Lima centro

Ingeniería de Seguridad y Auditoría Informática

Proyecto de Trabajo de Investigación

Implementación de la ISO 27002 para la mejora de los controles de seguridad del

registro de notas en la intranet de una institución educativa superior.

Integrantes

Moran Taboada, Luis Antonio (u17103668@utp.edu.pe)

Ordoñez Larrea, Michael Leandro (1612818@utp.edu.pe)

Docentes

Fernández Hurtado, Gisela Analy

Magallanes Rodríguez, Juan Luis

Lima, Perú

Ciclo
Marzo 2021
ÍNDICE

1. PROBLEMA DE INVESTIGACIÓN ........................................................................... 3

2. OBJETIVO GENERAL Y ESPECÍFICOS ................................................................. 3

3. JUSTIFICACIÓN ....................................................................................................... 3

4. REVISIÓN DE LA LITERATURA ACTUAL O ESTADO DEL ARTE........................ 4

5. MARCO TEÓRICO.................................................................................................... 8

6. HIPÓTESIS ............................................................................................................. 10

7. METODOLOGÍA...................................................................................................... 10

8. CRONOGRAMA DE TRABAJO .............................................................................. 13

9. PRESUPUESTO ..................................................................................................... 14

10. BIBLIOGRAFÍA ....................................................................................................... 14

11. ANEXOS .................................................................................................................. 16

2
1. PROBLEMA DE INVESTIGACIÓN

(Cisco, 2020) indica que en pymes 250 a 499, menos del 1% no tiene ningún colaborador
dedicado a la ciberseguridad, 72% tiene colaboradores con la tarea de cazar amenazas, el 56%
tiene una rutina de actualización de parches diaria o semanal y finalmente un 86% tiene métricas
claras para temas de efectividad de su seguridad.
Así pues, debido al COVID, las instituciones educativas se vieron obligadas a realizar sus
funciones de forma remota, no solo para los alumnos sino también para los maestros, estos
últimos teniendo que acceder a los recursos desde sus domicilios.
Teniendo en cuenta lo anterior se puede evidenciar que, si antes las instituciones se
preocupaban por sus sistemas de forma interna, con controles dentro de sus instalaciones, ahora
se tiene que agregar también los dispositivos de los maestros, los cuales acceden a la intranet
para de entre muchas funciones, registrar notas de los alumnos.
Por lo tanto, surge la siguiente interrogante, ¿Cómo la implementación de la ISO 27002 permite
la mejora de los controles de seguridad del registro de notas en la intranet de una institución
educativa superior?

2. OBJETIVO GENERAL Y ESPECÍFICOS

2.1. Objetivo general

Implementar la ISO 27002 para la mejora de los controles de seguridad del registro de
notas en la intranet de una institución educativa superior.

2.2. Objetivos específicos

• Identificar los controles de seguridad actuales para el registro de notas en la intranet.
• Desarrollar los controles y objetivos de la ISO 27002 para el registro de notas en la
Intranet.
• Evaluar como la implementación de los controles y objetivos de la ISO 27002 mejora
el nivel de seguridad del proceso del registro de notas en la intranet.

3. JUSTIFICACIÓN

Uno de los beneficios de estudiar seguridad informática es que podemos contrarrestar algunos
posibles ataques informáticos y disminuir las vulnerabilidades que sufren algunas entidades ya
sean públicas o privadas, estas al ser su activo más preciado la información están obligadas
como cualquier otra entidad a proteger dicho activo.

El proyecto de investigación se crea por la necesidad de mejorar los controles de seguridad en

el área de TI en la Universidad Tecnológica del Perú usando la norma ISO 27002:2013. Esta ISO

3
 es mundialmente reconocida dentro del área de la seguridad informática, de este modo
implementándola junto a la metodología de un Sistema de Gestión de la Seguridad de la
Información conseguirá disminuir el nivel de riesgo de los controles del proceso de registro de
notas. A través de recomendaciones y mejores prácticas se implementará una serie de controles
para prevenir eventos que pueden afectar tanto la continuidad del negocio de la institución como
su reputación. Para lograr tal objetivo es necesario usar el instrumento del cuestionario para
saber si dicha entidad tiene implementado las políticas de seguridad de la información,
organización y gestión de acceso de usuario.

