UNIVERSIDAD NACIONAL DEL CENTRO DEL PERU

ESCUELA DE POSGRADO
UNIDAD DE POSGRADO DE LA FACULTAD DE
INGENIERIA DE SISTEMAS

INFORME DE TESIS

Cultura de seguridad de información en la protección de activos

informáticos en la Universidad Nacional Agraria de la Selva, 2018-
2020

PRESENTADO POR:

William Rogelio Marchand Niño

PARA OPTAR EL GRADO ACADÉMICO DE:

DOCTOR EN INGENIERÍA DE SISTEMAS

Huancayo – Perú
2020

1
 UNIVERSIDAD NACIONAL DEL CENTRO DEL PERU
UNIDAD DE POSGRADO
FACULTAD DE INGENIERÍA DE SISTEMAS
CIUDAD UNIVERSITARIA EL TAMBO
HUANCAYO

ACTA DE SUSTENTACIÓN DE TESIS

En la Plataforma Microsoft TEAMS de la Universidad Nacional del Centro del Perú, en el equipo CANAL DE
SUSTENTACIÓN VIRTUAL – UNIDAD DE POSGRADO DE LA FACULTAD DE INGENIERÍA DE SISTEMAS,
a los veintitrés días del mes de abril del año dos mil veintiuno, con la presencia de los 5 miembros del Jurado.
Siendo las 3:00 p.m. se dió inicio al Acto de Sustentación por la Plataforma Microsoft Teams, de la Tesis del
egresado del Doctorado en Ingeniería de Sistemas.

WILLIAM ROGELIO MARCHAND NIÑO

El secretario dió lectura a la Resolución de la Unidad de Posgrado de la Facultad de Ingeniería de Sistemas
Nº 036-2021-DUPGFIS/UNCP, luego la sustentante procedió a exponer su TESIS titulada:

“CULTURA DE SEGURIDAD DE INFORMACIÓN EN LA PROTECCIÓN DE ACTIVOS

INFORMÁTICOS EN LA UNIVERSIDAD NACIONAL AGRARIA DE LA SELVA 2018-2020”

Culminada la exposición, los señores Vocales del Jurado procedieron a efectuar las observaciones y preguntas
respectivas. Una vez terminada la evaluación, el Secretario del Jurado invitó al Sustentante a abandonar la
Plataforma de Microsoft Teams, para la deliberación del caso, pasándose luego a la calificación obteniéndose
el siguiente resultado:
APROBADO - BUENO (17)
El Secretario del Jurado pidió que se una el interesado, a conectarse a la Plataforma Microsoft Teams para dar
a conocer el resultado final, que fue anunciado por el Presidente.
Se dio por terminado el Acto de Sustentación a las 4:30 p.m. del 23 de abril del dos mil veintiuno, firmando a
continuación los miembros del jurado.

Presidente Secretario
Dr. HENRY GEORGE MAQUERA QUISPE Dr. JESÚS ULLOA NINAHUAMÁN

VOCAL
Dr. HÉCTOR HUAMÁN SAMANIEGO

VOCAL VOCAL
Dr. ABRAHAM ESTEBAN GAMARRA MORENO Dr. RICHARD YURI MERCADO RIVAS
 ASESOR
DR. HECTOR HUAMAN SAMANIEGO

2
 Dedicatoria
A mi madre.

3
 AGRADECIMIENTOS

A Dios, por mantenerme con vida y salud en este proceso de alcanzar el grado
de Doctor en Ingeniería de Sistemas.

A mi madre, por entregar su vida a mi cuidado y educación que me han

permitido llegar a estas instancias.

A mi abuelo que de Dios goce por haber asumido el rol de padre hasta el
momento de su partida, del cual aprendí a perseverar a pesar de las
adversidades.

A mi esposa e hijas, por comprender el sacrificio y la ausencia en muchos

momentos por causa de mis estudios.

A mi asesor de tesis, el Dr. Héctor Huamán, por sus acertadas y oportunas

recomendaciones en la dirección de esta investigación.

4
 RESUMEN
Esta investigación denominada cultura de seguridad de información para la
protección de activos informáticos en la Universidad Nacional Agraria de la Selva
trató el problema referido al comportamiento de los usuarios y su relación con la
protección de activos informáticos en términos de confidencialidad, integridad y
disponibilidad. El objetivo principal fue evaluar la relación entre las dimensiones de
concienciación, cumplimiento y apropiación de la cultura de seguridad de
información y las dimensiones de la protección de activos, para esto se aplicó una
encuesta para el diagnóstico a una muestra de 79 usuarios, además se
incorporaron técnicas de ingeniería social para este proceso. Los resultados
evidencian los niveles de concienciación, cumplimiento y apropiación de la
universidad bajo estudio, los cuales oscilan en promedio entre el nivel de desarrollo
y sostenible. Del mismo modo, los resultados respecto a los niveles de las
dimensiones de la protección de activos oscilan entre bajo y medio. Se validó la
hipótesis estadísticamente, por lo que se concluye que existe una relación
significativa entre las variables de la investigación. Como contribución se formuló
un modelo de cultura de seguridad de información cuya principal característica es
un proceso de diagnóstico complementario entre encuestas y técnicas de ingeniería
social, también se incluye el sistema de gestión de seguridad de la información, la
gestión de riesgos, la gestión de incidentes como parte del ecosistema de la cultura
de seguridad de información en una organización.

Palabras clave: Seguridad de información, cultura de seguridad, ingeniería social.

5
 ABSTRACT

This research denominate information security culture for the protection of computer
assets at the National Agrarian University of the Jungle addressed the problem
related to user behavior and its relationship with the protection of computer assets
in terms of confidentiality, integrity and availability. The main objective was to
evaluate the relationship between the dimensions of awareness, compliance and
appropriation of the information security culture and the dimensions of asset
protection, for this a survey was applied for the diagnosis to a sample of 79 users,
they incorporated social engineering techniques for this process. The results show
the levels of awareness, compliance, and appropriation of the university under
study, which oscillate on average between the level of development and
sustainable. Similarly, the results regarding the levels of the asset protection
dimensions range from low to medium. The hypothesis was statistically validated,
so it is concluded that there is a significant relationship between the variables of the
investigation. As a contribution, an information security culture model was
formulated whose main characteristic is a complementary diagnostic process
between surveys and social engineering techniques, it also includes the information
security management system, risk management, management of incidents as part
of the information security culture ecosystem in an organization.

Keywords: Information security, security culture, social engineering.

6
 RESUMO

Esta pesquisa denominada cultura de segurança da informação para a

proteção de ativos de informática da Universidade Nacional Agrária de La Selva
abordou o problema relacionado ao comportamento dos usuários e sua relação
com a proteção de ativos de informática em termos de confidencialidade,
integridade e disponibilidade. O objetivo principal foi avaliar a relação entre as
dimensões de conhecimento, conformidade e apropriação da cultura de segurança
da informação e as dimensões de proteção patrimonial, para isso foi aplicado um
inquérito para o diagnóstico a uma amostra de 79 usuários, utilizou-se técnicas de
engenharia social para este processo. Os resultados mostram os níveis de
consciência, adesão e apropriação da universidade em estudo, que oscilam em
média entre o nível de desenvolvimento e o sustentável. Da mesma forma, os
resultados relativos aos níveis das dimensões de proteção de ativos variam de
baixo a médio. A hipótese foi validada estatisticamente, portanto, conclui-se que
existe uma relação significativa entre as variáveis da investigação. Como
contribuição, foi formulado um modelo de cultura de segurança da informação cuja
principal característica é um processo diagnóstico complementar entre pesquisas e
técnicas de engenharia social, inclui também o sistema de gestão de segurança da
informação, gestão de riscos, gestão de incidentes como parte do ecossistema da
cultura de segurança da informação em uma organização.

Palavras-chave: Segurança da informação, cultura de segurança, engenharia

social.

7
 INDICE
INTRODUCCIÓN ................................................................................................. 12
CAPÍTULO I MARCO TEÓRICO ......................................................................... 15
1.1 Antecedentes ................................................................................................. 15
1.2. Bases teóricas y conceptuales ...................................................................... 24
1.2.1 Cultura de Seguridad de la Información ...................................................... 33
1.2.2 Protección de Activos Informáticos .............................................................. 34
1.3 Definición de términos básicos ....................................................................... 35
1.3.1 ISCA. .......................................................................................................... 35
1.3.2 Activo .......................................................................................................... 35
1.3.3 Ingeniería social. ......................................................................................... 36
1.3.4 Incidente de seguridad. ............................................................................... 36
1.3.5 Ataque......................................................................................................... 36
1.3.6 Amenaza. .................................................................................................... 36
1.3.7 Vulnerabilidad. ............................................................................................ 36
1.4 Hipótesis de investigación .............................................................................. 36
1.4.1 Hipótesis general ........................................................................................ 36
1.4.2 Hipótesis específicas................................................................................... 36
1.5 Operacionalización de variables ..................................................................... 37
CAPÍTULO II DISEÑO METODOLÓGICO .......................................................... 40
2.1 Tipo y nivel de investigación........................................................................... 40
2.2 Métodos de investigación ............................................................................... 40
2.3 Diseño de la investigación .............................................................................. 41
2.4 Población y muestra ....................................................................................... 42
2.4.1 Población 1: ................................................................................................ 42
2.4.2 Población 2: ................................................................................................ 45
2.4.3 Muestra 1: ................................................................................................... 45
2.4.4 Muestra 2: ................................................................................................... 47
2.5 Técnicas e instrumentos de recopilación de datos ......................................... 47
2.6 Técnicas de procesamiento de datos ............................................................. 48
CAPÍTULO III CULTURA DE SEGURIDAD DE INFORMACIÓN Y LA
PROTECCIÓN DE ACTIVOS............................................................................... 49
3.1 Cultura de seguridad de información. ............................................................. 49
3.1.3 Concienciación ............................................................................................ 50
8
3.1.2 Cumplimiento .............................................................................................. 56
3.1.3 Apropiación ................................................................................................. 61
3.1.4 Nivel de cultura de seguridad de información .............................................. 66
3.2 Protección de Activos. .................................................................................... 68
3.2.1 Confidencialidad .......................................................................................... 71
3.2.2 Integridad .................................................................................................... 79
3.2.3 Disponibilidad .............................................................................................. 87
3.3 Modelo de cultura de seguridad de información. ............................................ 88
3.3.1 Diagnóstico de cultura de seguridad de información. .................................. 91
3.3.2 Programa de concienciación, cumplimiento y responsabilidad. ................... 94
3.3.3 Programa de capacitación técnica............................................................... 95
3.3.4 Gestión de riesgos. ..................................................................................... 96
3.3.5 Gestión de incidentes. ................................................................................. 96
3.3.6 Sistema de Gestión de Seguridad de la Información ................................... 98
3.4 Validación de Hipótesis ................................................................................ 100
3.4.1 Hipótesis específica 1. .............................................................................. 100
3.4.2 Hipótesis específica 2. .............................................................................. 101
3.4.3 Hipótesis específica 3. .............................................................................. 103
3.4.4 Hipótesis General ...................................................................................... 104
3.5 Discusión de Resultados. ............................................................................. 105
Conclusiones ..................................................................................................... 110
Recomendaciones ............................................................................................. 112
Referencias bibliográficas. ................................................................................. 113
Anexos ............................................................................................................... 121
Anexo 1. Cuestionario ISCA ............................................................................... 121
Anexo 2. Bases de Datos – Cultura de Seguridad de Información .................... 126

9
 ÍNDICE DE TABLAS
Tabla 1. Operacionalización de Variables ........................................................... 38
Tabla 2. Activos de información de la Universidad Nacional Agraria de la Selva.
............................................................................................................................. 42
Tabla 3. Muestra de los Activos de Información: activos informáticos ................. 45
Tabla 4. Escala para la Medición de la Cultura de Seguridad de Información. .... 50
Tabla 5. Nivel de Concienciación en la Universidad Nacional Agraria de la Selva.
............................................................................................................................. 52
Tabla 6. Nivel de Cumplimiento en la Universidad Nacional Agraria de la Selva.57
Tabla 7. Nivel de Apropiación en la Universidad Nacional Agraria de la Selva. .. 63
Tabla 8. Conocimiento de las Responsabilidades con respecto a la Seguridad de
Información. ......................................................................................................... 65
Tabla 9. Cantidad de Incidentes de Seguridad Informática Reportados. ............. 69
Tabla 10. Nivel de Confidencialidad de la Protección de Activos de la Universidad
Nacional Agraria de la Selva. ............................................................................... 72
Tabla 11. Comportamiento de los usuarios y tipos de ataque de ingeniería social
que afectan directamente a la confidencialidad. ................................................... 74
Tabla 12. Contraseñas con Baja Complejidad. ................................................... 79
Tabla 13. Nivel de Integridad de la Protección de Activos de la Universidad
Nacional Agraria de la Selva. ............................................................................... 80
Tabla 14. Comportamiento de los Usuarios y Tipos de Ataque de Ingeniería
Social que afectan directamente a la Integridad. .................................................. 83
Tabla 15. Nivel de Disponibilidad de la Protección de Activos de la Universidad
Nacional Agraria de la Selva. ............................................................................... 87
Tabla 16. Tabla cruzada Concienciación*Confidencialidad ............................... 100
Tabla 17. Pruebas de chi-cuadrado de Concienciación*Confidencialidad ......... 101
Tabla 18. Tabla cruzada Cumplimiento*Integridad ........................................... 102
Tabla 19. Pruebas de chi-cuadrado de Cumplimiento*Integridad ..................... 102
Tabla 20. Tabla cruzada Apropiación*Disponibilidad ........................................ 103
Tabla 21. Pruebas de chi-cuadrado de Cumplimiento*Integridad ..................... 104

10
 ÍNDICE DE FIGURAS

Figura 1. Relaciones entre Gobierno corporativo, Cultura organizacional y

Seguridad de la información. .......................................................................................... 18
Figura 2. Modelo de Cultura de Seguridad de la Información. ................................ 27
Figura 3. Framework de Nivel uno de la Cultura de Seguridad de la Información.
............................................................................................................................................. 29
Figura 4. Modelo de Negocio para la Seguridad de la Información – BMIS. ........ 30
Figura 5. Nivel de Concienciación en la Universidad Nacional Agraria de la Selva.
............................................................................................................................................. 54
Figura 6. Efecto de la Concienciación en la detección, identificación y respuesta
de incidentes de seguridad. ............................................................................................ 55
Figura 7. Nivel de Cumplimiento de la Cultura de Seguridad de la Información de
la Universidad Nacional Agraria de la Selva. ............................................................... 57
Figura 8. Conocimiento y Comunicación de Políticas de Seguridad de
Información en la Universidad Nacional Agraria de la Selva. .................................... 59
Figura 9. Preferencias de Flujo de Información sobre Incidentes de Seguridad de
Información. ....................................................................................................................... 60
Figura 10. Efecto del Cumplimiento en la Detección e Identificación de Incidentes
de Seguridad. .................................................................................................................... 61
Figura 11. Nivel de Apropiación de la Cultura de Seguridad de la Información de
la Universidad Nacional Agraria de la Selva. ............................................................... 63
Figura 12. Efecto de la Apropiación en la Identificación y Respuesta de
Incidentes de Seguridad. ................................................................................................. 66
Figura 13. Cultura de Seguridad de la Información de la Universidad Nacional
Agraria de la Selva. .......................................................................................................... 67
Figura 14. Nivel de Confidencialidad de la Protección de Datos de la Universidad
Nacional Agraria de la Selva. .......................................................................................... 73
Figura 15. Nivel de Integridad de la Protección de Datos de la Universidad
Nacional Agraria de la Selva ........................................................................................... 80
Figura 16. Nivel de Integridad de la Protección de Datos de la Universidad
Nacional Agraria de la Selva ........................................................................................... 88
Figura 17. Modelo General de Cultura de Seguridad de Información. .................. 90
Figura 18. Propuesta de Proceso de madurez de la Cultura de Seguridad de la
Información. ....................................................................................................................... 91
Figura 19. Reporte dnstwister de dominios disponibles similares al dominio
objetivo. .............................................................................................................................. 93
Figura 20. Ejemplo de correo electrónico para phishing. ......................................... 94
Figura 21. Fases de la Gestión de Incidentes............................................................ 98
Figura 22. Sistema de Gestión de la Seguridad de la Información. ....................... 99

11
 INTRODUCCIÓN
La investigación denominada Cultura de seguridad de información para la
protección de activos informáticos de la Universidad Nacional Agraria de la Selva
tiene por finalidad formular un modelo de cultura de seguridad después de evaluar
la relación entre las variables del estudio en función de sus dimensiones,
concienciación, cumplimiento y apropiación de la variable independiente y
confidencialidad, integridad y disponibilidad de la variable dependiente.

