LA AUDITORÍA DE SEGURIDAD INFORMÁTICA Y SU RELACIÓN EN LA

CIBERSEGURIDAD DE LA FUERZA AÉREA DEL PERÚ AÑO 2017.

THE COMPUTER SECURITY AUDIT AND ITS RELATIONSHIP IN THE

CYBERSECURITY OF THE PERUVIAN AIR FORCE YEAR 2017.

Daniel Iván Taipe Domínguez

RESUMEN

El desarrollo de la presente investigación tuvo como objetivo analizar cómo el realizar

una Auditoria de Seguridad Informática tiene implicancia en la Ciberseguridad en la Fuerza
Aérea del Perú; desde luego el estudio lo que pretende es generar aportes que contribuyan a
la solución de la problemática que se presenta en este sector; En cuanto a la metodología
utilizada, se puede señalar que ha sido de tipo descriptiva según Bernal y otros (2000), diseño
no experimental descriptiva correlacional, según Hernández y otros (2014); para la recogida
de datos se aplicó dos cuestionarios, uno sobre Auditoria de seguridad informática y el otro
sobre la implicancia en la Ciberseguridad de la Fuerza Aérea del Perú año 2017., que fue
desarrollado por el Personal Militar de la Fuerza Aérea del Perú. En lo que refiere a los
resultados se puede señalar que los encuestados manifiestan que el realizar una Auditoria de
seguridad informática no tiene implicancia en la Ciberseguridad de la Fuerza Aérea del Perú
año 2017. Lo que demuestra que el nivel de conocimiento del personal de Informática, las
normas y políticas no tiene un buen nivel de Ciberseguridad.
PALABRAS CLAVE: Auditoria de seguridad informática, Ciberseguridad, Hacking
Ético, Seguridad de la Información, Fuerza Aérea del Perú.