Con esta investigación se logrará aportar a la seguridad de las instituciones educativas en el

Perú, haciendo énfasis en la integridad de las notas de los alumnos. Con esto las organizaciones
podrán seguir manteniendo su calidad y reputación, pudiendo así brindar una educación de
calidad respaldada bajo normas internacionales.

De esta manera, se podrá revisar a detalle si siguen un régimen de seguridad al momento de

subir o cambiar las notas dentro de la Intranet y una vez obtenida los resultados del cuestionario
poder implementar las políticas de seguridad que debe tener la Universidad.

4. REVISIÓN DEL ESTADO DEL ARTE O LITERATURA ACTUAL

La adopción de nuevas tecnologías para poder desarrollar eficientemente al trabajo remoto

debido al Covid-19 ha traído de forma inherente nuevas formas por donde una empresa puede
verse afectada de forma negativa, ya sea debido a la modificación o exposición de información
o indisponibilidad de servicios. De esta manera, surge la necesidad de implementar controles en
el registro de notas en una intranet de una educación superior ya que es una parte muy
importante en los sistemas de las instituciones de educación superior.
Tal como señala (Basile & López, 2020) la ciberseguridad no es un tema nuevo, ya se viene
estudiando en diversas áreas. Ya sea para proteger información sensible de la nación como de
las personas. De la misma manera (Barba-Vera, Bustamante, Toledo, Silva-Cárdenas, &
Barahona, 2020) señala que las redes por las cuales viajan los datos ya abarcan casi todos los
ámbitos de nuestra vida, haciendo casi imposible pensar un escenario donde la seguridad no
sea un tema primordial.
Es vital trabajar en la seguridad de la información en tiempos como estos donde casi todo ya es
digital y también considerando la poca cultura de seguridad que tienen las personas.
De esta forma los autores anteriormente citados coinciden en la necesidad de proteger los
sistemas de información. (Díaz, 2020) da a conocer que países como Chile ya poseen ciertas
leyes que velan por el por el uso adecuado de datos de tipo personales, un ejemplo es la Ley
19.628 y a su vez ya se proponen modificaciones con el fin de mejorarla. Algo similar menciona

4
(Lux & Vega, 2020) donde en el mismo país y acorde con lo anterior se han realizado
investigaciones sobre que lo abarca, el concepto y delimitación del delito de espionaje
informático. De esta manera, se puede apreciar que en Chile ya se están tomando medidas en
los temas que tienen que ver con la seguridad de los datos y tienen ya regulaciones que
constantemente se están actualizando.
En cuanto a metodologías para desarrollar el tema de seguridad informática y proteger la
información algunos autores como (Carrillo, Zambrano, Cantos, & Bravo, 2019) para evaluar la
seguridad de los sistemas optan por un enfoque cuantitativo. Con el objetivo de evaluar los
niveles de seguridad e identificar posibles amenazas y vulnerabilidades por su parte optaron por
la utilización herramientas como Acunetix, Shodan y Nessus, lo cual permitió automatizar y
ahorrar tiempo para luego mediante lo que se llama AMFE, que es un análisis de fallos, ofrecer
soluciones para la mitigación de riesgos, todo esto dentro de todo lo que implica las TI dentro de
una institución superior. Por otro lado, y usando el mismo enfoque cuantitativo (Barba-Vera,
Bustamante, Toledo, Silva-Cárdenas, & Barahona, 2020) presenta un enfoque más orientado a
la calidad de servicio donde mediante otras redes de tipo REDES DEFINIDAS POR SOFTWARE
donde se pretende mejorar la calidad de la red haciendo énfasis en la posibilidad de innovación
y evolución que redes convencionales no como la antes mencionada permiten. Esto sin perder
controles de seguridad básicos debido a que están en juego datos de estudiantes. Para este
escenario se verifico mediante pruebas T-Student parámetros como la pérdida de paquetes en
los servidores de las instituciones.
Es importante en este punto mencionar que existen investigaciones que han estudiado algunos
ataques propiamente. El ransomware como menciona (Veloz, López, Caraguay, & Álvarez,
2019) se ha investigado y dividido en etapas donde se puede conocer el ciclo de vida para luego
hacer pruebas en entornos simulados donde mediante machine learning se puede conocer qué
tipo de ransomware ha infectado los sistemas.
De esta forma se puede obtener una imagen más clara de los ataques con el fin de encontrar
patrones, esto es muy útil cuando se realizan herramientas para detectar posibles ataques antes
que sucedan.
Cuando se proponen brindar soluciones, investigadores como (Patiño, Caicedo, & Guaña, 2019)
recurren a la familia de las ISO 27000. Para ser más específicos ambos optan por la 27002, la
cual realiza un desarrollo más específico a cada control a un nivel de detalle más profundo.
De igual forma (Imbaquingo, et al., 2019), también utiliza la familia de las ISO 27000, lo cual
hace resaltar la importancia de este estándar en el área de seguridad.
A su vez, antes de la aplicación de controles se procede con un modelo de evaluación, que en
el caso de (Patiño, Caicedo, & Guaña, 2019) optó por modelo madurez ISM3 donde con el fin
de obtener información se procedió a realizar un cuestionario basado a partir de los controles