El problema que se estudia es el comportamiento de las personas y su efecto

en la protección de activos informáticos, y para tal propósito se aplica un
instrumento de encuesta denominado ISCA (Information Security Culture
Assessment) además de algunas técnicas de ingeniería social para el proceso de
diagnóstico de la cultura de seguridad de información expresado en términos de
niveles de concienciación, cumplimiento y apropiación; cómo estas dimensiones
influyen en el nivel de protección de activos informáticos es la cuestión que se cubre
en esta investigación. El problema general se formula con la pregunta de
investigación ¿cómo influye la cultura de seguridad de información en la protección
de activos informáticos de la Universidad Nacional Agraria de la Selva?

Algunos datos que soportan el planteamiento del problema son los expuestos
por reportes de Verizon (2018; 2020) que indican que aproximadamente el 93% de
las brechas de seguridad a nivel mundial corresponden a los ataques utilizando
técnicas de ingeniería social como el phishing; siendo el correo electrónico el medio
preferido por los ciberdelincuentes (Cisco Systems Inc., 2018), o el pretexting que
es una técnica utilizada por los ciberdelincuentes para obtener datos directamente
de las personas con una llamada telefónica. Estos datos están relacionados al
comportamiento de las personas, a lo que Orgill (2004) y Winkler (1995)
argumentan que un aspecto importante pero muchas veces sin atención es el
relacionado al comportamiento de las personas frente a la protección de los activos
de información; y aunque la inversión en soluciones tecnológicas de seguridad es
alta en muchos casos, estas pueden ser evadidas con ataques dirigidos a las
personas.

Este tipo de ataques que no requieren grandes recursos tecnológicos son

aprovechados contra personas que no tienen niveles de concienciación y sentido

12
de responsabilidad suficientes en aspectos de seguridad de la información, y por lo
general forman parte de una cultura de seguridad de la información inexistente o
inmadura. Por ejemplo, es suficiente que un usuario interno de la organización haga
“click” en un enlace malicioso enviado por correo electrónico para comprometer a
toda la plataforma tecnológica y la información que se almacena y procesa, o que
se expongan datos sensibles como las credenciales de acceso a los sistemas
informáticos. En Latinoamérica y el Perú el escenario no es diferente, según
reportes de empresas de seguridad como ESET (2019) ubican a las técnicas de
ingeniería social (ataques al factor humano) como uno de los tipos de ataques
preferidos por los ciberdelincuentes. También menciona Nancylia (2014) y Feng-
Quan (2015) que uno de los problemas principales que las organizaciones
enfrentan es la protección de los activos, y esto también se evidencia en la
Universidad Nacional Agraria de la Selva donde se presentan 298 incidentes de
seguridad informática entre los años 2018 y 2020.

Por el lado del cumplimiento, a pesar de la existencia de normativas

nacionales como la Resolución Nº 129-2012-PCM del 23 de mayo de 2012 del uso
obligatorio de la Norma Técnica Peruana ISO/IEC 270001:2008 referida al Sistema
de Gestión de Seguridad de la Información, o estándares como (ISO/IEC, 2013),
COBIT (ISACA, 2013), NIST-800-100 (Bowen, Hash, & Wilson, 2006) y PCI DSS
(PCI Security Standards Council, 2016) es aún laxa su implementación y
cumplimiento, principalmente en el sector público. Precisar que la administración
del comportamiento de los empleados y la interacción con la información en el
contexto de la seguridad de la información es un desafío que no se aborda con
estos estándares de forma eficiente.

El capítulo I versa sobre los antecedente y bases teóricas en las que se

sustenta la investigación. Como parte de los antecedentes principales se
mencionan a los trabajos realizados por Alnatheer (2012) con su propuesta de
modelo de cultura de seguridad basado en tres componentes principales
(concienciación, cumplimiento y apropiación), y Da Veiga (2008) que establece
una forma de realizar el diagnóstico de la cultura de seguridad utilizando la
encuesta ISCA. La base teórica que soporta la investigación es principalmente la
de cultura organizacional que argumenta Schein (1992) como un conjunto de
supuestos compartidos dentro de un grupo, y que luego de creada una cultura, esta

13
se puede enseñar a los recién llegados. Del mismo modo Lacatus (2013), muestra
una clasificación basada en matrices de los modelos de cultura organizacional que
se pueden considerar para una institución de estudios superiores; entre los modelos
que se destaca, es el propuesto por Le Feuvre y Metso (2005) que señala que las
bases de la cultura se pueden enseñar a los individuos de la organización; por lo
tanto, la cultura se puede modelar y construir de acuerdo con la misión de la
organización.

En el capítulo II se describe el diseño metodológico en la que se define que el

tipo de investigación es aplicada con un nivel descriptivo correlacional explicativo;
El método sistémico, el análisis y síntesis; deducción e inducción predominan en el
estudio. Asimismo, el diseño de investigación es de tipo no experimental y
transversal, teniendo como muestra a 69 activos informáticos cuyos indicadores
están en función de los niveles de confidencialidad, integridad y disponibilidad a
través de la cantidad de incidentes de seguridad informática y 79 usuarios internos
de la organización. También se describe la aplicación de técnicas de ingeniería
social que evidencian el comportamiento de los miembros de la organización,
principalmente en aquellos que procesan información por medio de la plataforma
tecnológica.

En capítulo III explica los resultados obtenidos producto de la aplicación del

instrumento de diagnóstico de la cultura de seguridad para medir el nivel de
concienciación, cumplimiento y apropiación de la universidad; estos niveles oscilan
en promedio entre el nivel de desarrollo y sostenible. Del mismo modo, los
resultados respecto a los niveles de las dimensiones de la protección de activos
oscilan entre bajo y medio. Se valida la hipótesis estadísticamente, por lo que se
concluye que existe una relación significativa entre las variables de la investigación

Como contribución de la investigación se propone un modelo de cultura de

seguridad de la información en la que se incluyen aspectos como el sistema de
gestión de seguridad de la información, gestión de riesgos, gestión de incidentes, y
el proceso de diagnóstico donde se recomienda incluir aplicación de técnicas de
ingeniería social para contrastar los datos obtenidos con el instrumento de encuesta
ISCA.

14
 CAPÍTULO I
MARCO TEÓRICO

1.1 Antecedentes
Algunos de las investigaciones que se abordaron respecto a la cultura de
seguridad de la información o sus dimensiones; así como sus efectos en la
seguridad de la información o seguridad informática se detallan en las siguientes
líneas.

Sobre el tratado de la cultura de seguridad y sus factores se realizaron

algunas investigaciones como el de Tolah (2019) basada en entrevistas
exploratorias a trece especialistas en seguridad con experiencia y conocimientos
de diferentes organizaciones localizadas en los Estados Unidos, el Reino Unido y
Arabia Saudita con el objetivo de corroborar la influencia de ciertos factores que
influyen en la cultura de seguridad, estos factores fueron establecidos en estudios
previos que se comentarán en posteriores párrafos. De acuerdo con los hallazgos
del trabajo de Tolah, se afirma que someter a los empleados a un proceso continuo
de formación y capacitación mejora la cultura de la seguridad de la información,
además de ellos se argumenta que una definición poco clara de las políticas de
seguridad y un programa deficiente conduce a niveles mínimos de conciencia y
cumplimiento.

Estudios previos al realizado por Tolah, se identifica uno de los más

importantes, desarrollado por Alnatheer (2015), que en la publicación de un artículo
en la 12 Conferencia Internacional de Tecnología de la Información – Nueva
Generación – ITNG 2015, examina los factores críticos de éxito en la cultura de la
seguridad de la información. Señala que las investigaciones actuales no han

15
identificado claramente los factores que tienen influencia significativa sobre la
adopción de una cultura de seguridad de la información. Los factores críticos de
éxito que podrían tener influencia en la adopción de una cultura de seguridad de la
información en el entorno organizacional; según los resultados de este trabajo de
investigación son:

• Apoyo de la alta dirección.

• Establecimiento de una eficaz política de seguridad de la información.
• Conciencia de seguridad de la información.
• Capacitación y educación en seguridad de la información.
• Información y evaluación de análisis de riesgos para la seguridad de la
información.
• Información de cumplimiento de la seguridad.
• Políticas de conducta ética.
• Cultura organizacional.

La cultura de la seguridad no es un fin en sí mismo, sino un camino para

alcanzar y mantener otros objetivos, como el uso adecuado de la información. El
mayor beneficio de una cultura de la seguridad es el efecto que tiene sobre otras
interconexiones dinámicas dentro de una empresa. Conduce a una mayor
confianza interna y externa, la consistencia de los resultados, mayor facilidad para
el cumplimiento de las leyes y reglamentos y mayor valor de la empresa en su
conjunto. Alnatheer ha realizado investigaciones previas relacionadas a la cultura
de seguridad de la información, siendo uno de sus principales trabajos
desarrollados, la tesis doctoral titulada “Understanding and Measuring Information
Security Culture in Developing Countries: Case of Saudi Arabia”, que define un
modelo de medición de la cultura de seguridad en el contexto de la salvaguardar
los activos de información de las empresas de Arabia Saudí (Alnatheer, 2012). Este
modelo concibe a la cultura de seguridad con tres elementos claves: la apropiación,
la concienciación y el cumplimiento; que a su vez están influenciados por otros
factores como: apoyo de la alta gerencia, cumplimiento y mantenimiento de
políticas, entrenamiento y educación en seguridad de la información y políticas
respecto de las conductas éticas.

16
 En esa misma línea sobre la cultura de seguridad y las formas de
conceptuarla y medirla, se encuentran los trabajos de Da Veiga que en su tesis
doctoral “Cultivating and Assessing Information Security Culture”, señala la
importancia de la cultura de seguridad para la protección de los activos de
información de una organización (Da Veiga A. , 2008). El aporte de esta
investigación es el desarrollo de un framework de Cultura de Seguridad de la
Información (ISCF por sus siglas en inglés) basado en lo que el autor denomina un
Marco Integral de Seguridad de la Información (CISF por sus siglas en inglés). Este
marco referencial desarrollado, establece criterios de comportamiento
organizacional a nivel de individuos y grupos, orientados básicamente a prácticas
en el uso de la tecnología informática, las que deben reflejar finalmente el estado
de la cultura de seguridad de la información. Es una herramienta que la alta
gerencia de una organización puede utilizar para entender la cultura de seguridad.

En ese mismo sentido, Da Veiga propone el uso de un instrumento de

evaluación de la cultura de la seguridad de la información (Information Security
Culture Assessment, ISCA por sus siglas en inglés) para facilitar la evaluación de
la cultura de protección de la información (Da Veiga & Eloff, 2010), este instrumento
fue evolucionando durante el proceso de validación que se realizó con la aplicación
a diversas organizaciones (Da Veiga & Martins, 2015a), (Da Veiga & Martins,
2015b). Posteriormente se presenta el uso de la herramientas para el diagnóstico
inicial de la cultura de seguridad de información con un componente de análisis de
incorporación de los conceptos del modelo de gestión de cambios ADKAR
(Awareness, Desire, Knowledge, Ability, Reinforcement) de Prosci (Hiatt, 2006; Al-
Qahtani, 2010) que incluye cinco fases, a saber, conciencia (de la necesidad de
cambio), deseo (de apoyar y participar en el cambio), conocimiento (de cómo
cambiar) ), capacidad (para implementar el cambio) y refuerzo (para sostener el
cambio), que se proponen para tratar la madurez de la cultura de seguridad de la
información en las organizaciones (Da Veiga A. , 2018)

Otro trabajo relacionado con la seguridad de la información y la relación con

la cultura organizacional es el desarrollado por Thomson (2007) denominado
“Model for information security shared tacit espoused values” que explica la relación
y el efecto que tiene la interacción de tres elementos definidos como cultura
organizacional, gobierno corporativo y seguridad de la información, en el desarrollo

17
de una cultura organizacional de seguridad de la información, tal como se muestra
en la Figura 1.

Figura 1.
Relaciones entre Gobierno corporativo, Cultura organizacional y Seguridad de la
información.

Fuente: Thomson (2007)

En este modelo se establece que la relación D, es interpretada como es que

la cultura organizacional determina las acciones y comportamientos de los
miembros de una organización o empresa, en la cual los ejecutivos de la alta
dirección deben promover y motivar las buenas prácticas de seguridad y control
que tengan un impacto positivo en la protección de los activos de información.

Por el lado de la concienciación, Furnell y Thomson (2009) en el contexto de

la definición de niveles de aceptación de los usuarios frente respecto a la seguridad
de tecnologías de la información, manifiestan que el comportamiento de los
usuarios, en el sentido que una persona puede tener conciencia de la seguridad,
pero eso no es garantía de estar alineado con las políticas de seguridad de la
información reflejándose en los niveles de cumplimiento al no estar sincronizados
con los valores de la organización. Un usuario puede responder con lo que los
directivos o sus jefes inmediatos quieren escuchar, pero eso no se refleja en su
comportamiento. Además, señalan que esto puede ayudar simplemente a decirle a

18
la gente lo que deben hacer, pero no será suficiente para generar un nivel de
cumplimiento deseado.