ABSTRACT

The purpose of the present investigation was to analyze how to carry out an IT
Security Audit has implications for Cybersecurity in the Peruvian Air Force; Of course, the
study aims to generate contributions that contribute to the solution of the problems that arise
in this sector; Regarding the methodology used, it can be pointed out that it has been
descriptive according to Bernal et al. (2000), a non-experimental descriptive correlational
design, according to Hernández and others (2014); for the collection of data we have applied
two questionnaires, one on Computer Security Audit and the other on the implication in the
Cybersecurity of the Air Force of Peru year 2017., which was developed by the Military
Personnel of the Air Force of Peru. Regarding the results, it can be pointed out that the
respondents state that conducting an IT security audit has no implication in the Cybersecurity
of the Peruvian Air Force in 2017. This shows that the level of knowledge of IT personnel,
the rules and policies do not have a good level of Cybersecurity.
KEY WORDS: IT Security Audit, Cybersecurity, Ethical Hacking, Information
Security, Peruvian Air Force.
 INTRODUCCIÓN
El presente estudio de
investigación está orientado a analizar
cómo se relaciona la auditoria de
Seguridad Informática y la Ciberseguridad
de la Fuerza Aérea del Perú año 2017,
durante el año 2017, el cual es un tema de
mucha importancia para la seguridad de la
información.
La auditoría de seguridad
informática, según lo expuesto por
Emanuel Abraham (2014), trabaja en
encontrar vulnerabilidades para que no
sean explotadas por otros hackers. Trata de
adelantarse e identificarlas antes que los
criminales; el hacking ético es una
herramienta de prevención y protección de
datos, esta información es de gran ayuda a
las organizaciones al momento de tomar
las medidas preventivas en contra de
posibles ataques malintencionados.
En torno a la ciberseguridad, a mi
criterio es “asegurar la información digital
procesada, almacenada o en tránsito que se
encuentra interconectada”, lo cual tiene
asidero en muchas definiciones al
respecto.
La seguridad es un concepto
asociado a la certeza, falta de riesgo o
contingencia. Podemos entender como
seguridad un estado de cualquier sistema o
tipo de información (informático o no) que
nos indica que ese sistema o información
está libre de peligro, daño o riesgo. Se
entiende como peligro o daño, todo
aquello que pueda afectar a su
funcionamiento directo o a los resultados
que se obtienen.
El presente trabajo de investigación
sobre la Auditoria de Seguridad
Informática y su relación en la
Ciberseguridad de la FAP; ha sido
elaborada en cinco capítulos:
El capítulo I, donde encontramos el
planteamiento del Problema; la
formulación del problema y los problemas
específicos; el objetivo general y los
objetivos específicos, la justificación de la
investigación así como también las
limitaciones; en el capítulo II, se sustenta
el marco teórico, abordando los
antecedentes de la investigación en los
diferentes contextos como las teorías
generales y las bases teóricas, enfatizando
nuestras teorías de auditoría de seguridad
informática, así como también
encontramos la Ciberseguridad de la
Fuerza Aérea del Perú año 2017, lo que
sustenta nuestro trabajo de investigación,
también encontramos el marco conceptual,
que consiste en las definiciones y términos
empleados, que servirán de entendimiento
en el presente trabajo; en el Capítulo III,
se enfatiza la metodología, el tipo de
investigación, como el método y diseño de
la investigación; así como también la
Población, muestras y la hipótesis general
y específicas, como las definiciones de las
variables y la operacionalización de ellas.
El capítulo IV, encontramos la
presentación de los resultados, las técnicas
e instrumentos de investigación, las
técnicas e instrumentos utilizados como la
validación y confiabilidad de los
instrumentos, el tratamiento estadístico a
través del análisis; y en el capítulo V,
encontramos la discusión de los
Resultados, las conclusiones y
recomendaciones, bibliografía y anexos.
METODO
La población del estudio estuvo
compuesto por 50 Personas de la
especialidad de Informática del Cuartel
General FAP, la muestra dio como