5
propuestos de la ISO 27002 enfocados en el control de acceso. Para esta evaluación
específicamente se utilizaron 3 métodos, la entrevista al DBA, observación y una prueba técnica
donde so se procedió a realizar pruebas de penetración mediante la herramienta SQLMAP.
Este enfoque si bien es algo más lento, puede brindar detalles desde una perspectiva diferente.
Lo que más se destaca para obtener información concluyente es la fase de la prueba de
penetración que brindó resultados puntuales para ubicar vulnerabilidades en los sistemas.
(Imbaquingo, et al., 2019) por su parte realizó la evaluación mediante la metodología Magerit
haciendo uso del Software Pilar el cual permite la caracterización de activos, caracterización de
amenazas y evaluación de salvaguardas. Especialmente se hizo uso de la ISO 27002:2013,
específicamente la parte de controles, donde se realiza la elección, establecimiento y la
administración de los controles. Dentro de los controles podemos encontrar lo políticas, todos
los procesos, así también las estructuras de la organización y las funciones inherentes de
hardware sumada a las de software que serán aplicados a los sistemas.
La estructura de trabajar del último autor brinda una propuesta interesante para proceso de
implementación de la ISO respectiva. Antes de aplicar la normativa ISO 27002, fue muy oportuno
realizar el análisis donde se pudo conocer y de forma efectiva el estado de los sistemas de la
institución respectiva. Con esto se pudo tener un mejor panorama a la hora decidir qué controles
aplicar y cuáles no, teniendo en cuenta las necesidades y objetivo global de la institución.
Otro enfoque interesante es el que presenta (Ruiz, Granda, & Sarmiento, 2018) donde la
metodología que brinda se realiza desde una perspectiva más holística, donde además del uso
de la familia 27000 hace alusión a estándares internacionales muy usados en el rubro de la
gestión de TI como son ITIL y COBIT.
Lo más resaltante del enfoque es el producto que se obtiene al combinar lo que son ITL y COBIT.
De esta manera, se obtiene como resultado un ciclo de procesos cuyos nombres son, estrategia,
diseño, transición, operación y mejora. Dentro de cada uno se pudo observar sub-fases donde
se intersecan a su vez con una serie de tareas que sirve como guía para llevar un registro de
cómo se va avanzando en el proyecto. Por consiguiente, lo que se propone son ciclos regulares
evaluación mediante auditorías y su respectiva implementación de mejora posterior, esto de
forma iterativa para que el proceso de aseguramiento sea más accesible para la organización y
se realice de forma más orgánica y natural.
Dentro de los resultados de las investigaciones que se ha revisado podemos apreciar la
conclusión brindada por (Basile & López, 2020) donde al incluir y combinar información en temas
de seguridad en combinación con otras materias elementales se produjo proyectos interesantes
por parte de los estudiantes donde se evidenció la comprensión de las bases del triángulo de la
donde se ubica primero la confidencialidad, seguida integridad y finalmente la disponibilidad, así
como también el aseguramiento del perímetro físico y digital.