Recientemente se han realizado investigaciones relacionadas a los

programas educativos de concienciación para jóvenes en el contexto de la
seguridad en línea en la que se considera el marco cultural de la comunidad o país
donde se aplica el modelo (Herkanaidu, Furnell, & Papadaki, 2020). Los resultados
de la aplicación realizada en Tailandia indican que al incorporar los elementos
culturales propios de la zona, los contenidos de los talleres deben adaptarse para
lograr el éxito esperado; por ejemplo la percepción del rol que desempeñan los
profesores de las instituciones educativas de Tailandia es importante porque son
considerados responsables del futuro de los estudiantes orientando por lo tanto, el
desarrollo de los talleres con la intervención de los maestros de las escuelas y
colegios. Esta realidad es similar en los países latinoamericanos como el Perú.

Por su parte en España también se ha desarrollado una tesis doctoral

orientada a la educación en seguridad de la información y como esta puede tener
un impacto en la cultura de la seguridad de la información y la confianza en la
sociedad de la Información. El Dr. (Ramió Aguirre, 2013), hace un repaso en un
periodo de 25 años de la enseñanza y difusión de la seguridad de la información, y
su evolución durante ese periodo. Asimismo, entre sus principales conclusiones
destaca la importancia de la impartición de cursos relacionados a la seguridad de
la información a nivel de pregrado y posgrado, y desde el punto de vista histórico
se ha evidenciado un crecimiento favorable, lo cual indica la necesidad de la
formación de profesionales que puedan aportar posturas solidas dentro de las
organizaciones respecto a la protección de activos de información.

Sin embargo, una disciplina que debe contribuir para la formación y

educación en temas de seguridad de la información para el personal de una
organización es la andragogía, y precisamente el trabajo de Tolstoy y Miloslavskaya
(2019) señala que es importante aplicar un modelo andragógico porque el público
objetivo de los entrenamientos y formación son adultos, por lo que las técnicas y
métodos aplicados por los formadores deben ser ajustados. Puesto que la presente
investigación aborda factores de concienciación y cumplimiento que requieren

19
tareas de entrenamiento y educación, la andragogía es un aspecto que se debe
considerar.

En la investigación sobre el cumplimiento de las políticas de seguridad,

Amankwa, Loock y Krizinger (2018) realizaron un análisis basado en la recopilación
de datos por encuesta para determinar la influencia de tres factores (cultura
organizacional de apoyo, participación del usuario y el liderazgo) que pueden influir
en el comportamiento de los empleados con respecto al establecimiento de una
cultura de cumplimiento de políticas de seguridad. Como resultado se obtuvo que
la cultura organizacional de apoyo y la participación del usuario influyen
significativamente en el comportamiento de los empleados hacia una política de
cumplimiento, mientras que el liderazgo no tuvo una influencia significativa. En esa
misma línea, otro trabajo desarrollado en el plano del cumplimiento y apropiación
se considera a Liu (2020) donde se estudia la influencia del binomio denominado
supervisor-subordinado y el compromiso organizacional en la gestión de la
seguridad de información y específicamente en el comportamiento de
cumplimiento, cuyos hallazgos señalan una influencia directa de la relación
supervisor-subordinado sobre el cumplimiento y una influencia indirecta en el
comportamiento de cumplimiento a través del compromiso organizacional. También
concluyen que cuando un empleado tenga mayor compromiso organizacional el
efecto sobre el cumplimiento será más fuerte.

En contraste con lo manifestado en el párrafo anterior, Chen, Zhen, Dong y

Xie (2019) realizan un estudio experimental sobre la aplicación de sanciones en
términos de celeridad, certeza y severidad frente al cumplimiento de políticas se
seguridad en escenarios de 320 empleados de universidades y empresas chinas.
Los hallazgos mostraron que la certeza, celeridad y severidad de las sanciones
presentan una influencia significativa y positiva en el cumplimiento de políticas de
seguridad de la información.

Respecto a la implementación de Sistemas de Gestión de Seguridad de la

Información (SGSI), se cuentan con trabajos como el de Sun (2020) que argumenta
que una implementación de la norma ISO/IEC 27001 (2013) debe seguir un modelo
de análisis de efectividad de los controles de la norma basado en el ciclo PDCA
(Planear, Hacer, Verificar y Actuar) y lograr una medición efectiva del cumplimiento.

20
En trabajos previos se analizó el plano del cumplimiento y los factores inhibidores
del proceso de implementación de un SGSI en la Administración Pública Peruana
(una muestra de 16 entidades públicas asociadas al Ministerio de la Presidencia
del Consejo de Ministros), entre los cuales destacan, falta de capacitación y
concienciación del personal, falta de personal especializado en seguridad de la
información, presupuesto insuficiente o no asignado, falta un entendimiento cabal
sobre la seguridad de la información por parte de la alta dirección para apoyar con
mayor efectividad estas iniciativas (Mariño Obregón, 2010). Estos factores también
se pueden considerar como posibles razones de una inadecuada o deficiente
identificación de los activos de información que puede tener un efecto no deseado
cuando se formulan políticas de seguridad y los mecanismos de tratamiento de
riesgos.

Trabajos similares enfocados en los Sistemas de Gestión de Seguridad de

la Información analizan el proceso basado en los estándares de la Organización
Internacional de Estandarización (ISO por sus siglas en inglés) y su implementación
utilizando el ciclo de Deming (Planear, Hacer, Verificar y Actuar) que también es
aplicado en los Sistemas de Gestión de Calidad. La importancia del uso del ciclo
de Deming conduce a garantizar la actualización del sistema y su mejora continua.
También que el hecho de tener implantado un SGSI, no significa contar con la
máxima seguridad de la información, sino que la organización cumple con los
requerimientos y buenas prácticas que establece la norma (Avila Arzuza, 2012),
(Gomez Fernandez & Andres Alvarez, 2012). Desde el punto de vista del
despliegue de la norma ISO 27001:2013, Monev (2020) propone una metodología
con un método similar a COBIT 5 para determinar la madurez de la seguridad de la
información en el contexto de un SGSI

Sobre la relación de la formulación y cumplimiento de las políticas de

seguridad, normas, directivas y procedimientos, Ross (2011) argumenta que no hay
políticas de seguridad que prevean todas las circunstancias que se puedan
presentar, por lo tanto, si las partes interesadas no se basan en una cultura de la
seguridad, existe la posibilidad de acciones que pongan en riesgo los activos de
información. Asimismo, enfatiza que la cultura determina lo que una empresa hace
realmente acerca de la seguridad (o cualquier otro objetivo) y no lo que dicen los
documentos normativos o declaraciones de políticas, que se interpretan como la

21
intención de hacer. Una cultura de seguridad eficaz es compatible con la protección
de la información y al mismo tiempo el apoyo a los objetivos generales de la
empresa.

AlHogail (2015), muestra como resultado un marco de trabajo integral

basado en un modelo que él denomina el diamante del factor humano que se
compone de cuatro dominios: Preparación, Responsabilidad, Gestión y, Sociedad
y normativa. Se argumenta que su modelo puede ayudar a mejorar el
comportamiento, los valores, las suposiciones y el conocimiento de los empleados
previa identificación de los problemas que afectan la seguridad de la información
en la organización. Sin embargo, no dispone de un instrumento para medir el nivel
de cultura de seguridad de información. En esa misma línea del factor humano,
Astakhova (2015) en su investigación relacionada a los riesgos y el capital cultural
de las personas de una organización, desarrolla un procedimiento para la
evaluación del riesgo de seguridad de la información del personal, basado en la
relación entre el capital cultural individual de seguridad de la información y el capital
cultural de seguridad de la información corporativa.

Algunas investigaciones abordan los aspectos tecnológicos y el personal

especializado en el contexto del ecosistema de la cultura de seguridad de la
información, como el desarrollado por Kang (2015) que orientó su investigación
hacia las competencias del personal profesional y técnico responsable de la
seguridad en una organización, resaltando al mismo tiempo la necesidad de
establecer una cultura de seguridad entre todos los empleados. Como resultado de
esa investigación se definieron tres competencias generales (desarrollo,
administración de seguridad, Infiltración y protección avanzadas) y nueve
competencias especificas (post-investigación, recolección y descifrado, diagnóstico
y evaluación, supervisión, continuidad del trabajo, respuesta a accidentes,
comunicación, utilización de la información, y competencia global) las cuales
pueden tomarse como referencia para los programas de capacitación relacionados
a la seguridad de la información.

Peterson (2015) por su parte aborda la necesidad de adaptar la tecnología

de la información, la seguridad de TI, y los profesionales de seguridad a las
características de la organización considerando su tamaño, cultura, y ámbito; sin

22
embargo, hace notar que muchas empresas sobre todo las pequeñas, establecen
una relación de la seguridad con los aspectos organizacionales por ensayo-error o
peor aún, no son conscientes del problema.

Un tema poco tratado en las investigaciones sobre la cultura de seguridad

en las organizaciones son las vulnerabilidades humanas que pueden ser
aprovechadas por los agentes de amenazas (ciberdelincuentes) utilizando técnicas
de ingeniería social, Rocha Flores y Ekstedt (2016) publican una investigación
realizada en empresas de Suecia, sobre los factores organizacionales e
individuales para la resistencia a los ataques basados en ingeniería social,
estableciendo además que las normas, políticas y la actitud hacia ellas por parte de
las personas juegan un papel importante en la cultura de seguridad de la
información de las organizaciones.

En el aspecto de la protección de activos, la literatura consultada muestra que

la mayor parte de los trabajos de investigación orientan la protección de los activos
de información a la implementación de sistemas de gestión de seguridad de la
información basados en la norma ISO/IEC 27001 haciendo énfasis en aspectos
tecnológicos de hardware y software en sus diversas formas, considerando que las
plataformas tecnológicas almacenan, procesan y transmiten los datos de la
organización (Alonge, y otros, 2020; Rodionova & Utepbergenov, 2020; Rai, Singh,
& Kumar, 2020). También consideran aspectos de gestión y procedimientos, pero
a nivel de protección de activos poco se manifiesta la estrecha relación que existe
con el comportamiento de las personas que constituye parte de una cultura de
seguridad de información.

No obstante, existen trabajos respecto a la forma de abordar la seguridad de

la información en función de los incidentes de seguridad, tal es el caso de la
investigación de Walker-Roberts y otros (2019) que entre sus hallazgos afirma que
el activo más atacado es la información, además de que entre los tipos de
incidentes más frecuente es el abuso de privilegios y que la mayoría de violaciones
a la seguridad tienen origen interno y como resultado de errores humanos. Por otro
lado, Ahmad y otros (2020) manifiestan dentro de la propuesta de integración de la
gestión de seguridad de la información con la respuesta a incidentes, que las
brechas de seguridad pueden conducir hacia oportunidades de aprendizaje que

23
incluyen mayor conciencia de los riesgos de seguridad, de las amenazas y de las
fallas en las defensas, esto con la finalidad de crear mejoras en el proceso de
respuesta a incidentes.

1.2. Bases teóricas y conceptuales

La presente investigación tiene su fundamento teórico en los resultados de
las tesis doctorales correspondientes a Alnatheer (2012) y Da Veiga (2008);
además del modelo empresarial de seguridad de la información desarrollado por
(Roessing, 2010) para ISACA (Information Systems Audit and Control Association).

Sin embargo, previamente es necesario considerar el concepto de cultura

organizacional como base para entenderlo en el contexto de la seguridad de la
información. Cújar Vertel, Ramos Paternina, Hernández Riaño, & López Pereira
(2013) citan a varios autores e investigadores sobre la cultura organizacional y
concluyen que existe un consenso general respecto al concepto y lo describen
como un conjunto de significados compartidos, creencias, tradiciones y
concepciones que pertenecen a una comunidad o colectividad, específicamente a
una organización.

La idea inicial del concepto de cultura organizacional la dio Schein (1992) en

su libro Organizational culture and leadership, en la que conceptualiza a la cultura
organizacional como un conjunto de supuestos compartidos dentro de un grupo,
luego de creada una cultura, esta se puede enseñar a los recién llegados.

Del mismo modo existen trabajos que abordan la cultura organizacional en

la universidad como Lacatus (2013), que muestra en su artículo Organizational
culture in contemporary university, una clasificación basada en matrices de los
modelos de cultura organizacional que se pueden considerar para una institución
de estudios superiores. Entre los modelos que destaca es el propuesto por Le
Feuvre y Metso (2005) citados por Lacatus (2013) que establece tres modelos, el
humboldtiano, el napoleónico y el modelo angloamericano. Lo interesante a
destacar de estos estudios es que se reafirma que la cultura puede enseñarse a
los individuos de la organización, tal como lo postula Schein. Y para este proceso
de enseñanza que en el escenario de una cultura de seguridad de la información
que requiera ser cultivada puede ser necesario adoptar algún proceso de cambio
como el propuesto por Lewin (1947) con las etapas de “descongelar”, “cambiar” y

24
“congelar”, que tiene una aplicabilidad aún vigente (Sarayreh, Khudair, & & Barakat,
2013); además del modelo ADKAR recomendado por Da Veiga.

En la misma línea de la cultura organizacional, considerando el contexto de

la seguridad, es posible conceptuar la cultura de seguridad en una organización o
la cultura organizacional de seguridad, sin embargo, Edwards, Davey, & Armstrong
(2015) afirman que para tratar o describir este tipo de cultura en particular se
pueden enfocar en las interacciones entre la cultura y las estructuras organizativas
y lugar de trabajo, de tal forma que posibiliten el diseño de sistemas que optimicen
el desempeño de la seguridad. Esta afirmación es importante para el estudio que
se realiza porque se tiene un sustento y referencia para el diseño de un modelo de
cultura de seguridad de la información.

Después de analizar algunas definiciones de cultura de seguridad de la

información, (Da Veiga, 2008) en su tesis doctoral “Cultivating and Assessing
Information Security Culture” indica que cada investigador ha formulado una
definición de cultura de seguridad de la información, y a su vez Da Veiga propone
la siguiente definición para su ámbito y alcance de estudio, que se acerca también
a los propósitos de esta tesis:

Una cultura de seguridad de la información se define como las actitudes,

suposiciones, creencias, valores y conocimientos que los empleados / partes
interesadas utilizan para interactuar con los sistemas y procedimientos de la
organización en cualquier momento. La interacción resulta en un
comportamiento aceptable o inaceptable (es decir, incidentes) evidente en
artefactos y creaciones que se convierten en parte de la forma en que se
hacen las cosas en una organización para proteger sus activos de
información. Esta cultura de la seguridad de la información cambia con el
tiempo. (Da Veiga, 2008).