resultado a 33 Personas de la especialidad
de Informática del Cuartel General FAP.
La técnica utilizada para el
desarrollo del presente estudio de
investigación fue la encuesta y el
instrumento el cuestionario de Auditoria
de Seguridad Informática, el cual está
compuesto por dos dimensiones: Políticas
de Ciberseguridad y Ethical Hacking
haciendo un total de 12 ítems y el
cuestionario de Ciberseguridad, está
compuesto por una sola dimensión:
Riesgos, que midió a través de sus
indicadores los riegos que se relacionan
con la seguridad, consta de 11 ítems, los
cuales tienen trascendencia en la labor del
personal de Informática, el tipo de
investigación fue no experimental, el
diseño analítico descriptivo correlacional y
de corte transversal.
De la variable auditoria de
seguridad Informática, se visualiza que la
mayoría de la población (78.8%) considera
como EFICIENTE la auditoria de
seguridad informática y solo el 21.2% de
la población como REGULAR.
De la variable Ciberseguridad de la
Fuerza Aérea del Perú, se visualiza que la
mayoría de la población (81,8%) considera
como EFICIENTE la Ciberseguridad y
solo el 18,2% de la población como
REGULAR.
Respecto a la hipótesis general, Se
concluye que las variables de auditoria de
seguridad informática y la variable de
ciberseguridad NO están relacionadas
significativamente, ya que mediante la
prueba de Razón de verosimilitudes y
correlación de Spearman se obtuvo valores
de significancia mayores a 0,05.
Con respecto a la hipótesis
especifica 1, Se concluye que la dimensión
política de ciberseguridad y la variable
ciberseguridad de la Fuerza Aérea del Perú
NO están relacionadas significativamente,
ya que mediante la prueba de Razón de
verosimilitudes y correlación de Spearman
se obtuvo valores de significancia mayores
a 0,05.
Con respecto a la hipótesis
especifica 2, Se concluye que la dimensión
Ethical Hacking en la FAP y la variable
Ciberseguridad de la Fuerza Aérea del
Perú NO están relacionadas
significativamente, ya que mediante la
prueba de Razón de verosimilitudes y
correlación de Spearman se obtuvo valores
de significancia mayores a 0,05.
Con respecto a la hipótesis
específica 3, Se concluye que los riesgos
que afectan la información digital y la
variable Auditoria de Seguridad
informática NO están relacionadas
significativamente, ya que mediante la
prueba de Razón de verosimilitudes y
correlación de Spearman se obtuvo valores
de significancia mayores a 0,05.
DISCUSION
Luego de analizar los resultados
podemos observar que en las Variables y
en las Dimensiones, coinciden con el
mismo patrón en que el Personal de
Informática del Cuartel General de la FAP,
considera que es eficiente el realizar una
Auditoria de Seguridad Informática, lo
cual colaboraría rotundamente con la
ciberseguridad.
Este enunciado es lo que el autor
de la Tesis quiere demostrar, debido a la
experiencia que posee y en los muchos
años que se ha dedicado a la
ciberseguridad, ha podido recolectar
información de casi todas las Unidades de
la Fuerza Aérea del Perú, encontrándose
que el nivel de Seguridad Informática es
bien bajo y en algunos casos es casi nulo,
y las acciones que ha realizado para poder
medir dicha deficiencia es justamente el
realizar Auditorías de Seguridad
Informática y con ello las evidencias de la
inseguridad y las recomendaciones sean
corregidas a tiempo para que ninguna
persona mal intencionada robe, altere o
modifique información sensible y hacer
daño a la Institución.
Debemos confiar en los resultados
presentados por que estos resultados
obedecen a varios factores estadísticos que
comprueban inicialmente la confiabilidad
del resultado según la fórmula utilizada de
coeficiente de confiabilidad según Kuder
Richardson cuyo resultado es 0.979, que
nos indica una muy buena confiabilidad
del instrumento aplicado, posteriormente
utilizando la distribución de frecuencias,
se comprueba que la Población está de
acuerdo con lo planteado en la Tesis.
La limitaciones que presenta este
trabajo deberían ser consideradas en
futuros estudios, por ser de mucha
importancia y para que se complementen
con esta tesis, como son; la capacitación
del personal en ciberseguridad, la falta de
una organización dedicada a la
ciberseguridad y ciberdefensa, y contar