6
De lo anterior mencionado destaca la buena recepción de los estudiantes de nivel secundaria
cuando se integran conocimientos en proyectos reales, lo que orienta a pensar que es una buena
metodología para enseñar ciberseguridad en cualquier nivel académico. Esto trae como
beneficio el ya estar prevenido y consciente de los peligros existentes a la hora de desarrollar
sistemas de información
Otra conclusión de manera más teórica, pero de suma importancia es la que se extrae del
resultado de (Lux & Vega, 2020) y (Díaz, 2020) donde se definen los conceptos de espionaje
informático, su diferencia con el hacking ético y explican a su vez la gestión sobre los
tratamientos en datos de carácter personal. Ambos artículos convergen la necesidad de seguir
implementando mejoras a las leyes de Chile con respecto a la defensa sobre los datos de tipo
personal, especialmente la Ley 19.628.
Es importante destacar la proactividad de Chile de ir mejorando sus leyes respecto a la seguridad
de la información. Es algo que se debe replicar en los demás países de Latinoamérica.
(Carrillo, Zambrano, Cantos, & Bravo, 2019) resalta, luego de la evaluación con distintos
softwares, la precisión de Acunetix en términos de eficacia y optimización es superior comparado
a Shodan y Nessus. Esto permite que las instituciones puedan mejorar su seguridad mediante
técnicas y recomendaciones que se mostraron en el respectivo artículo.
Es clave notar el uso de software para automatizar ciertas tareas como la evaluación y búsqueda
de vulnerabilidad, sin duda al hacer una auditoría vale la pena realizar inversión en este tipo de
software.
(Patiño, Caicedo, & Guaña, 2019) va más allá del solo usar software en la parte de evaluación
cuando se quiere aplicar la norma ISO 27000. De esta manera, se optó por una combinación de
entrevistas, observación y prueba técnica sobre los controles de tipo acceso que abarcan la
administración de las bases de datos de una institución para luego de esto trasladar la
información al modelo cuya característica es la madurez fundada en ISM3 y así dar de resultado
una conclusión precisa. Asimismo (Imbaquingo, et al., 2019) expresa los buenos resultados que
obtuvo al hacer uso de la metodología MARGERIT, este sin embargo en lugar de usar el modelo
de madurez se enfoca en la evaluación de riesgos por medio la definición de activos del todo el
sistema completo.
Quien va más allá y propone un proceso metodológico para su aplicación es (Valencia-Duque &
Orozco-Alzate, 2017) que a partir de la intercomunicación de las 4 principales normas que
conforman la familia de la ISO 27000 brinda una manera sencilla de implementar lo que tiene
por nombre gobierno de administración de seguridad para la información.
Conforme a lo mencionado, es correcto señalar que, pese al manejo de softwares, la evaluación
por medio de otros procedimientos como entrevistas y observaciones se considera todavía una
fuente de valiosa información. Esto permite concluir que la combinación entre evaluación por

7
 software junto a entrevistas es una excelente estrategia para resultados precisos; y para la parte
de implementación, el usar una metodología ya probada para la aplicación de SGSI como la que
indican la familia de las ISO 27000 es una buena elección.

5. MARCO TEÓRICO

Con el objetivo de desarrollar el plan de la implementación de controles de seguridad en el

registro de notas, se procederá a detallar los conceptos que son claves para la investigación:

1. Intranet.
Como señala (Telleen, 1998) una intranet se entiende como el grupo de información
colaborados por cierto conjunto de personas, el cual está correctamente definido dentro de
la empresa u organización.

2. Seguridad de la información.
Se entiende como la defensa de la información independientemente del medio cómo se
encuentre esta con el fin de mitigar riesgos respectos a ella.

3. Seguridad informática.
Se entiende como la protección de los sistemas computacionales y redes con fin de evitar el
daño, robo y exposición del hardware, software o información contenido o transferidos en
medios electrónicos.

4. Pilares fundamentales de la seguridad de la información.

Tal como menciona (Imbaquingo, et al., 2019) y es conocido dentro del área protección de la
información todas las metodologías, controles, y sistemas están apoyados bajo 3 conceptos
fundamentales:
• Confidencialidad: Este concepto explica que solamente los usuarios con estricta
necesidad y que estén autorizadas pueden acceder a cierta información. De esta
forma se evita la filtración de información sensible entre las cuales puede estar
información del negocio, datos personales y/o sensible tanto del personal de la
institución como de sus clientes.
• Integridad: Con este principio se busca asegurar que la información no sufra
variaciones o alteraciones durante el uso o el transporte de esta. Esto aplica tanto a
la información en si como a la infraestructura de los sistemas que forman parte del
negocio. Una alteración en los datos podría llevar a una mala lectura o interpretación
de los mismo y podría resultar en una toma de decisión que perjudicaría al negocio

8
 • Disponibilidad: Hace referencia a la disposición de la información, ya sea para la
persona, proceso, sistema o aplicación cuando este la necesite a la información para
su correspondiente uso. La ausencia de este pilar tiene consecuencias en el
rendimiento de procesos y toma de decisiones.
Como se puede observar trabajando en estos 3 pilares podemos proporcionar una estructura
sólida para defender los activos de cualquier empresa. Esto se torna complicado ya que
mientras más se trabaja en un pilar los otros se tornan más difíciles de manejar.