En esa línea se añade que a pesar que los miembros de una organización
puedan pertenecer a diversos grupos raciales o étnicos, diferentes creencias
religiosas, distintas edades y otras características asociadas, estas tendrán una
percepción parecida o común sobre la seguridad de la información dentro de una;
y si esa percepción se está expresando en un modo de cultura de seguridad de la

25
información que sea madura o positiva entonces la información (activos) estará
protegida (Da Veiga A. , 2018)

Avnet (2015) en su artículo A network-based approach to organizational

culture and learning in system safety, presenta en la Conferencia sobre
Investigación en Ingeniería de Sistemas 2015, un estudio realizado a un conjunto
de organizaciones del petróleo, gas, química y nuclear, para mejorar la seguridad
en los procesos, y uno de los aspecto relevantes que se afirman es que la mayoría
de las soluciones o propuestas para mejorar la seguridad se concentran en temas
técnicos, y no se están considerando los temas de cultura de seguridad, a las de
que se debe dar mayor énfasis. Asimismo, uno de los objetivos de la investigación
de (Avnet, 2015) es desarrollar una metodología para medir la cultura
organizacional y su relación con la seguridad, sin embargo, ya en el año 2012,
Alnatheer, desarrollaba un modelo de medición de cultura de seguridad de la
información, que es la base para la presente investigación.

La investigación desarrollada por (Alnatheer, 2012), formula un modelo de

medición de la cultura de la seguridad de la información que consiste en los
siguientes elementos: la apropiación, la concienciación y el cumplimiento,
además de los factores que influencian dicha cultura que son, el apoyo de la alta
gerencia, cumplimiento y mantenimiento de políticas, entrenamiento y educación
en seguridad de la información y políticas respecto de las conductas éticas. Estos
elementos son estructurados tal como se muestra en la Figura 2.

26
Figura 2.
Modelo de Cultura de Seguridad de la Información.

Fuente: Alnatheer (2012)

La apropiación, es el concepto por la cual las personas deben hacerse
cargo de sus acciones, en el contexto de la protección de la información. Para
llegar a este nivel de conciencia, las personas deben aceptar que la información es
tan valiosa como los activos tangibles de la organización, e incluso de más valor.
(Alnatheer, 2012), señala tres sentencias que permiten entender la apropiación, las
cuales se pueden resumir en, la responsabilidad de proteger la información
organizacional, asumir los resultados de acciones y decisiones respecto a la
seguridad de la información, y que la seguridad de la información es un aspecto
vital dentro de las funciones laborales de las personas dentro de una organización.

Otro elemento del modelo que propone (Alnatheer, 2012) es la

concienciación, que implica básicamente que las personas dentro de una
organización sean conscientes de la existencia de amenazas y riesgos potenciales,
asimismo de la importancia del impacto que tiene su rol en el contexto de la
seguridad de la información en la organización. Las personas que sean
conscientes de la necesidad de proteger los datos organizacionales también serán

27
una pieza importante en la monitorización de incidentes de seguridad puesto que
tendrán la predisposición a reportar tales incidentes.

Ög ütçu, Müge Testik y Chouseinoglou (2016) afirman que la concienciación

de los usuarios de los sistemas de información puede mejorar con el entrenamiento
o capacitación en temas relacionados a la seguridad de la información; además se
ha desarrollado un conjunto de escalas para evaluar el comportamiento y grado de
conciencia de seguridad de los usuarios. Los estudios que abordaron casos en
universidades turcas refuerzan el modelo propuesto por (Alnatheer, 2012),
principalmente con el elemento de la concienciación, que para el propósito de esta
investigación son fundamentales para el diseño del modelo adaptado a las
universidades.

El tercer elemento de este modelo propuesto por (Alnatheer, 2012) es el

cumplimiento, concepto relacionado con la normativa, estándares, políticas y
procedimientos; a su vez se consideran dentro de este concepto, los mecanismos
de auditoria y monitorización que aseguren que el contexto normativo y regulatorio
se cumplan, garantizando que la seguridad de la información en la organización
tenga un nivel formal esperado.

Respecto al concepto de cumplimiento, (Yazdanmehr & Wang, 2016) en su

artículo Employees' information security policy compliance: A norm activation
perspective, concluye que, para lograr el cumplimiento de las políticas de seguridad
de la información en una organización, se debe llevar al usuario a un nivel de
conciencia de las consecuencias y la responsabilidad personal respecto a su
cumplimiento. Para este fin los autores abordan teorías, como la teoría de la
activación de normas, la teoría de las normas sociales, teoría de la motivación, y la
literatura sobre el clima ético; siendo este último, a opinión de los autores, punto
poco tratado por los especialistas en seguridad de la información.

Bajo el framework que formula (Da Veiga, 2008), se pretende encontrar

elementos que complementen la construcción de un modelo de cultura de
seguridad de la información que se pueda adaptar a la realidad peruana, con
posibles modificaciones o actualizaciones. Las relaciones de nivel 1 que establece
da Veiga se muestran en la Figura 3.

28
Figura 3.
Framework de Nivel uno de la Cultura de Seguridad de la Información.

Fuente: Da Veiga (2008)

Roessing (2010) establece en el Modelo de Negocio para la Seguridad de la

Información (BMIS, por sus siglas en inglés) relaciones definidas como
interacciones dinámicas, por ejemplo, de acuerdo con la Figura 4, se observa una
relación entre organización y personas al que denomina cultura, una relación
entre tecnología y personas que se denomina factores humanos, y una relación
entre procesos y personas que denomina emergencia; y argumenta que a las
personas no se les puede estudiar como entidades independientes, por el contrario,
el efecto que tiene la información sobre las personas y estas sobre la información
deben abordarse de forma sistémica de acuerdo con las interacciones dinámicas
con el resto de elementos del modelo. Este concepto es útil para la investigación
debido a que la evaluación que se realiza es, cómo el comportamiento de las
personas (miembros de una organización) contextualizados dentro de una cultura
y por medio de las interacciones que se generan con el resto de los elementos del
modelo (procesos, tecnología, organización) afectan la seguridad de los activos de
información, específicamente los de tipo informático.

29
Figura 4.
Modelo de Negocio para la Seguridad de la Información – BMIS.

Fuente: Roessing (2010).

Continuando con la concepción de las personas y su interacción con

elementos de la organización, Guo (2013) afirma que se debe evaluar su
comportamiento y clasificarlos en cuatro tipos de comportamiento, comportamiento
de garantía de seguridad (CGS), comportamiento conforme a la seguridad (CCS),
comportamiento de riesgo de seguridad (CRS) y comportamiento perjudicial para
la seguridad (CPS) que puede estar asociado al nivel de madurez de la cultura de
seguridad de la información.

Por otro lado, el hecho que las personas son el elemento principal que
caracteriza la cultura de seguridad de información en una organización, también es
preciso acotar a qué tipo de amenazas se enfrentan desde el punto de vista de la
seguridad de la información. Las amenazas más comunes son las asociadas a
técnicas de ingeniería social, en las que incluso las víctimas no perciben el ataque
y tampoco son conscientes de la información que divulgan (sensible o confidencial)
(Mouton F. M., 2013; Mouton, Malan, Kimppa, & Venter, 2015). Además, se han
realizados estudios como los de Acquisti y Grossklags (2003) en las que apoyan la
idea sobre las encuestas que pueden ser insuficientes para determinar o evaluar el
comportamiento de las personas debido a que la declaración en una encuesta
puede ser muy diferente al comportamiento real.

30
 Entonces surge otra idea como complemento a las encuestas para evaluar
el comportamiento de las personas que son parte de una organización, y esta idea
es la de realizar una simulación de ataques de ingeniería social dentro de un
proceso de auditoria con el propósito de verificar el cumplimiento de los controles
de seguridad asociados a las personas (Orgill, Romney, Bailey, & Orgill, 2004;
Bullée, Montoya, Pieters, Junger, & Hartel, 2015). El concepto de ingeniería social
válido para el contexto de la investigación es la que se desprende del ámbito de la
ciberseguridad que en términos de Mitinick y Simon (2002) son ataques basados
en el arte del engaño que utiliza la influencia y la persuasión como principales armas
del ingeniero social convertido en atacante, asimismo, uno de los tipos de ataques
más comunes y efectivos ejecutados aprovechando la interacción hombre-
computadora es el phishing o falsificaciones web (Heartfield & & Loukas, 2015).

También se considera como fundamento teórico los trabajos desarrollados

por organizaciones como ISACA (Information Systems Audit and Control
Association) y la ISO (International Organization for Standardization); entre ellos,
COBIT (Objetivos de Control para Información y Tecnologías Relacionadas) y la
ISO/IEC 27001 respectivamente.

COBIT 5 (2012), presenta en la actualidad un marco de referencia de

gobierno de TI que integra varias herramientas y modelos para el desarrollo de
políticas y mecanismos de buenas prácticas para el control y de TI. Según (Umana,
2015), la integración de Val IT y Risk IT a COBIT 5 cambia el enfoque del marco
hacia la contribución de TI en un negocio exitoso y estable; esto significa que se
dispone de un marco integrado con enfoque holístico, que pretende consolidar las
bases del gobierno de TI y determinar el valor de las tecnologías para las
organizaciones.

Por su parte, la ISO (2016), publica la norma actualizada ISO/IEC 27001 que
incluye 14 objetivos de control referidos a la seguridad de la información y al
despliegue de un Sistema de Gestión de Seguridad de la Información. Entre sus
principales beneficios de esta norma se destaca el cumplimiento con los
requerimientos legales, obtener una ventaja comercial, menores costos, y una
mejor organización (Academy, 2016).

31
 Asimismo, para esta investigación se consideran algunos fundamentos
filosóficos de acuerdo con lo tratado en Teoría del Conocimiento de (Hessen, 1940),
donde establece cinco interrogantes, cuyas respuestas enmarcan la investigación
científica. El criticismo de Kant es el que más se adecua para la generación de
conocimiento; asimismo el racionalismo y el apriorismo son la base del origen del
conocimiento en el contexto de la presente investigación. El objetivismo y la forma
del conocimiento discursivo-racional rigen en forma predominante los estudios que
se vienen desarrollando.

Al considerar un objeto de estudio complejo, en la que las organizaciones

humanas son cambiantes, distintas en planos geográficos diversos, también se
considera la base filosófica promovida por (Morin, 2003; Morin, 2004; Morin, 2006),
sobre los principios de la complejidad. Algunos de los principios que se pueden
aplicar al objeto de estudio son:

• Principio de organización. Para conocer las partes de una cultura

organizacional de seguridad de la información, es preciso comprender el
todo, desde la concepción como una caja negra, hasta la identificación de
sus partes. Asimismo, se puede considerar que al existir cambios en las
instituciones (universidades públicas), por ejemplo, cambios de objetivos,
visión o misión, cambios en la estructura organizacional; se convierten en
una inyección de desorden para el sistema, el cual tendrá que
reorganizarse y generar un nuevo orden para cumplir con su objetivo para
con el sistema que lo contiene.
• El principio holográmico. Cada componente del sistema, a su vez se
puede representar como un sistema que incluye aspectos del sistema
mayor.
• El principio del bucle retroactivo o retroalimentación. El proceso de
retroalimentación de encuentra presente en todos los componentes del
sistema, así como en el propio sistema en general, y esto se explica, por
ejemplo, con la necesidad de información de las salidas, y su evaluación,
para determinar si se tienen que ajustar las entradas o los procesos, y
tomar las acciones correctivas o reforzadoras.

32
 • El principio dialógico. Para la cultura organizacional de seguridad de la
información y la protección de activos informáticos, se puede aplicar el
análisis/síntesis, y el proceso inductivo-deductivo.

Los principales conceptos que se utilizaron en el marco de esta investigación

se definen las variables utilizadas y sus dimensiones que a continuación se
detallan:

1.2.1 Cultura de Seguridad de la Información

Según Roessing (2010), la cultura organizacional de seguridad de la
información es una subcultura de la cultura organizacional que es el factor más
importante quizá para la gestión de la seguridad de los activos de la organización,
y conceptualmente se refiere a la conciencia y comportamiento que tienen los
miembros de una organización frente a los riesgos y la protección de los activos de
la información. Las dimensiones asociadas son:

A. Apropiación.

Es el concepto por la cual las personas deben hacerse cargo de sus

acciones, en el contexto de la protección de la información. Para llegar a este nivel
de conciencia, las personas deben aceptar que la información es tan valiosa como
los activos tangibles de la organización, e incluso de más valor. Alnatheer (2012)
señala tres sentencias que permiten entender la apropiación, las cuales se pueden
resumir en, la responsabilidad de proteger la información organizacional, asumir los
resultados de acciones y decisiones respecto a la seguridad de la información, y
que la seguridad de la información es un aspecto vital dentro de las funciones
laborales de las personas dentro de una organización.

B. Concienciación.

Otro elemento del modelo que propone Alnatheer (2012) es la

concienciación, que implica básicamente que las personas dentro de una
organización sean conscientes de la existencia de amenazas y riesgos potenciales,
asimismo de la importancia del impacto que tiene su rol en el contexto de la
seguridad de la información en la organización. Las personas que sean
conscientes de la necesidad de proteger los datos organizacionales también serán

33
una pieza importante en la monitorización de incidentes de seguridad puesto que
tendrán la predisposición a reportar tales incidentes.

C. Cumplimiento.

El tercer elemento de este modelo propuesto por Alnatheer (2012) es el

cumplimiento, concepto relacionado con la normativa, estándares, políticas y
procedimientos; a su vez se consideran dentro de este concepto, los mecanismos
de auditoria y monitorización que aseguren que el contexto normativo y regulatorio
se cumplan, garantizando que la seguridad de la información en la organización
tenga un nivel formal esperado.

1.2.2 Protección de Activos Informáticos

Son aquellos componentes de hardware (infraestructura tecnológica como
las redes corporativas, servidores, sistemas de almacenamiento, sistemas de
energía, entre otros) y software, incluido la información que es procesada por los
sistemas informáticos (bases de datos, aplicaciones, servicios corporativos, etc.),
que dan valor a la organización.

Las dimensiones se conceptualizan como:

A. Confidencialidad

Whitman y Mattord (2011) definen que la información tiene carácter

confidencial cuando está protegida contra divulgación o exposición a personas o
sistemas no autorizados. La confidencialidad se asegura de que sólo los que tienen
los derechos y privilegios de acceso a la información son capaces de hacerlo.
Cuando las personas o sistemas no autorizados pueden ver la información, la
confidencialidad es violada. Para proteger la confidencialidad de la información, se
puede utilizar una serie de medidas, entre ellas las siguientes:

• Clasificación de la información
• Almacenamiento de documentos seguro
• La aplicación de las políticas de seguridad generales
• Educación de los custodios de la información y usuarios finales

34
 La confidencialidad, como la mayoría de las características de la información,
es interdependiente con otras características y está más estrechamente
relacionada con la privacidad.