con el equipamiento idóneo para ser
utilizado para la ciberseguridad, entre
muchos otros relativos y que aporten a la
ciberseguridad.
Por ser esta tesis de carácter
inédita, debido a que en las Fuerzas
Armadas del Perú recién se está tratando
este tema, y en el mundo, si bien algunos
países han incursionado en la
ciberseguridad desde hace muchos años,
las personas están tocando este tema desde
varias aristas, investigando esta nueva
capacidad, a nivel de maestría no se han
encontrado tesis en idioma castellano
sobre el tema de la presente tesis.
investigación ha podido confirmar
que si el personal de la especialidad de
informática, el cual constantemente está en
charlas, cursos, siempre con la tecnología
y conociendo los riesgos de estos al usarse,
no tiene un buen nivel de conocimiento
respecto a la Ciberseguridad y que no
existen normas, políticas que orienten un
camino a la Ciberseguridad, el personal de
otras especialidades conoce mucho menos
sobre este tema y se convierte en un
peligro constante para su propia seguridad
y la de la Institución.
Las hipótesis se han contrastado y
ha dado como resultado que se NO están
relacionadas significativamente, ya que
mediante la prueba de Razón de
verosimilitudes y correlación de Spearman
se obtuvo valores de significancia mayores
a 0,05.
Los resultados obtenidos son
contrarios a lo que el autor del presente
trabajo quería demostrar, sobre la
importancia de realizar una auditoría de
seguridad informática sí se relaciona con
la ciberseguridad, ya que la incrementa y
se relaciona directamente, ¿entonces
porque este resultado?, y la respuesta está
en el poco conocimiento de las
definiciones y acciones en ciberseguridad,
debido a que es un tema relativamente
nuevo para las Fuerzas Armadas, que
recién se está incursionando en esta
capacidad, que son muy pocas personas
con capacitación y entrenamiento; y que a
las preguntas del cuestionario, muchos de
ellos a pesar que la muestra encuestada era
personal militar de la especialidad de
informática, desconocía dichas acciones o
contestaba sin una concientización en
seguridad informática. Esto se debe a que
el 100% del personal militar egresado de
las escuelas de formación no ha recibido
cursos sobre ciberseguridad, por lo tanto
no tiene el conocimiento y la importancia
del mismo y se dedica a las labores
tradicionales de la especialidad.
CONCLUSIONES
Los resultados de la presente investigación
indican que:
No existe una relación significativa
entre las variables; auditorias de seguridad
informática y la ciberseguridad de la
Fuerza Aérea del Perú año 2017.
No existen correlaciones
significativas entre las políticas de
ciberseguridad y la Ciberseguridad de la
Fuerza Aérea del Perú.
BIBLIOGRAFIA
Abraham, E. (2014). El Hacking Ético y
su importancia para las
empresas. Recuperado de
http://www.enter.co/guias/tecno
guias-para-empresas/que-es-el-
 hacking-etico-y-por-que-es-
necesario/
Acosta, O. (2013). Análisis de Riesgos y
Vulnerabilidades de la
Infraestructura Tecnológica de
la Secretaría Nacional de
Gestión de Riesgos utilizando
Metodologías de Ethical
Hacking. Recuperado de
http://bibdigital.epn.edu.ec/hand
le/15000/6059
Aguilar, S., De la Cruz, V. (2015).
Implementación de una solución
de hacking ético para mejorar
la seguridad en la
infraestructura informática de
la caja municipal de Sullana –
agencia Chimbote. Recuperado
de
http://repositorio.uns.edu.pe
/handle/UNS/1964
Antón, E. (2011). Seguridad de la
Información. Recuperado de
http://www.monografias.
com/trabajos85/seguridad-
informacion-realidad-outopia/se
guridad-informacion-realidad-o-
utopia.shtml
Avalos, J y otros. (2000). Seguridad en
Sistemas Operativos, Argentina:
Editorial UNNE.
Bellovin, S. (1998). Security Problems in
the TCP/IP Protocol Suite,
Estados Unidos: Computer
Communication Review, Vol.
19, 2.
Camacho, M. (2012). Auditoria de
Seguridad Informática,
Recuperado de https://hacking-
etico.com/2012/12/10/1258/
CCFFAA. (2018). Doctrina de
Operaciones del Ciberespacio.
Perú: Editorial Comando
Conjunto FFAA.
Clough, B. (1992). Approaching Zero.
España: Editorial Breack Time
Books.
Coello, M. (2012). Procedimiento formal
de Ethical Hacking para la
infraestructura tecnológica de
los servicios por internet de la
banca ecuatoriana. Recuperado