5. ISOs
ISO es una entidad cuya función es el establecimiento de estándares internacionales y en
esta investigación se trabajará con la Serie ISO/IEC 27000 donde corresponden 17 normas,
en la cual la implementaremos la Norma ISO/IEC 27002:2013 y la ISO/I27003:2013.

6. Norma ISO/IEC 27002:2013

El estándar esta designado como Código de prácticas para controles de seguridad de la
información y es usada para seleccionar los controles de un SGSI, también se usa para la
implementación de controles para la seguridad de la información y con el fin de desarrollar
guías para la protección de la información. Esta norma está distribuida en los siguientes
controles:
• Políticas en el ámbito de la Seguridad de la Información: Para las políticas de
protección es de suma importancia aplicar todos los dominios para mantener la
integridad de la información.
• Estructuración de la Seguridad de la Información.
• Seguridad sobre los recursos de tipo humanos.
• Gestión sobre activos: Son parte de los recursos que conforman el proceso para una
correcta comunicación, o sea el mensaje, quien lo envía, el medio usado para
transmitirlo y quien lo recibe.
• Control sobre acceso: En este control se permite el pase a la información como a las
aplicaciones, contraseñas y privilegios.
• Criptografía.
• Seguridad en extornos físicos, así como ambientales.
• Seguridad sobre las operaciones.
• Seguridad sobre el proceso de las comunicaciones.
• Ganancia, progreso y sostenimiento de sistemas.
• Relación con los proveedores.
• Administración de eventos adversos sobre la seguridad de la Información.

9
 • Vertientes de seguridad de la Información en la administración de continuidad del
negocio.
• Cumplimiento.

7. Metodología de implementación
(ISO, 2010) mediante la ISO 27003 plantea una metodología para implementar un SGSI. La
ventaja principal de esta ISO es su flexibilidad para de ser aplicada en todas las
organizaciones sin importar su tipo. En organización de menor tamaño se podrá encontrar
que las actividades que se les aplica a ellas pueden ser simplificadas, mientras que
organizaciones de más tamaño encontraran necesario implementar de mediante una
estrategia por capas.
La metodología por realizar mantiene una estructuración que consta de las siguientes partes:
• Actividades. Describe lo que necesario para cumplir las tareas de cada fase.
• Entradas. Define el punto de partida así, como decisiones documentadas de las otras
actividades.
• Guía. Provee información detallada para desarrollar las actividades. Tener en cuenta
que no todas las guías son aplicables en todos los casos.
• Salidas. Describe los resultados o entregables al finalizar las actividades
• Otra información. Brinda información adicional que puede ayudar en el desarrollo de
las actividades.
La implementación consta de las siguientes fases:
1. Consentimiento por parte de la Alta Dirección para dar inicio al proyecto
2. Determinación sobre el alcance, los términos y la manejo del SGSI
3. Análisis de los requisitos de seguridad de la información
4. Evaluación de riesgos y planificar el procedimiento para administrar los riesgos
5. Diseñar el SGSI

6. HIPÓTESIS

La implementación de la ISO 27002 disminuye el nivel de riesgo de los controles del proceso de
registro de notas en una institución educativa superior.

7. METODOLOGÍA

7.1. ENFOQUE DE INVESTIGACION:

(Sampieri Hernández & Collado Fernández, 2014) menciona que el enfoque cuantitativo
emplea la recaudación de datos con el fin de demostrar una hipótesis que tiene como base