B. Integridad

La información tiene integridad cuando es entera, completa, y no corrompida.

La integridad de la información se ve amenazada cuando la información está
expuesta a la corrupción, daño, destrucción, u otra alteración de su estado
auténtico. La integridad de la información es la piedra angular de los sistemas de
información, ya que la información no tiene ningún valor si no es posible verificar su
integridad (Whitman & Mattord, 2011) .

C. Disponibilidad

La disponibilidad permite a los usuarios o personas autorizadas para acceder

a la información sin interferencia u obstrucción y para recibirlo en el formato
requerido. Consideremos, por ejemplo, las bibliotecas de investigación que
requieran una identificación antes de la entrada. Los bibliotecarios proteger el
contenido de la biblioteca de modo que sólo están disponibles a los clientes
autorizados (Whitman & Mattord, 2011).

1.3 Definición de términos básicos

En este apartado se definen algunos términos que frecuentemente se utilizan
en la investigación.

1.3.1 ISCA.
Encuesta de evaluación de la cultura de seguridad de la información.
Instrumento utilizado en el proceso de diagnóstico. Instrumento constituido de 73
preguntas que pueden ser adaptadas a un caso específico.

1.3.2 Activo
Referido a los activos informáticos. Objeto tangible o intangible que tiene
valor para la organización. Activo de información que tiene soporte informático o es
un componente informático.

35
1.3.3 Ingeniería social.
Definido como la aplicación de conductas sociales y acciones que se
aprovechan de las características psicológicas y emocionales de las personas para
conseguir información de un sistema u organización.

1.3.4 Incidente de seguridad.

Es un suceso o evento que se genera contra las políticas de seguridad de la
información que impacta directamente en la confidencialidad, integridad o
disponibilidad de los activos de información. Un incidente de seguridad tiene una
connotación negativa. Puede ser causado por intervención directa de los actores
de amenazas o por deficiencias en los mecanismos de protección de activos.

1.3.5 Ataque.
Es un tipo de amenaza de seguridad que se materializa aprovechando las
vulnerabilidades identificadas en un sistema, causando daño directamente a los
activos de información de una organización. Estos ataques son generados por
actores de amenazas que pueden ser externos o internos.

1.3.6 Amenaza.
Factor negativo de naturaleza externa al activo de información que tiene
probabilidades de convertirse en un ataque o incidente de seguridad.

1.3.7 Vulnerabilidad.
Debilidad o deficiencia del activo de información. Es de naturaleza interna.

1.4 Hipótesis de investigación

1.4.1 Hipótesis general
La cultura de seguridad de la información influye directa y significativamente
en el nivel de protección de los activos informáticos de la Universidad Nacional
Agraria de la Selva.

1.4.2 Hipótesis específicas

a. La concienciación en seguridad de información influye directa y
significativamente en el nivel de protección de los activos informáticos de la
Universidad Nacional Agraria de la Selva.

36
 b. El cumplimiento influye directa y significativamente en el nivel de
protección de los activos informáticos de la Universidad Nacional Agraria de la
Selva.
c. La apropiación influye directa y significativamente en el nivel de
protección de los activos informáticos de la Universidad Nacional Agraria de la
Selva.

1.5 Operacionalización de variables

La investigación presenta dos variables principales que son definidas en esta
sección. En la Tabla 1 se muestra el detalle resultante.

• Variable independiente: cultura de seguridad de información.

• Variable dependiente: protección de los activos informáticos.

37
Tabla 1.
Operacionalización de Variables

Tipo de Nivel de
Variable Dimensión Definición conceptual Definición operacional Indicador Valor
variable medición

Es el concepto por la cual las Referido al grado de

Cumplimiento de personas deben hacerse cumplimiento y respeto por (1) Incipiente
Políticas de cargo de sus acciones, en el las políticas de seguridad Nivel de (2) Desarrollo
Nominal
Seguridad de la contexto de la seguridad de de la información definidas cumplimiento (3) Sostenible
información la información. Alnatheer y comunicadas en la (4) Óptimo
(2012). organización.
Nivel de los usuarios de Nivel de los usuarios de
VI:
Apropiación hacer suyos la hacer suyos la (1) Incipiente
Cultura de
Cualitativa (ownerships) de la responsabilidad de la responsabilidad de la Nivel de (2) Desarrollo
seguridad de Nominal
seguridad de la seguridad de la información seguridad de la apropiación (3) Sostenible
información
información. de la organización. Alnatheer información de la (4) Óptimo
(2012). organización.
Alnatheer (2012)
Nivel de reflexión y (1) Incipiente
Concienciación Nivel de reflexión y
conciencia de los usuarios Nivel de (2) Desarrollo
en seguridad de la conciencia de los usuarios Nominal
respecto a la seguridad de concienciación (3) Sostenible
información respecto a la seguridad de la
la información. (4) Óptimo
información.
La disponibilidad permite a
VD: (1) Muy bajo
los usuarios o personas Los activos informáticos
Protección de Nivel de (2) Bajo
Cualitativa Disponibilidad autorizadas para acceder a la están disponibles cuando Nominal
activos disponibilidad (3) Medio
información sin interferencia los usuarios lo requieran.
informáticos (4) Alto
u obstrucción y para recibirlo

38
 Tipo de Nivel de
Variable Dimensión Definición conceptual Definición operacional Indicador Valor
variable medición

en el formato requerido.
(Whitman & Mattord, 2011).
La información tiene
integridad cuando es entera,
completa, y no corrompida.
La integridad de la
Los activos de información (1) Muy bajo
información se ve
no sufren alteraciones o Nivel de (2) Bajo
Integridad amenazada cuando la Nominal
modificaciones por integridad (3) Medio
información está expuesta a
usuarios no autorizados. (4) Alto
la corrupción, daño,
destrucción, u otra alteración
de su estado auténtico.
(Whitman & Mattord, 2011).
La información tiene carácter
confidencial cuando está
protegida contra divulgación
o exposición a personas o
(1) Muy bajo
sistemas no autorizados. La Los activos informáticos
Nivel de (2) Bajo
Confidencialidad confidencialidad se asegura son accesibles para los Nominal
confidencialidad (3) Medio
de que sólo los que tienen los usuarios autorizados.
(4) Alto
derechos y privilegios de
acceso a la información son
capaces de hacerlo.
(Whitman & Mattord, 2011).

Fuente: elaboración propia

39
 CAPÍTULO II
DISEÑO METODOLÓGICO

2.1 Tipo y nivel de investigación

El tipo de investigación es aplicada porque estuvo orientada a cubrir
problemas específicos y reconocidos con la aplicación del conocimiento científico y
sus medios como las metodologías y tecnologías (CONCYTEC, 2018); y el nivel
corresponde a descriptivo correlacional explicativo (Hernández Sampieri,
Fernández Collado, & Baptista Lucio, 2014), porque se buscó describir y explicar
cómo las dimensiones de la cultura de seguridad de información afectan o influyen
(correlación) en las acciones que se toman en favor del nivel de protección de
activos informáticos; asimismo, por medio del análisis del proceso de diagnóstico
de la cultura de seguridad de la información que se formuló un modelo de cultura
de seguridad de la información. Asimismo, se determinó cuál es la influencia o
efecto de las posibles acciones sobre la cultura de seguridad hacia el nivel de
protección de activos informáticos.

2.2 Métodos de investigación

Algunos de los métodos utilizados fueron, el método sistémico porque
considera los elementos del objeto de estudio y la relación existente entre sus
componentes (Espinoza Montes, 2014); además, se consideró los métodos
específicos de análisis y síntesis, debido a que se hizo uso del análisis basado en
la descomposición conceptual de la cultura de seguridad de información en sus
dimensiones como son la concienciación, cumplimiento y apropiación, con el fin de
40
sintetizar para comprender la complejidad del sistema y su relación con la
protección de activos informáticos también explicado en sus dimensiones de
confidencialidad, integridad y disponibilidad.
El método deductivo estuvo presente en el proceso de investigación porque
a partir del análisis de las dimensiones de cada variable (particular), este condujo
al análisis de la variable global (general), del mismo modo, al observar casos
particulares en la aplicación de técnicas de ingeniería social se generalizaron
algunos aspectos del comportamiento de los usuarios internos del caso de estudio.
También se utilizó el método inductivo, reflejándose en el proceso de revisión
bibliográfica y teórica sobre los aspectos de la cultura de seguridad de información
para explicar el comportamiento de los usuarios internos de la universidad en
estudio como caso particular.

2.3 Diseño de la investigación

El diseño de investigación que se aplicó es no experimental y transversal
debido a que se tomó datos de la variable independiente en un momento del tiempo
y se realizaron mediciones sobre la variable dependiente (Hernández Sampieri,
Fernández Collado, & Baptista Lucio, 2014).
Para la toma de datos de la variable independiente (cultura de seguridad de
información) se utilizó el instrumento de encuesta denominado ISCA, que se
compone de preguntas dicotómicas y enunciados con escala de Likert. La encuesta
fue aplicada a 79 usuarios entre trabajadores administrativos y docentes cuya
característica principal es el uso de dispositivos computacionales conectados a la
plataforma tecnológica de la universidad para el desarrollo de sus actividades
laborales. Como complemento para el proceso de diagnóstico se ejecutaron
técnicas de ingeniería social y se contrastaron con los resultados de la encuesta.
Para el caso de la variable dependiente (protección de activos informáticos)
se recurrió a los registros históricos sobre la cantidad de incidentes de seguridad
durante el periodo de los años 2018, 2019 y 2020. Los datos fueron clasificados de
acuerdo con el impacto que causan a las dimensiones de la variable, y el análisis
si estos incidentes pueden ser causados por el comportamiento de los usuarios
internos de la universidad.

41
2.4 Población y muestra
2.4.1 Población 1:
La población para la investigación correspondiente a la variable dependiente
estuvo compuesta por el total de grupos de activos de información de la universidad
(ver Tabla 2), que son un total de 97 activos de información, categorizados en 7
grupos de activos:

• Procesos institucionales (03 activos)

• Datos e Información (26 activos)

• Sistemas y software (32 activos)

• Infraestructura de TI y Hardware (11 activos)

• Equipamiento auxiliar (06 activos)

• Personal (13 activos)

• Infraestructura Física (06 activos)

Tabla 2.
Activos de información de la Universidad Nacional Agraria de la Selva.

Grupo de Activos Activo

[PI] [PI01] Procesos estratégicos

Procesos [PI02] Procesos misionales
Institucionales [PI03] Procesos de soporte institucional
[DI01] Base de datos de aplicaciones web
[DI02] Base de datos de páginas web
[DI03] Bases de datos administrativa
[DI04] Código fuente de aplicaciones
[DI05] Copias de respaldo de sistemas de TI
[DI06] Correo electrónico corporativo
[DI]
[DI07] Credenciales de acceso a los sistemas informáticos
Datos e
[DI08] Datos de configuración de sistemas de TI
información
[DI09] Directorio institucional
[DI10] Documentos estratégicos
[DI11] Documentos normativos académicos
[DI12] Documentos normativos administrativos
[DI13] Documentos normativos de investigación
[DI14] Documentos operativos

42
 Grupo de Activos Activo

[DI15] Información académica (datos de alumnos, docentes,

calificaciones, actas, carga académica)
[DI16] Información de página web institucional
[DI17] Información de transparencia institucional
[DI18] Información financiera
[DI19] Legajo de personal
[DI20] Otros documentos administrativos
[DI21] Producción intelectual y patentes
[DI22] Registro académico de estudiante
[DI23] Registro de actividad
[DI24] Resoluciones institucionales
[DI25] Transacciones bancarias
[DI26] Informes, planes y proyectos
[SI01] Directorio Activo
[SI02] Antivirus corporativo
[SI03] Internet corporativo
[SI04] Internet Speedy
[SI05] Intranet biblioteca – BOOK
[SI06] Modulo administrativo
[SI07] Páginas web
[SI08] Revista de Investigación (RevIA)
[SI09] Seguridad perimetral (Proxy/Firewall)
[SI10] Servicio de aplicaciones
[SI11] Servicio de Base de Datos
[SI12] Servicio de transferencia de Archivos
[SI] [SI13] Servicio web
Sistemas y software [SI14] Sistema de aula virtual
[SI15] Sistema de Centro de Idiomas
[SI16] Sistema de convalidación académica – FIIA
[SI17] Sistema de convalidación académico – Economía
[SI18] Sistema de convalidación académico – FIIS
[SI19] Sistema de escuela de Posgrado – EPG
[SI20] Sistema de gestión académica
[SI21] Sistema de prácticas preprofesionales FIIS
[SI22] Sistema de repositorio digital
[SI23] Sistema de seguimiento a egresados
[SI24] Sistema Integrado de Administración Financiera (SIAF)
[SI25] Sistema Integrado de Gestión Administrativa (SIGA)
[SI26] Sistema operativo de usuario final

43
 Grupo de Activos Activo

[SI27] Sistema operativo para servidores

[SI28] Sistema presupuestal (UNASPOI)
[SI29] Sistema Virtual de Autoevaluación (SVA)
[SI30] Software especializado académico y de investigación
[SI31] Software Inventario Mobiliario Institucional (SIMI)
[SI32] Software utilitario
[IH01] Cableado estructurado
[IH02] Dispositivos periféricos
[IH03] Equipamiento de respaldo
[IH04] Equipo biométrico
[IH] [IH05] Equipos de red
Infraestructura de TI [IH06] PC de escritorio
y Hardware [IH07] PC portátil
[IH08] Red eléctrica
[IH09] Servidor
[IH10] Soportes de información electrónicos
[IH11] Soportes de información no electrónicos
[EA01] Fuentes de alimentación
[EA02] Gabinetes
[EA]
[EA03] Generador eléctrico
Equipamiento
[EA04] Mobiliario
Auxiliar
[EA05] Transformador eléctrico
[EA06] UPS
[PE01] Administrador de aplicaciones
[PE02] Administrador de red
[PE03] Alta dirección
[PE04] Asamblea Universitaria
[PE05] Consejo Universitario
[PE06] Decanos y directores
[PE]
[PE07] Director del CTIC
Personal
[PE08] Personal de limpieza de planta
[PE09] Personal de vigilancia
[PE10] Proveedor de servicio de Internet y telefonía
[PE11] Soporte técnico informático
[PE12] Usuarios finales externos
[PE13] Usuarios finales internos
[IF] [IF01] Campus universitario
Infraestructura física [IF02] Laboratorios de cómputo

44
 Grupo de Activos Activo

[IF03] Laboratorios especializados

[IF04] Modulo universitario
[IF05] Sala de servidores
[IF06] Sedes o locales
Fuente: OTIC-UNAS
2.4.2 Población 2:
La población para la investigación correspondiente a la variable independiente
está conformada por todos los usuarios internos de la universidad (trabajadores
administrativos y docentes), haciendo un total de 493 usuarios (248 docentes, 245
administrativos).

