carr, HH, Warkentin, M., 1992. Amenazas a los sistemas de información: a-
realidad del día, comprensión de ayer. MIS Q. Vol. 16 (núm. 2), 173-186.
https://www.researchgate.net/publication/220259924 _ Amenazas _ a _ Información _
Sistemas _ Hoy _ Realidad _ Ayer _ Comprensión . Accedido el 20 de octubre de 2019 .
Mihailescu, VL, 2012. Análisis de riesgos y gestión de riesgos utilizando mehari. J. Appl.
Autobús. Inf. Syst. 3 (4), 143–161. 2012 https://pdfs.semanticscholar.org/0d21/
f50d42a2699b4ab5174edf4 96 8b128b7d6b3.pdf . Accedido el 11 de abril de 2019 .
11
Vogt, WP , Johnson, RB, 2015. El Diccionario SAGE de Estadística y Metodología. UNA
Guía no técnica para las ciencias sociales. SAGE Publications, Estados Unidos.
Yazar, Z., 2002. Una herramienta cualitativa de análisis y gestión de riesgos - CRAMM.
Instituto SANS. https://pdfs.semanticscholar.org/3743/6a533bcbcd1bb420 0 038
3eae445840e5cefc.pdf . Accedido el 11 de abril de 2019 .
El Informe Global de Tecnología de la Información. (2016) Crecimiento y empleo en un hiper-
mundo conectado palabra foro económico e INSEAD. Ginebra. http: //www.cdi.
org.pe/InformeGlobaldeInformacion/doc/WEF _ GITR _ Full _ Report.pdf . Acceso 20
Octubre de 2019.
WEF (2019). El informe de riesgos globales 2019. 14a edición. focos económicos mundiales
Ron. Ginebra. http://www3.weforum.org/docs/WEF _ Global _ Risks _ Report _ 2019.
pdf . Accedido el 13 de marzo de 2019.
Zibran , MF (2007). Prueba de independencia de CHI-Squared. https: //pdfs.semanticscholar.
org / 0822 / f125a21cfbd05e5e980c80174 99fb96656 8f.pdf . Accedido el 05 de abril de 2019.
Dr in˙z. Edyta Karolina Szczepaniuk: Doctora en Ciencias Sociales en el campo de la se-
ciencias de la curiosidad Graduado con especializaciones en los campos: administración, seguridad nacional
Rity y ciencias de la computación. Ella es académica en la Universidad de la Fuerza Aérea de Polonia.
(Polonia). Dentro del alcance de sus intereses científicos, entre otros, hay:
seguridad de la información, ciberseguridad, administración electrónica, sistema de información gerencial
Tems, bases de datos y programación de sistemas. Autor de numerosas publicaciones en
Este alcance.
Dr. Hubert Szczepaniuk: Graduado de estudios de doctorado en el campo de la ciencia de la computación.
inc. en ciencias técnicas en la Facultad de Cibernética de la Universidad Militar de
Tecnología en Varsovia. En el año 2015 defendió una disertación de doctorado. Él
es un empleado académico de la Universidad de Ciencias de la Vida de Varsovia WULS-SGGW
En Varsovia. Los intereses de investigación se aplican a la informática, la gestión y la calidad.
ity sciences, ciberseguridad. Autor de numerosas publicaciones en este ámbito. Su
La actividad también incluye programación en Python, Java y C #.
8/9
17/7/2020
Sklavos, N., Souras, P., 2006. Modelos económicos y enfoques de la información.
seguridad para redes de computadoras. En t. J. Netw. Secur. Vol. 2 (núm. 1), 14-20. https:
//pdfs.semanticscholar.org/16ef/df667e5aee3270d5c2d7987c05dcd15876c2.pdf .
Accedido el 18 de abril de 2019 .
Sta nczyk, J., 1996. Współczesne Pojmowanie Bezpiecze nstwa. PAN. Polonia, Varsovia.
Stokłosa, J . , Bilski, T., Pankowski, T., 2010. Bezpiecze nstwo Danych w Systemach In-
formatycznych PWN Polonia, Poznan.
Susanto, H., Almunawar, MN, Tuan, Y., 2011. Gestión de seguridad de la información
estándares del sistema: un estudio comparativo de los cinco grandes. En t. J. Electr. Com-
poner. Sci. IJECS-IJENS Vol: 11. No: 05, 2011 https://www.researchgate.net/
publicación / 2284 4 4915 _ Información _ Seguridad _ Gestión _ Sistema _ Normas _
Un _ Estudio _ Comparativo _ de _ los _ Cinco Grandes . Accedido el 20 de abril de 2019 .
Szczepaniuk, EK . , 2016. Bezpiecze nstwo Struktur Administracyjnych w Warunkach
Zagro ˙ze n Cyberprzestrzeni Pa nstwa. AON Polonia, Varsovia.
Tsiakis, T., Stephanides, G., 2005. El enfoque económico de la seguridad de la información.
Comput Secur. 24 (2), 105-108. 2005 https://www.sciencedirect.com/science/
artículo / pii / S01674048050 0 0209? a través de% 3Dihub . Accedido el 19 de abril de 2019 .
Tupa, J., Steiner, F., 2006. Implementación del sistema de gestión de seguridad de la información.
tem en la pequeña organización sanitaria. J. Telecommun. Inf. Technol. 52-58.
https://www.il-pib.pl/czasopisma/JTIT/2006/2/52.pdf . Accedido el 21 de abril de 2019 .
https://translate.googleusercontent.com/translate_f
Evaluación de la seguridad de la información en la administración pública.
Profesor dr hab. Bogdan Klepacki: Jefe del Departamento de Logística en el
Universidad de Ciencias de la Vida de Varsovia, ex vicerrector de la Universidad de la Vida de Varsovia
Ciencias. Doctor honoris causa de la Universidad de Agricultura de Cracovia. Autor
de 570 artículos y libros sobre economía, gestión y logística, adaptación de
empresas a las cambiantes condiciones económicas. Promotor en 27 cursos de doctorado. Él
cooperó con universidades de varios países, un participante activo de varios
docena de extranjeros, así como profesor visitante. Logró 2 internacionales y 9 na-
Temas de investigación nacional. Miembro del Comité de Ciencias Económicas de Polonia.
Academia de Ciencias.
Dr hab. in˙z. Tomasz Rokicki: En 2006 obtuvo el título académico de Ph.D. de
ciencias económicas en términos de economía otorgadas por una resolución de la Agricultura
Junta del Departamento de Economía de la Universidad de Ciencias de la Vida de Varsovia (WULS -
SGGW). Desde 2007 ha estado trabajando como profesor asistente en la Facultad de
Ciencias económicas en el WULS. El 27 de febrero de 2018 obtuvo un posdoctorado.
grado - habilitación. Sus logros académicos contienen 10 monografías, más de 120
Artículos en revistas científicas y monografías colectivas. Se aplican intereses de investigación.
a economía, (micro y macro economía), geografía económica, logística (sobre todo
problemas de transporte), gestión de la información.
9/9