10
 la medición numérica y el análisis estadístico con el objetivo de establecer patrones de
comportamiento.
Debido a que se está evaluando la mejora de la seguridad en los controles se empleó un
análisis cuantitativo debido a que permite evaluar el estado de los controles de seguridad.
De esta manera se podrá comprobar si en efecto hubo una mejora en los indicadores de
seguridad basados en la ISO 27004. Este enfoque es importante ya que es un estándar a
nivel internacional, con lo cual se puede obtener información específica de cómo
implementar las debidas correcciones que son recomendadas a nivel mundial.
7.2. ALCANCE DE INVESTIGACION:
(Gordillo, Mayo, Lara, & Gigante, 2010) menciona que el estudio correlacional es aquello en
lo que el interés se centra en revelar o exhibir el vínculo que se presentan entre las más
importantes variables, esto se realiza por medio del empleo del factor de conexión.
Por factor de conexión se entiende que son guías matemáticas que proporcionan
información sobre el nivel, grado de intensidad y orientación sobre la dependencia que tienen
las variables.
Este estudio permitirá ver que tanta relación existe entre la ejecución de la ISO y el estado
de protección sobre los controles. De esta manera se logrará observar si una configuración
de controles más apegada a la ISO de verdad influye de manera positiva o negativa sobre
estos.

7.3 MÉTODO DE INVESTIGACIÓN:

7.3.1 TECNICA:
(Anguita Casas, Repullo Labrador, & Donado Campos, 2003) menciona que este
procedimiento de investigación llamada técnica de la encuesta permite la obtención de
datos de manera rápida y eficaz. Esta técnica tiene varias ventajas, una de ellas es
que posibilita aplicar de manera masiva las encuestas y esto conllevaría a obtener un
amplio resultado de cuestiones a la vez. Y también posibilita grandes resultados de
datos acerca de una extensa y amplia variedad de datos.
En esta investigación se trabajará haciendo uso de la encuesta, debido a que se
requiere obtener información sobre los controles actuales y el nivel de riesgo asociado
antes y después de la implementación de la ISO. Se usará esta técnica a todo el
personal relacionado al proceso de administración de la intranet, con la diferencia que
respecto a su posición en la organización el instrumento podrá presentar algunas
variaciones.

11
 7.3.2 INSTRUMENTOS:
(Sampieri Hernández & Collado Fernández, 2014) menciona que el cuestionario es un
grupo de interrogantes respecto a las variantes que se van a medir y que debe ser
coherente con la hipótesis. Está dividido en preguntas cerradas que tienen como
opción alternativas delimitadas, y preguntas abiertas que no están delimitadas las
respuestas.
El cuestionario como instrumento nos permitirá recabar valoraciones en relación con
los controles de seguridad por parte del personal. Los indicadores que se emplearán
estarán orientados a comprobar que se cumpla con los estándares y recomendaciones
de la ISO 27002. Esto nos permitirá definir cuáles son las falencias en el sistema y
apoyado con una evaluación de riesgos sobre los activos del proceso se podrá elegir
de una manera objetiva los controles necesarios que hagan disminuir los riesgos y
aumentar la seguridad de este.
7.3.3 DISEÑO DE INVESTIGACION:
(Sampieri Hernández & Collado Fernández, 2014) menciona que el diseño no
experimental transversal recolecta datos en un tiempo en específico. Este diseño se
divide en tres: exploratorios, descriptivos y correlacionales – causales.
En este proyecto de investigación bajo el método cuantitativo no experimental
transversal correlacional – causal ya que implanta interrelaciones sin examinar las
relaciones causales y esto es basado en la hipótesis. Este diseño permitirá observar
cómo varía el nivel de seguridad de los controles de seguridad en su ambiente natural
luego de la aplicación de los controles, de esta forma se podrá comparar si
efectivamente se logró aumentar la seguridad de sistema, así también debido al
método cuantitativo se podrá observar que tanto mejoró en relación con el estado
previo a la implementación de los controles de seguridad.

7.4 POBLACIÓN
(Collado & Lucio, 2014) describen a la población como la agrupación de todas las entidades
que corresponden con ciertas especificaciones.
Para esta investigación la población consiste en los administradores a cargo de la intranet;
esto permitirá obtener una visión precisa de cómo se percibe el nivel de riesgo desde los
encargados de la intranet.
7.5 MUESTRA Y TIPO DE MUESTREO
(Collado & Lucio, 2014) definen a la muestra simplemente como el subgrupo de la población.
Así también (B, 1999) dentro de los tipos de muestreo, describe al muestro censal como el
muestro donde toda la población es la muestra.

12
 Para esta investigación es necesario usar el tipo de muestreo censal ya que es
imprescindible recolectar información de todo el personal relacionado a la intranet, esto
debido a que el equipo encargado de la intranet está compuesto de varios integrantes con
funciones distintas.