2.4.3 Muestra 1:
Se considera una muestra no probabilistica, tomando como muestra a un total
de 69 activos (ver Tabla 3) correspondiente a tres (03) grupos de activos informáticos
que son los siguientes:

• Datos e Información (26 activos)

• Sistemas y software (32 activos)

• Infraestructura de TI y Hardware (11 activos)

Tabla 3.
Muestra de los Activos de Información: activos informáticos

Grupo de Activos Activo

[DI01] Base de datos de aplicaciones web

[DI02] Base de datos de páginas web
[DI03] Bases de datos administrativa
[DI04] Código fuente de aplicaciones
[DI05] Copias de respaldo de sistemas de TI
[DI]
[DI06] Correo electrónico corporativo
Datos e información
[DI07] Credenciales de acceso a los sistemas informáticos
[DI08] Datos de configuración de sistemas de TI
[DI09] Directorio institucional
[DI10] Documentos estratégicos
[DI11] Documentos normativos académicos

45
 Grupo de Activos Activo

[DI12] Documentos normativos administrativos

[DI13] Documentos normativos de investigación
[DI14] Documentos operativos
[DI15] Información académica (datos de alumnos, docentes,
calificaciones, actas, carga académica)
[DI16] Información de página web institucional
[DI17] Información de transparencia institucional
[DI18] Información financiera
[DI19] Legajo de personal
[DI20] Otros documentos administrativos
[DI21] Producción intelectual y patentes
[DI22] Registro académico de estudiante
[DI23] Registro de actividad
[DI24] Resoluciones institucionales
[DI25] Transacciones bancarias
[DI26] Informes, planes y proyectos
[SI01] Directorio Activo
[SI02] Antivirus corporativo
[SI03] Internet corporativo
[SI04] Internet Speedy
[SI05] Intranet biblioteca – BOOK
[SI06] Modulo administrativo
[SI07] Páginas web
[SI08] Revista de Investigación (RevIA)
[SI09] Seguridad perimetral (Proxy/Firewall)
[SI10] Servicio de aplicaciones
[SI] [SI11] Servicio de Base de Datos
Sistemas y software [SI12] Servicio de transferencia de Archivos
[SI13] Servicio web
[SI14] Sistema de aula virtual
[SI15] Sistema de Centro de Idiomas
[SI16] Sistema de convalidación académica – FIIA
[SI17] Sistema de convalidación académico – Economía
[SI18] Sistema de convalidación académico – FIIS
[SI19] Sistema de escuela de Posgrado – EPG
[SI20] Sistema de gestión académica
[SI21] Sistema de prácticas preprofesionales FIIS
[SI22] Sistema de repositorio digital

46
 Grupo de Activos Activo

[SI23] Sistema de seguimiento a egresados

[SI24] Sistema Integrado de Administración Financiera (SIAF)
[SI25] Sistema Integrado de Gestión Administrativa (SIGA)
[SI26] Sistema operativo de usuario final
[SI27] Sistema operativo para servidores
[SI28] Sistema presupuestal (UNASPOI)
[SI29] Sistema Virtual de Autoevaluación (SVA)
[SI30] Software especializado académico y de investigación
[SI31] Software Inventario Mobiliario Institucional (SIMI)
[SI32] Software utilitario
[IH01] Cableado estructurado
[IH02] Dispositivos periféricos
[IH03] Equipamiento de respaldo
[IH04] Equipo biométrico
[IH] [IH05] Equipos de red
Infraestructura de TI [IH06] PC de escritorio
y Hardware [IH07] PC portátil
[IH08] Red eléctrica
[IH09] Servidor
[IH10] Soportes de información electrónicos
[IH11] Soportes de información no electrónicos

Fuente: Elaboración propia

2.4.4 Muestra 2:
Se considera una muestra no probabilistica, tomando como muestra a un
total de 79 usuarios que corresponden a usuarios administrativos (59) de oficinas
como Recursos Humanos, Dirección de Calidad, Dirección de Coordinacón y
Desarrollo Academico, Dirección de Planificación, Unidad de Abastecimiento,
Unidad de Tesoreria, entre otros; y docentes (20) que utilizan dispositivos de
cómputo conectados a la red corporativa para sus actividades laborales.

2.5 Técnicas e instrumentos de recopilación de datos

Se utilizó el registro histórico de la institución como instrumento para la
recopilación de datos correspondientes a la protección de los activos informáticos
durante el periodo 2018 al año 2020, expresados en términos de la cantidad de

47
incidentes de seguridad informática que afectan a los activos de la muestra
seleccionada.
Se hizo uso del instrumento de diagnóstico ISCA (Evaluación de la Cultura
de Seguridad de la Información, ISCA por sus siglas en inglés) para el diagnóstico
de la cultura de seguridad de información elaborada por Da Veiga (2015).
El instrumento original consta de 73 enunciados que han sido adaptados a
la caso de estudio estando compuesto finalmente por 66 preguntas/enunciados
categorizados para cada dimensión de la variable de cultura de seguridad de
información.
También se consideró la aplicación de las técnicas de ingeniería social
permitieron recopilar datos desde diferentes fuentes como los formularios de
prueba y correo electrónico. Las técnicas de ingenieria social aplicadas fueron el
phishing por correo electrónico y persuación con suplantación de rol. Para recopilar
los datos de la ejecución de estas técnicas se utilizó un formulario en linea.

2.6 Técnicas de procesamiento de datos

Para el procesamiento de datos se utilizó el software IBM SPSS Statistics
con licencia académica y hojas de calculo (MS-Excel con licencia educativa) para
las tabulaciones de datos de la encuesta.
Las hojas de cálculo fueron utilizadas para la tabulación de las encuestas
aplicadas. También se utilizaron para el procesamiento de contabilización
categorización de los incidentes de seguridad del periodo de estudio.
El software IBM SPSS Statistics fue utilizado para el procedimiento de la
contrastación de hipótesis utilizando la prueba de chi cuadrado (X 2)

48
 CAPÍTULO III
CULTURA DE SEGURIDAD DE INFORMACIÓN Y LA PROTECCIÓN DE
ACTIVOS

3.1 Cultura de seguridad de información.

En esta sección se realiza el análisis de la variable independiente cultura de
seguridad de la información considerando la perspectiva del diagnóstico con la
aplicación de una encuesta (ISCA) y la ejecución de algunos ejercicios de técnicas
de ingeniería social (phishing, persuasión con suplantación de roles).

Se analiza las preguntas y enunciados de la encuesta ISCA en el contexto

de las dimensiones de la variable independiente (cumplimiento, apropiación y
concienciación), asimismo cómo algunas técnicas de ingeniería social evidencian
un comportamiento real de los usuarios frente a incidentes de seguridad producto
de ataques hacia las personas.

Para en análisis de los resultados se agrupó las preguntas del cuestionario

por cada dimensión, para la dimensión cumplimiento corresponden 22
preguntas/enunciados, para la dimensión apropiación corresponden 12, y para la
dimensión concienciación corresponden 32 preguntas/enunciados.

Para el análisis de los resultados se ha establecido una escala

correspondiente a cuatro niveles de madurez de la cultura de seguridad de la
información, estos niveles están basados con el enfoque del modelo de madurez
de CMM (Modelo de Madurez de Capacidades). Los niveles considerados son los
mostrados en la Tabla 4.

49
Tabla 4.
Escala para la Medición de la Cultura de Seguridad de Información.

Nivel Denominación Descripción

Las políticas de seguridad de la información son inexistentes
o no están formalmente establecidas.
El comportamiento de los usuarios no presenta evidencia de
01 Incipiente cumplir con las políticas de seguridad de la información.
La inversión en seguridad de la información es insuficiente.
Escaso compromiso de la alta dirección
Comportamiento reactivo.
Políticas definidas, pero no difundidas eficientemente.
02 Desarrollo Casos aislados de comportamiento y aplicación de buenas
prácticas de seguridad de la información.
Comunicaciones de políticas y normativas
El comportamiento en general de los miembros de la
organización frente a la seguridad de la información es
03 Sostenible
favorable evidenciándose un respeto por las políticas y
reglas de seguridad además de adoptar las buenas
prácticas.
El comportamiento y respeto a las políticas de seguridad de
la información por parte de los miembros de la organización
es una adopción en la rutina diaria de las actividades
laborales.
04 Optimo Mejora continua en los procesos organizacionales bajo
aspectos sólidos de seguridad de la información.
Herramientas para el monitoreo y medición de la cultura de
seguridad de la información.
Compromiso de la alta dirección muy elevado.

Fuente: Elaboración propia

3.1.3 Concienciación
Esta dimensión de la cultura de seguridad es la básica sobre la cual se
desarrollan las demás dimensiones, por lo que estar interiorizado y consciente del
significado de la seguridad de la información en un contexto organizacional es el
principio elemental para el comportamiento esperado por parte de los usuarios, y

50
esto significa también que las dimensiones de apropiación y cumplimiento podrán
fortalecerse si los usuarios en primero lugar tienen un nivel de concienciación
suficiente.

Las preguntas y enunciados correspondientes a esta dimensión son de 32

de las 66 que componen la encuesta ISCA, de las cuales se desprende algunos
puntos para el análisis. Del mismo modo se analizará el resultado de los ejercicios
de ingeniería social ejecutados y su relación con esta dimensión de la cultura de
seguridad.

Para la determinación del nivel de concienciación de la cultura de seguridad

de la información se hace uso de las siguientes escalas:

• Incipiente. Esto significa que los miembros de la organización no

tienen interiorizado la importancia de la seguridad de la información
en el desarrollo de sus actividades laborales. Corresponde a las
respuestas de “totalmente en desacuerdo” y “en desacuerdo” según
el cuestionario de la encuesta.
• Desarrollo. Implica que los miembros de la organización conciben la
importancia de la seguridad de la información, pero no la practican
plenamente. Corresponde a la respuesta de “inseguro” según el
cuestionario de la encuesta.
• Sostenible. Este nivel corresponde cuando los miembros de la
organización adoptan una postura y comportamiento favorable
permanentemente en el desarrollo de sus actividades laborales.
Corresponde a la respuesta de “de acuerdo” según el cuestionario de
la encuesta.
• Optimo. En máximo nivel que representa un nivel de madurez de la
concienciación entre los miembros de la organización que promueven
entre sus compañeros de trabajo las buenas prácticas de la seguridad
de la información. Corresponde a la respuesta de “totalmente de
acuerdo” según el cuestionario de la encuesta

51
Tabla 5.
Nivel de Concienciación en la Universidad Nacional Agraria de la Selva.

ESCALA Puntuación Porcentaje

Incipiente 0 0%
Desarrollo 2057 34%
Sostenible 3313 55%
Optimo 646 11%
TOTAL 6016 100%

Fuente: Elaboración propia.

Considerando la escala definida previamente, se puede observar el

puntuación resultante para la dimensión de concienciación mostrada en la Tabla 5,
de acuerdo con el instrumento de diagnóstico de la cultura de seguridad en su
dimensión de concienciación, la organización del caso de estudio se considera en
un nivel de madurez de la concienciación entre “desarrollo” y “sostenible”, con una
inclinación importante hacia el nivel “sostenible”, lo que significa que los miembros
de la organización adoptan una actitud positiva en relación a la importancia de la
seguridad de la información en sus actividades laborales.

Cuestiones como, programas de capacitación y campañas de concienciación

en seguridad de la información, que contribuyan a fortalecer la comprensión de las
amenazas, vulnerabilidades a las que se exponen los activos de información; o, la
aceptación que la seguridad de la información implica dedicación de parte del
tiempo asignado a las actividades laborales formando parte de las actividades
rutinarias o frecuentes, son consideradas como importantes por los usuarios y
deberían estar incorporados en sus programas de capacitación continua. Sin
embargo, en contraste, la realidad sobre la existencia o frecuencia de estos
programas de capacitación y campañas de concienciación es distinta.

La cantidad de programas de capacitación anual en aspectos de seguridad

de la información dirigidos a los miembros de la organización son escasos o casi
nulos. En otras palabras, los usuarios son conscientes de la importancia de esas
capacitaciones, pero la institución no está respondiendo a la demanda interna.

Por otro lado, a nivel de los usuarios se presentan ciertas acciones que
exigen frecuencia y rutina como los cambios de contraseñas, realizar copias de

52
respaldo, asegurar adecuadamente documentos confidenciales en formato impreso
o electrónico, etc. que se perciben como incomodidades, convirtiéndose en un
punto débil del comportamiento del usuario; por ello el 34% de la madurez de la
cultura se ubique en el nivel de “desarrollo”. Sin embargo, a la luz de los resultados
sobre la percepción de los usuarios que es necesario e importante proteger los
activos de información obtuvieron un puntaje correspondiente al nivel de “óptimo”,
esto se puede interpretar como, los usuarios conciben la importancia de la práctica
de la seguridad de la información y su aplicación en sus respectivas áreas, pero se
evidencia una resistencia a realmente practicarla.

Otro aspecto importante para la concienciación es cómo perciben los

usuarios el comportamiento de sus colegas de trabajo, los funcionarios y la alta
dirección, que para el caso analizado han mostrado resultados en el nivel de
“desarrollo” lo que significa que no están seguros sobre la actitud de los demás
frente a la seguridad de la información.

En la Figura 5 se puede apreciar que la institución está en un proceso de

madurez de la concienciación en el contexto de la cultura de seguridad de la
información robusto, sin embargo, los ejercicios de ingeniería social demuestran
que aun con niveles elevados de concienciación, puede ser suficiente que algunos
miembros de la organización no estén preparados y se conviertan en víctimas de
ataques dirigidas a las personas como son las técnicas de ingeniería social.

53
Figura 5.
Nivel de Concienciación en la Universidad Nacional Agraria de la Selva.

Fuente: Elaboración propia.

Por otro lado, los resultados de los ejercicios de ingeniería social,

específicamente la campaña de phishing ejecutada se obtuvo que 62 usuarios (39%
de 159 usuarios que recibieron el mensaje de correo falsificado) ingresaron datos
a un formulario “malicioso”, y de estos, 23 usuarios (15% del total de usuarios que
recibieron el mensaje de correo) que accedieron al formulario, ingresaron sus
contraseñas.

Como se evidencia, aplicando algunas técnicas de ingeniería social para

obtener datos confidenciales (usuario y contraseña en este caso) de algunos
usuarios puede ser suficiente para acceder al correo electrónico y los sistemas
informáticos, y si al menos uno de ellos tiene altos privilegios como un usuario de
rol funcionario o administrador de los sistemas informáticos, la criticidad de la
exposición de esos datos es muy alta. Los porcentajes resultantes en la encuesta
para este tipo de casos pueden ser relativamente positivas, pero realizando
pruebas del comportamiento real de los usuarios se puede observar un panorama
distinto.