de
http://bibdigital.epn.edu.ec/hand
le/15000/5736
ComputerWorld. (2017). Norma ISO/IEC
27032, nuevo estándar de
ciberseguridad. Recuperado de
http://cso.computerworld.es/aler
tas/norma-isoiec-27032-nuevo-
estandar-de-ciberseguridad
 Danhke, G.L. (1989). La Comunicación
humana: Ciencia social (pp.385-
454). México. Editorial
MacGraw-Hill. Barcelona
Deitel, H. M. (2001). An Introduction to
Operating Systems. Estados
Unidos: Editorial Past.
Diario TI. (1998). 30 hackers podrían
doblegar a EEUU. Recuperado
de http://diarioti.com/30-
hackers-podrian-doblegar-a-
eeuu/6410.
Domínguez, J. (2007). Seguridad de la
Información. Recuperado de
http://www.scsconsulting.es/seg
uridad-de-la-informacion/
ENAGAS. (2017). Política de
Ciberseguridad. Recuperado de
http://www.enagas.es
/stfls/ENAGAS/Documentos/Po
l%C3%ADtica%20de
%20ciberseguridad.pdf
ESAN. (2016). Norma Técnica Peruana:
políticas y procedimientos en
seguridad de información.
Recuperado de
https://www.esan.edu.pe/apunte
s-empresariales/
2016/04/norma-tecnica-peruana-
politicas-procedimientos-
seguridad-informacion/
ETIC Solutions. (2017). Análisis de
Vulnerabilidad. Recuperado de
http://www.etic-solutions.net/eti
c/servicios/analisis-de-
vulnerabilidad).
Freer, J. (988). Introducción a la
Tecnología y diseño de sistemas
de comunicaciones y redes de
 Ordenadores, España: Editorial
Anaya Multimedia.
Gonzales, B. (2017). Uso de herramientas
de Ethical hacking con kali
linux para el diagnóstico de
vulnerabilidades de la
seguridad de la información en
la red de la sede central de la
universidad de Huánuco.
Recuperado de
http://repositorio.udh.edu.pe/123
456789/675.
Halsall, F. (1995). Data Communications,
Computer Networks and Open
Systems. Estados Unidos:
Editorial Addison-Wesley.
Hernández, C. (2001). Hackers. Los
piratas del chip y de Internet.
España: Editorial Desino.
Hernández, R., Fernández, C. y Baptista,
P. (2014). Metodología de la
investigación, México D.F.:
McGraw-Hill/Interamericana
Editores.
Hernández Sampieri Roberto, y Fernández
Collado Carlos, y Baptista
Lucio. (1999). Metodología de
la Investigación. Segunda
Edición. Mac Graw-Hill.
InteramericanaEditores, S.A.
México, D.F.
Himanen, P y Castells, M. (2002). La ética
del hacker y el espíritu de la era
de la información. España:
Editorial Desino.
INDEA. (2016). Introducción a la
ciberseguridad. Recuperado de
http://indeadiversity.com/ciberse
guridad-que-es-por-que-importa/
Info Byte a Byte. (2016). Seguridad de la
Información, Seguridad
Informática y Ciberseguridad:
¿Son sinónimos?. Recuperado
de https://infobyteabyte.
wordpress.com/2016/04/20/segu
ridad-de-la-informacion-
seguridad-informatica
Khan, D. (1996). The Codebreakers.
España: Editorial Macmillan.
Lomáscolo, R. (2000). La seguridad en
Internet. España: Editorial IPS.
Peterson, J.(1993). Operating System
Concepts. Estados Unidos:
Editorial Adisson-Wesley.
Quitter, J. (1995). Masters of Deception.
Estados Unidos: Editorial
Hardcover.
Rengifo, P. (2010). Seguridad de la
Información y Auditoría de
Sistemas. Recuperado de
http://www.monografias.com/tra
bajos61/seguridad-informacion-
auditoria-sistemas/seguridad-
informacion-auditoria-
sistemas.shtml
Reyes, A. (2010). ¿Qué es Hacking Ético?.
Recuperado de
https://jaimejuarezm.
wordpress.com/
2011/08/03/ethical-hacking/
Rivas, D. (2013). El nuevo campo del
crimen, el ciberespacio.
Recuperado de
https://drivasmayett.wordpress.c
om/2013/05/16/el-nuevo-
campo-de-accion-del-crimen-el-
ciberespacio/
Sanchez, C. (2002). Metodología y diseño
de la investigación científica.
Perú. Editorial Universidad
Ricardo Palma.
SISPREV. (2018). Riesgo informático.
Recuperado de http://www.risk-
sisprev.com/riesgo-informatico/
Stallings, W. (1997). Comunicaciones y
Redes de Computadoras.
España: Editorial Prentice Hall
Iberia (5ª ed.).
Sterling, B. (1969). The Hacker Crackdow.
Estados Unidos: Editorial
Adisson-Wesley.
UNAM. (2010). Ethical Hacking.
Recuperado de
https://www.seguridad.unam.mx
/ethical-hacking.
Universidad de Barcelona. (2017). ¿Qué
es una auditoría informática y
qué debes saber sobre ella?.
Recuperado de https://www.obs-
edu.com/int/blog-investigacion/
sistemas/que-es-una-auditoria-
informatica-y-que-debes-saber-
sobre-ella).
 RESUMEN DE HOJA DE VIDA:

El Coronel FAP Daniel Ivan Taipe Dominguez,

laborando actualmente como Jefe de Ciberseguridad en la
Dirección de Telemática de la Fuerza Aérea del Perú, es
Oficial de la Especialidad de Ingeniería de Sistemas de la
Fuerza Aérea del Perú, Licenciado en Ciencias de la
Administración Aeroespacial de la Escuela de Oficiales,
posee el Certificado Internacional en “Certified Ethical
Hacker” (CEH), Certificado Internacional en “EC-Council
Certified Security Analyst” (ECSA), Certificado
Internacional en “Certified EC-Council Instructor” (CEI),
por EC-Council; Certificado Internacional en ITIL
foundation otorgado por EXIN y Certificado como Auditor de Sistemas, otorgado por ISEC.

Ha realizado el Diplomado Internacional en Ciberseguridad por el Centro de Altos

Estudios Nacionales (CAEN), actualmente Docente en dicho Diplomado, programa en
Seguridad Informática y Técnicas de Anti hacking por la Institución Stack Overflow en
Madrid-España; asimismo, es egresado de la Maestría en Informática, egresado de la
Maestría en Doctrina y Administración Aeroespacial y es egresado del Doctorado en
Educación.
Realizó el curso ejecutivo “Desarrollo de Políticas Cibernéticas” en Washington-
EEUU, realizó el Diplomado de Administración en la Academia Inter Americana de las
Fuerzas Aéreas (IAAFA), en San Antonio, Texas – EEUU y ha liderado y participado en el
análisis de Ethical Hacking en las Fuerzas Armadas, empresas particulares, entidades
financieras y entidades del Estado Peruano, promotor de la Creación del Comando
Operacional de Ciberdefensa (Cibercomando) de las Fuerzas Armadas del Perú, designado
ante Organismos civiles y militares internacionales como representante y conferencista en
temas de Ciberseguridad y Ciberdefensa, es docente en Seguridad de Informática y Ethical
Hacker en las escuelas militares de las Fuerzas Armadas, así como en el Instituciones
educativas y universidades.

Asimismo, ha publicado los siguientes artículos:

 “Creación del Comando Operacional de Ciberdefensa”, Revista ESCUELA
CONJUNTA DE LAS FUERZAS ARMADAS, Edición Nro.3, Año 5,
http://www.esffaa.pe/revista/2017-3/index.html
 “Porqué es necesario un Cibercomando”, Revista COMANDO EN ACCIÓN, del
Comando Conjunto de las Fuerzas Armadas, Edición Nro. 56 – 2014,
http://www.ccffaa.mil.pe/publicaciones/CenA/CenA2014/CenA56_2014.pdf

Ha participado como Conferencista en eventos nacionales e Internacionales:

 Organizador y Expositor de la 2da reunión de Ciberdefensa y Ciberseguridad entre
el Perú y EE. UU. https://dialogo-americas.com/es/articles/peru-y-ee-uu-realizan-
2da-reunion-de-ciberdefensa-y-ciberseguridad
 Panelista en el tema de respuesta a Incidentes – respuesta Activa EXPO CYBER
SEGURIDAD 2017 –SITDEF. http://www.expocyber.pe/2017/pdf/daniel-taipe.pdf
 Expositor en el I CONGRESO LATINOAMERICANO DE CIBERSEGURIDAD
Y PRIVACIDAD CLACYP 2016 - SWISSÔTEL.
http://www.iaitg.eu/mediapool/67/671026/data/clacyp-2016.pdf