8. CRONOGRAMA DE TRABAJO

13
9. PRESUPUESTO

10. BIBLIOGRAFÍA

Anguita Casas, J., Repullo Labrador, J., & Donado Campos, J. (2003). La encuesta como técnica
de investigación. Elaboración de cuestionarios y tratamiento estadístico de los datos.
Casas Anguita, 527-538.
B, H. (1999). Como medir la satisfacción del cliente: desarrollo y utilización de cuestionarios.
Madrid.
Barba-Vera, R., Bustamante, M. C., Toledo, N. A., Silva-Cárdenas, C., & Barahona, B. V. (2020).
Políticas públicas en el Ecuador hacia la ciberseguridad en base a QoS en redes de
campus académicos en entornos convencionales y SDN. Revista Ibérica de Sistemas e
Tecnologias de Informação (RISTI), 166-176.
Basile, F. R., & López, L. J. (2020). Estrategia formativa en defensa digital para adolescentes:
experiencia en el Instituto Federal de São Paulo. Revista chilena de derecho y tecnología,
227-279.
Carrillo, J. J., Zambrano, N. A., Cantos, J. S., & Bravo, M. Z. (2019). Ciberseguridad y su
aplicación en las Instituciones de Educación Superior. Revista Ibérica de Sistemas e
Tecnologias de Informação (RISTI), 438-448.
Cisco. (Mayo de 2020). Reporte de ciberseguridad para pequeñas y medianas empresas.
Obtenido de cisco.com: https://www.cisco.com/c/dam/global/es_mx/solutions/pdf/smb-
cybersecurity-report.pdf

14
Collado, C. F., & Lucio, P. B. (2014). Metodología de la investigación. México D.F: Mc Graw Hill.
Díaz, C. B. (2020). Obligaciones de seguridad en el tratamiento de datos personales en Chile:
Escenario actual y desafíos. Revista chilena de derecho y tecnología, 227-279.
Gordillo, R. C., Mayo, N. C., Lara, G. G., & Gigante, S. V. (2010). Investigación Educativa:
Investigación EX POST FACTO. Madrid, España. Obtenido de www.uam.es.
Imbaquingo, D. E., Herrera-Granda, E. P., Herrera-Granda, I. D., Arciniega, S. R., Guamán, V.
L., & Ortega-Bustamante, M. C. (2019). Evaluación de sistemas de seguridad informáticos
universitarios Caso de Estudio: Sistema de Evaluación Docente. Revista Ibérica de
Sistemas e Tecnologias de Informação (RISTI), 349-362.
ISO. (2010). ISO/IEC 27003:2017. Obtenido de iso.org: www.iso.org
Lux, L. M., & Vega, J. V. (2020). El delito de espionaje informático: Concepto y delimitación.
Revista chilena de derecho y tecnología, 221-256.
Patiño, S., Caicedo, A., & Guaña, E. R. (2019). Modelo de evaluación del Dominio Control de
Acceso de la norma ISO 27002 aplicado al proceso de Gestión de Bases de Datos.
Revista Ibérica de Sistemas e Tecnologias de Informação (RISTI), 230-241.
Roberto Hernández Sampieri, C. F. (2014). Metodología de la Investigación. McGRAW-HILL.
Ruiz, E. M., Granda, W. X., & Sarmiento, P. A. (2018). Gobierno de TI: Elección y Aplicación de
Buenas Prácticas en Corporación Nacional de Telecomunicación. Espacios, 29.
Sampieri Hernández, R., & Collado Fernández, C. y. (2014). Metodología de la investigación.
México, D.F: McGraw-Hill Interamenricana.
Telleen, S. L. (1998). www.iorg.com. Obtenido de iorg.
Valencia-Duque, F. J., & Orozco-Alzate, M. (2017). Metodología para la implementación de un
Sistema de Gestión de Seguridad de la Información basado en la familia de normas
ISO/IEC 27000. Revista lbérica de Sistemas e Tecnologias de Informação (RISTI), 73-88.
Veloz, F. D., López, L. I., Caraguay, Á. L., & Álvarez, M. B. (2019). Indicadores para la detección
de ataques ransomware. Revista Ibérica de Sistemas e Tecnologias de Informação
(RISTI), 493-506.

15
11. ANEXOS

11.1 Anexo A

16
17
18
19
20
Fuente (Romo Villafuerte & Valarezco Constante, 2012)

21