Este comportamiento no seguro de los usuarios facilita la exposición de los

activos informáticos a potenciales incidentes de seguridad como ataques que

54
acceso, exfiltración, daño, destrucción, etc., y en un escenario de ataque real,
puede ser suficiente que solo un usuario sea vulnerado para comprometer a los
activos.

Por lo tanto, se puede concluir que, aunque los niveles de concienciación

sean positivos y atractivos no garantiza que el comportamiento de los usuarios esté
sintonizado con los lineamientos esperados por la organización, no obstante, es la
base para crear y modelar una adecuada cultura de seguridad de información con
perspectivas de fortalecer las otras dos dimensiones de la cultura de seguridad
(cumplimiento y apropiación).

La Figura 6 muestra el efecto de la concienciación en los procesos de

protección de activos (detección, identificación y respuesta de incidentes) que
deben asegurar la confidencialidad, integridad y disponibilidad.

Figura 6.
Efecto de la Concienciación en la detección, identificación y respuesta de
incidentes de seguridad.

Fuente: Elaboración propia.

55
3.1.2 Cumplimiento
Para la dimensión de cumplimiento se han asociado 22 preguntas y
enunciados de las 66 que incluye la encuesta ISCA, y de forma complementaria se
realiza el análisis de los ejercicios de ingeniería social que se relacionan con
aspectos de cumplimiento.

Para la determinación del nivel de cumplimiento de la cultura de seguridad

de la información se hace uso de las siguientes escalas:

• Incipiente. Esto significa que los miembros de la organización no

cumplen con las políticas y reglas de seguridad de la información.
Corresponde a las respuestas de “totalmente en desacuerdo” y “en
desacuerdo” según el cuestionario de la encuesta. Asimismo, se
extiende a la alta dirección y funcionarios que son responsables de
formular, comunicar y hacer cumplir las políticas de seguridad de la
información, que para este nivel se considera inexistente.
• Desarrollo. Corresponde al nivel donde los miembros de la
organización cumplen las políticas y reglas de seguridad de la
información de una manera reactiva. Corresponde a la respuesta de
“inseguro” según el cuestionario de la encuesta. A nivel de la alta
dirección y funcionarios que son responsables de formular, comunicar
y hacer cumplir las políticas de seguridad de información, se
considera la emisión de políticas, pero con un sistema de
comunicación y control insuficiente.
• Sostenible. Este nivel corresponde cuando los miembros de la
organización adoptan una postura y comportamiento cumpliendo las
políticas y reglas de seguridad de la información en el desarrollo de
sus actividades laborales. Corresponde a la respuesta de “de
acuerdo” según el cuestionario de la encuesta.
• Optimo. En máximo nivel que representa un nivel de madurez de
cumplimiento de las políticas y reglas de seguridad de la información
por parte de los miembros de la organización, adoptando buenas
prácticas de la seguridad de la información y respeto natural por las
políticas y reglas respectivas. Corresponde a la respuesta de
“totalmente de acuerdo” según el cuestionario de la encuesta

56
 En la Tabla 6 y en la Figura 7 se muestra el resultado de la medición de la
dimensión de cumplimiento de la cultura de seguridad de la información para la
Universidad Nacional Agraria de la Selva, donde el nivel alcanzado oscila entre
“desarrollo” y “sostenible” con mayor inclinación hacia “desarrollo”.

Tabla 6.
Nivel de Cumplimiento en la Universidad Nacional Agraria de la Selva.

ESCALA Puntuación Porcentaje

Incipiente 0 0%
Desarrollo 2165 58%
Sostenible 1586 42%
Optimo 0 0%
TOTAL 3751 100%

Fuente: Elaboración propia.

Figura 7.
Nivel de Cumplimiento de la Cultura de Seguridad de la Información de la
Universidad Nacional Agraria de la Selva.

Fuente: Elaboración propia.

57
 El principal factor en esta dimensión son las políticas y reglas de seguridad
de la información que determina la institución, además del proceso de la
comunicación y difusión de estas. Los aspectos relevantes como el alcance o nivel
de detalle de las políticas de seguridad de la información, los mecanismos de
distribución de las políticas, la claridad en la formulación de los contenidos de las
políticas debe ser abordado con diligencia con el propósito de no generar mensajes
ambiguos o poco claro.

El resultado de la encuesta evidencia que los usuarios no han leído las

políticas de seguridad ni saben dónde encontrarlas, y esto debido a que las políticas
de seguridad que tiene la universidad son informales y dispersas en diferentes
documentos de gestión de tecnologías de la información como la directiva para el
uso del correo electrónico institucional de la Universidad Nacional Agraria de la
Selva (Resolución Nº 539-2017-CU-R-UNAS), políticas de desarrollo de
aplicaciones y sitios web (Resolución N° 430-2017-R-UNAS), políticas generales
de Tecnologías de Información y Comunicación (Resolución N° 056-2013-R-
UNAS), y el procedimientos para el aseguramiento de la información en el Portal
de Transparencia Institucional (Resolución N° 040-2018-CU-R-UNAS). La Figura 8.
muestra un serio problema de comunicación interna por parte de la institución,
responsable de difundir las reglas de comportamiento y actitudes respecto a la
seguridad de la información que deben estar plasmadas en las políticas como
documento formal y rector de la seguridad de la información.

58
Figura 8.
Conocimiento y Comunicación de Políticas de Seguridad de Información en la
Universidad Nacional Agraria de la Selva.

Fuente: Elaboración propia.

Este escenario también tiene su explicación porque no se tiene

implementado un Sistema de Gestión de la Seguridad de la Información que
organice y articule los mecanismos de formulación, difusión y control de las políticas
de seguridad. Por lo tanto, el hecho de reflejar un nivel de “desarrollo” en la
dimensión de cumplimiento obedece a hechos aislados como el mencionado con
los documentos de gestión de TI, además, existen oficinas (Dirección de
Coordinación y Desarrollo Académico, Dirección de Calidad, Oficina de Innovación,
Oficina de TIC, Dirección de Tesorería y Oficina de Admisión) que cuentan con
personal de formación tecnológica e informática, específicamente bachilleres o
ingenieros de sistemas que es posible asimilen de forma natural condiciones de
seguridad de la información; y esto es muy posible que se esté reflejando en el
resultado de nivel “sostenible”.

En esa línea del nivel “sostenible” una explicación adicional es el hecho que
los usuarios afirman que perciben o creen que ellos y su área mantienen una

59
posición de respeto hacia las prácticas de seguridad de la información y que las
directivas que se hayan establecido a nivel de área u oficina son acatadas, sin
embargo, esa creencia o percepción puede obedecer a la tendencia de satisfacer
las expectativas de sus superiores y evitar conflictos laborales o perturbar la
armonía con el resto de miembros de usuarios.

Por otro lado, se puede observar de acuerdo con la Figura 9 que una
importante proporción de los usuarios (52%) tienen una preferencia por la
comunicación por correo electrónico de los mensajes de seguridad de la
información; por lo que se convierte en un fuerte vector de ataque en las campañas
de phishing por correo electrónico. En la ejecución de las técnicas de ingeniería
social, el phishing fue la técnica utilizada basado en correo electrónico como vector
de ataque.

Un aspecto que contribuye a las dificultades para la detección e identificación

de incidentes es que en promedio un 25% de los usuarios no sabe a quién debe
informar sobre algún incidente de seguridad de la información.

Figura 9.
Preferencias de Flujo de Información sobre Incidentes de Seguridad de
Información.

Fuente: Elaboración propia.

60
Figura 10.
Efecto del Cumplimiento en la Detección e Identificación de Incidentes de
Seguridad.

Fuente: Elaboración propia.

La Figura 10 muestra la relación o el efecto que tiene la dimensión de

cumplimiento para los procesos de protección de activos, y se puede apreciar que
el hecho de tener usuarios que desconocen las políticas de seguridad, además de
los mecanismos de comunicación y difusión interna afectan directamente a los
procesos de protección de activos en sus fases de detección e identificación.

En conclusión, el nivel de cumplimiento en la Universidad Nacional Agraria

de la Selva se establece principalmente en “desarrollo” y se refleja casos aislados
de prácticas relacionadas a la seguridad de la información que se sustenta en los
documentos de gestión de TI y la presencia de personal con perfiles de informática
que están contribuyendo al proceso de desarrollo de la cultura de seguridad de la
información. Aunque es insuficiente para resistir los ataques de técnicas de
ingeniería social.

3.1.3 Apropiación
Como concepto de apropiación se mencionó que es el grado de
responsabilidad que asume cada usuario y su rol como parte de la cultura de
seguridad de la institución. Para esta dimensión se asociaron 12 enunciados de las

61
66 que incluye la encuesta ISCA; y del mismo modo se analiza las técnicas de
ingeniería social aplicadas al caso.

La apropiación se puede considerar como aquel estado de madurez de la

cultura de seguridad de la información que incluye a las otras dos dimensiones
(concienciación y cumplimiento) y para el logro de niveles altos de apropiación, las
bases de concienciación y cumplimiento deben ser sólidas.

Para la determinación del nivel de apropiación de la cultura de seguridad de

la información se hace uso de las siguientes escalas:

• Incipiente. Esto significa que los miembros de la organización no

tienen una actitud responsable en relación con la seguridad de la
información. Corresponde a las respuestas de “totalmente en
desacuerdo” y “en desacuerdo” según el cuestionario de la encuesta.
• Desarrollo. Corresponde al nivel donde los miembros de la
organización se hacen responsables sobre algunas cuestiones
relacionadas con la seguridad de la información, sobre todo aquellas
que no representan un riesgo para su status quo. Corresponde a la
respuesta de “inseguro” según el cuestionario de la encuesta. A nivel
de la alta dirección y funcionarios asumen algunas responsabilidades
principalmente de tipo mandatorio por regulación o normativa.
• Sostenible. Este nivel corresponde cuando los miembros de la
organización adoptan una postura responsable frente a la seguridad
de la información en el desarrollo de sus actividades laborales
rutinarias. Corresponde a la respuesta de “de acuerdo” según el
cuestionario de la encuesta.
• Optimo. Es el máximo nivel que representa la madurez de
apropiación frente a la seguridad de la información por parte de los
miembros de la organización, adoptando y asumiendo actitudes
responsables en cada actividad laboral que implica situaciones de
seguridad de la información. Corresponde a la respuesta de
“totalmente de acuerdo” según el cuestionario de la encuesta. En este
nivel los miembros de la organización contribuyen al entrenamiento y
concienciación de sus compañeros de trabajo, principalmente de los

62
 nuevos trabajadores articulados con una gestión de seguridad de la
información liderada por la alta dirección.

Tabla 7.
Nivel de Apropiación en la Universidad Nacional Agraria de la Selva.

ESCALA Puntuación Porcentaje

Incipiente 0 0%
Desarrollo 1585 67%
Sostenible 788 33%
Óptimo 0 0%
TOTAL 2373 100%
Fuente: Elaboración propia.

De acuerdo con la Tabla 7 y la Figura 11 la Universidad Nacional Agraria de

la Selva se ubica principalmente en un nivel de apropiación equivalente a
“desarrollo” lo que significa que el grado de responsabilidad que asumen los
miembros de la organización no es completamente sólida y constante, y esto debido
a que no se tiene un marco de políticas de seguridad de la información que sea
eficiente, pero sobre todo que sea informado.

Figura 11.
Nivel de Apropiación de la Cultura de Seguridad de la Información de la
Universidad Nacional Agraria de la Selva.

Fuente: elaboración propia.

63
 El hecho que el nivel de la dimensión de concienciación oscila entre
“desarrollo” y “sostenible” es una base prometedora para que la dimensión de
apropiación de la cultura de seguridad de la información se fortalezca y madure.
En contraste, el rol de la alta dirección en el liderazgo que asume es laxo, y no es
suficiente para generar un entorno claro sobre las responsabilidades y actitudes de
todos los miembros de la organización.

Entre otros aspectos positivos se observa que, de una manera individual y

grupal (áreas u oficinas) algunos casos reflejan un conocimiento sobre la
importancia del compromiso y responsabilidad frente a las cuestiones relacionadas
a la seguridad de la información, por ejemplo, el personal técnico de algunas
oficinas como DICDA (Dirección de Coordinación y Desarrollo Académico), DICA
(Dirección de Calidad) y OTIC (Oficina de Tecnologías de la Información y
Comunicación) por iniciativa propia participaron de cursos y entrenamientos en
seguridad informática desde perspectivas defensivas y ofensivas.

Un factor interesante es la posición que los miembros de la organización

tienen respecto a sus compañeros de trabajo, el cual se puede explicar desde dos
perspectivas:

• En cuanto al comportamiento y compromiso, expresan que creen que

pueden y deben adoptar responsablemente un comportamiento
acorde con los lineamientos de las políticas y buenas prácticas de la
seguridad de la información. Sin embargo, esto resulta sencillo de
afirmarlo y recomendarlo, pero ponerlo en práctica puede resultar
distinto.
• En cuanto a las sanciones y “castigos” por infringir las políticas de
seguridad de la información, expresan que creen estar seguros sobre
las consecuencias de estas faltas, pero se muestran inseguros frente
a la aplicación efectiva de sanciones o procesos disciplinarios, porque
finalmente, como se menciona en el punto anterior, saber de la
importancia de la seguridad de la información, saber que las buenas
prácticas y respeto por las políticas, no es suficiente si no se aplican
realmente, y esta aplicación puede verse como una obligación, que
de no hacerlo se exponen a procesos disciplinarios o sanciones, lo

64
 que explica que cumplir o hacerse responsable es una actitud
obligada por temor a las sanciones. Una explicación complementaria
es lo que se afirma sobre el conocer cuáles son las responsabilidades
de los usuarios con respecto a la seguridad de la información, y más
de la mitad indica que no lo sabe tal como muestra la Tabla 8.

Tabla 8.
Conocimiento de las Responsabilidades con respecto a la Seguridad de
Información.

Pregunta / Enunciado Alternativas Resultado

7. Sé cuáles son mis responsabilidades con Si 42%
respecto a la seguridad de la información. No 58%

Fuente: Elaboración propia.

Un aspecto que debe considerarse para la lectura de los resultados se

relaciona con la propia actitud de los usuarios que tiende a brindar una respuesta
favorable de sí mismo frente a las preguntas relacionadas a su propio
comportamiento o entendimiento sobre la seguridad de la información.

En la Figura 12 se muestra el efecto que tiene el sentido de apropiación de

los usuarios en el contexto de la seguridad de la información, expresado en los
procesos de identificación y respuesta frente a incidentes de seguridad. Las
capacidades de identificación y respuesta pueden verse afectadas porque los
profesionales y técnicos de las áreas tecnológicas deberán cargar el peso de los
procesos mencionados sin el apoyo y participación de los usuarios.

65
Figura 12.
Efecto de la Apropiación en la Identificación y Respuesta de Incidentes de
Seguridad.

Fuente: Elaboración propia.

Por otro lado, los ejercicios de ingeniería social demostraron que los usuarios
no asumen responsabilidades ante algún incidente de seguridad que los involucra
directamente. En la técnica de persuasión por suplantación de rol (el “atacante”
asumió el rol de un empleado del área de soporte informático) se obtuvo acceso
físico a la computadora de un usuario que no comprobó la identidad del personal
de soporte, dejando en manos del “atacante” el dispositivo incluyendo la contraseña
de acceso para una supuesta revisión del equipo. Cuando se informó al usuario
que su cuenta de acceso había sido comprometida solo se limitó a realizar el
cambio de la contraseña, sin que esto fuera de mayor preocupación sobre la
información que pudo estar comprometida o las consecuencias producto del
incidente.

3.1.4 Nivel de cultura de seguridad de información

Como síntesis del análisis de resultados de cada dimensión, en la Figura 13
se puede apreciar de forma integral el nivel de cultura de seguridad de la
información en la Universidad Nacional Agraria de la Selva que claramente se

66
puede afirmar que se ubica en el nivel de desarrollo, lo que implica que los
miembros de la organización en forma dispersa adoptan posturas y actitudes
variables frente a la seguridad de la información, como lo explicado en cada
dimensión existen casos aislados a nivel de individuos y a nivel de grupos cuyos
comportamientos son favorables al desarrollo de una cultura de seguridad, y en
contraste, se debe trabajar mucho aun para promover una cultura suficiente que
ayude a mitigar los riesgos a la que se exponen los activos de información (incluye
los activos informáticos). Esta tarea es algo que la institución liderada por la alta
dirección debe priorizar, más aún en una época donde la mayoría de las actividades
se trasladan y tienen un componente tecnológico.

Asimismo, se evidencia un proceso de transición más sólida hacia un nivel

de concienciación que será la base para impulsar las dimensiones de cumplimiento
y apropiación.

Figura 13.
Cultura de Seguridad de la Información de la Universidad Nacional Agraria de la
Selva.

Fuente: Elaboración propia.

67
3.2 Protección de Activos.
En este apartado se analiza el efecto de las dimensiones de la cultura de
seguridad de la información explicadas en la sección anterior hacia la variable de
protección de activos. Se muestra cuáles son los activos informáticos que se ven
afectados en las dimensiones de confidencialidad, integridad y disponibilidad,
producto del comportamiento no deseado de los usuarios en términos de seguridad.
Para este análilsis se muesta la Tabla 9 que contiene datos históricos (periodo
2018 - 2020) de incidentes de seguridad y se establece la posible causa de cada
incidente, del que se desprende los sigientes tipos de incidentes relacionados al
comportamiento de los usuarios:

• Robos de equipos informáticos

• robos o sustracción de información electrónica

• infecciones por virus o malware

• programas crackeados

• Contraseñas expuestas de cuentas de correo electrónico usuarios.

• Contraseñas expuestas de cuentas de usuarios del dominio.

• Dispositivos no autorizados conectados a la Red corporativa

• Phishing por correo electrónico

• Acceso no autorizado redes inalámbricas

• Alteración no autorizada de datos en sistemas informáticos

• Daño de activo por impericia.

Esto representa el 68.75 % de tipos de incidentes reportados que pueden
tener su origen en el comportamiento de los usuarios, y del total de incidentes
reportado en el periodo del año 2018 al 2020, el 83% están asociados a ese
comportamiento.
En los siguientes aparados se realiza un análisis con mayor detalle sobre los
activos informáticos afectados directamente por el comportamiento de las personas
(usuarios).

68
Tabla 9.
Cantidad de Incidentes de Seguridad Informática Reportados.
Tipo de incidente de
seguridad informática
Robos de equipos
informáticos
robos o sustracción de
información electrónica
infecciones por virus o
malware
programas crackeados
pérdidas de datos (causas
físicas)
Contraseñas expuestas de
cuentas de correo electrónico
usuarios.
Contraseñas expuestas de
cuentas de usuarios del
dominio.
Dispositivos no autorizados
conectados a la Red
corporativa
Cantidad de ataques de DoS
Cantidad de Ataques de
Deface de páginas web
Cantidad de
Incidentes 2018-
Posible causa de incidente
2020 reportados o
identificados
Ataque intencionado por parte de
3 personal interno o externo a la
organización
Ataque intencionado por parte de
2 personal interno o externo a la
organización
Sistemas operativos no
actualizados.
Antivirus no actualizado o
72
ausencia de este.
Acceso a sitios web y descargas
de archivos infectados.
Usuarios que instalan y hacen
uso de programas no autorizados
sin licencia.
79
Usuarios instalan programas de
uso laboral sin licencia y
activación pirata.
Causas ambientales o de entorno
13 (temperatura, descargas
eléctricas,
Usuarios que exponen
contraseñas a terceros o
comparten sus credenciales.
12
Contraseñas de baja complejidad,
fáciles de adivinar
Técnicas de ingeniería social.
Usuarios que exponen
contraseñas a terceros o
comparten sus credenciales.
27
Contraseñas de baja complejidad,
fáciles de adivinar.
Técnicas de ingeniería social.
Usuarios que conectan sin
32 autorización dispositivos de red
personales o residenciales.
Mecanismos deficientes de
3
filtrado.
Código de sitio web vulnerable
4
(lado de programación)
69

Tipo de incidente de
seguridad informática
Cantidad de Ataques de
SQLi
Ataques de hombre en el
medio
Phishing por correo
electrónico
Acceso no autorizado redes
inalámbricas
Alteración no autorizada de
datos en sistemas
informáticos
Cantidad de
Incidentes 2018-
Posible causa de incidente
2020 reportados o
identificados
Vulnerabilidades de plataforma
de desarrollo.
Código de sitio web vulnerable
(lado de programación)
3
Vulnerabilidades de plataforma
de desarrollo.
Mecanismos deficientes de
1
filtrado e inspección.
Mecanismos deficientes de
filtrado e inspección.
19 Confianza del usuario en
dominios de origen de correos
desconocidos.
Mecanismos deficientes de
control de acceso.
4
Credenciales y contraseñas de
baja complejidad
Mecanismos deficientes de
control de acceso.
Credenciales y contraseñas de
2
baja complejidad.
Modificación intencionada por
parte de personal interno.

Daño de activo por impericia 22

Total 298

Fuente: elaboración propia.

Para realizar la evaluación de cada dimensión considerada para la variable

Protección de Activos Informáticos se ha considerado una escala de cuatro niveles,
que se describen a continuación:

• Muy Bajo. El nivel menos deseado de la protección de activos.

Asociado a un impacto crítico sobre alguna de las dimensiones de la
variable. Este impacto es causado por incidentes que requieren
atención y manejo con los recursos suficientes e inmediatos. La
cantidad de incidentes críticos puede ser alta.

70
 • Bajo. Asociado a un impacto sobre la dimensión que require atención
y asignación de recursos para su manejo. Este impacto es causado
por una cantidad significativa respecto al total de incidentes de
seguridad.

• Medio. Asociado a un impacto sobre alguna de las dimensiones y que

puede ser manejado facilmente. Este impacto es causado por una
cantidad baja de incidentes de seguridad.

• Alto. La protección de activos es muy buena. Está asociado a un

impacto insignificante sobre las dimensiones por una cantidad mínina
de incidentes de seguridad.

3.2.1 Confidencialidad
La confidencialidad es una de las dimensiones de la protección de activos
donde los ataques o incidentes de seguridad asociados a esta dimensión pueden
ser de las más complicadas de detectar, porque cuando se está llevando a cabo
acciones que “escuchan” u observan el tráfico de la red o acceden al contenido de
los dispositivos (servidores, computadoras y dispositivos de red) prácticamente no
se levantan sospechas porque por lo general, en este tipo de ataques no hay
modificación o alteración de los datos, pero si existe el robo de información,
exfiltración de datos que puede ser más letal para la organización si se trata de
información sensible, confidencial o crítica para los procesos de negocio.

Para analizar esta dimensión, se define la escala de cuatro niveles (Alto,

Medio, Bajo y Muy Bajo), y según lo mostrado por la Tabla 10 y la Figura 14 el nivel
de confidencialidad de la protección de activos de acuerdo con los incidentes de
seguridad registrados se define como principalmente bajo, esto implica que la
exposición de información sensible o confidencial contenida en dispositivos
informáticos es significativa, donde probablemente usuarios no autorizados han
tenido acceso a esa información reservada. Esto se puede evidenciar
principalmente por los tipos de incidentes relacionados a las contraseñas
(exposición de contraseñas de correos electrónicos corporativos y de usuarios del
dominio) y a la sustracción de información por usuarios no autorizados. A esto se
suma, que algunos usuarios no cambian las contraseñas de forma regular y en el

71
peor de los casos mantienen la contraseña por defecto que se asigna al momento
de crear la cuenta de usuario.

Tabla 10.
Nivel de Confidencialidad de la Protección de Activos de la Universidad Nacional
Agraria de la Selva.

Escala Puntuación Porcentaje

(A) Alto 36 16%

(M) Medio 50 22%

(B) Bajo 90 40%

(MB) Muy Bajo 48 21%

TOTAL 224 100%

Fuente: Elaboración propia.

Otro aspecto relativo a la custodia de los dispositivos informáticos es el hurto

de estos equipos con la información que contienen, aunque en número de robos en
el periodo de estudio no ha sido extremadamente significativo, el hecho que algún
dispositivo (computadora, laptop, teléfono) significa un impacto a la
confidencialidad.

Por lo tanto, esto debe tomarse como un indicador de la necesidad de

plantear acciones oportunas desde los niveles directivos para la formulación de las
políticas acorde con estos tipos de incidentes para mitigarlos, asimismo, asignar los
recursos necesarios para la capacitación de los usuarios internos, puesto que las
causas de este resultado están asociadas a incidentes producto del
comportamiento de los usuarios, que aunque, los niveles de concienciación
indiquen que las personas tienen conocimiento de los problemas de seguridad a
los que se enfrentan, no es suficiente, porque las dimensiones de cumplimiento y
apropiación deben desarrollarse aun.

Un factor para considerar es la focalización de los incidentes de seguridad

asociados con la confidencialidad en un grupo de usuarios identificados quienes
presentan la mayor cantidad de faltas u omisiones respecto al cuidado de sus

72
credenciales de acceso, por lo que se convierten en el eslabón más débil de la
cadena.

Figura 14.
Nivel de Confidencialidad de la Protección de Datos de la Universidad Nacional
Agraria de la Selva.

Fuente: Elaboración propia.

Por otro lado, de acuerdo con los ejercicios de ingeniería social ejecutados
se pueden identificar y deducir cuáles son los activos informáticos que son
afectados por estos tipos de ataques que están orientados directamente a las
personas (los usuarios). La encuesta ISCA también provee datos acerca del posible
comportamiento de los usuarios.

En la Tabla 11 se muestra la síntesis del efecto del comportamiento de los

usuarios que afectan la confidencialidad como parte de la cultura de seguridad de
la institución y los tipos de ataques basados en ingeniería social que se pueden
ejecutar.

De los 69 activos informáticos catalogados por la institución, 50 (83.33%)

activos son susceptibles de ser afectados por acciones de los usuarios
(comportamiento), y de estos, 48 activos (69.6% del total de activos) pueden ser
impactados por técnicas de ingeniería de social dirigidos a los usuarios que

73
finalmente tendrán un efecto negativo en la confidencialidad de los activos
informáticos.

Del mismo modo, de acuerdo con los resultados de los niveles de

concienciación, cumplimiento y apropiación son prometedores para la cultura de
seguridad de la información no son totalmente suficientes para mitigar los riesgos
producidos por el comportamiento de las personas a las que se enfrenta el 83% de
activos informáticos de la Universidad Nacional Agraria de la Selva.

Tabla 11.
Comportamiento de los usuarios y tipos de ataque de ingeniería social que
afectan directamente a la confidencialidad.

Comportamiento de los
Grupo de Tipo de ataque de
Activo usuarios que afectan la
Activos ingeniería social
confidencialidad
Exposición de
[DI01] Base de datos de Phishing, Spear
credenciales de acceso
aplicaciones web Phishing
Contraseñas débiles
Exposición de
[DI02] Base de datos de Phishing, Spear
credenciales de acceso
páginas web Phishing
Contraseñas débiles
Exposición de
[DI03] Bases de datos Phishing, Spear
credenciales de acceso
administrativa Phishing
Contraseñas débiles
Copias de código en
dispositivos personales
[DI04] Código fuente de
Copias de código en
aplicaciones
repositorios públicos o
tipo Github
Copias de respaldo en
[DI]
[DI05] Copias de respaldo dispositivos personales.
Datos e
de sistemas de TI Copias de respaldo no
información
cifradas.
Phishing, Spear
Exposición de Phishing
[DI06] Correo electrónico
credenciales de acceso Llamadas
corporativo
Contraseñas débiles telefónicas
(pretexting)
[DI07] Credenciales de Exposición de
Phishing, Spear
acceso a los sistemas credenciales de acceso
Phishing
informáticos Contraseñas débiles
Copias de configuración
[DI08] Datos de
almacenados en
configuración de sistemas
dispositivos personales.
de TI
Copias físicas (impresos)
[DI09] Directorio
No aplica
institucional

74
 Comportamiento de los
Grupo de Tipo de ataque de
Activo usuarios que afectan la
Activos ingeniería social
confidencialidad
[DI10] Documentos
No aplica
estratégicos
[DI11] Documentos
No aplica
normativos académicos
[DI12] Documentos
No aplica
normativos administrativos
[DI13] Documentos
normativos de No aplica
investigación
[DI14] Documentos
No aplica
operativos
[DI15] Información
académica (datos de Exposición pública de Llamadas
alumnos, docentes, datos del sistema telefónicas
calificaciones, actas, carga académico. (pretexting)
académica)
[DI16] Información de
No aplica
página web institucional
[DI17] Información de
No aplica
transparencia institucional
Exposición de
información por
Persuasión
almacenamiento en
[DI18] Información Llamadas
dispositivos personales.
financiera telefónicas
Compartir información
(pretexting)
con terceros no
autorizados.
Exposición de
información en
dispositivos personales
Información no cifrada Persuasión
para su almacenamiento Llamadas
[DI19] Legajo de personal
o transmisión. telefónicas
Acceso no autorizado a (pretexting)
los ambientes de
almacenamiento físico de
legajos
[DI20] Otros documentos
No aplica
administrativos
Exposición de
[DI21] Producción
información en medios no Persuasión
intelectual y patentes
seguros o públicos.
Exposición pública de
[DI22] Registro académico
datos del sistema Persuasión
de estudiante
académico.
[DI23] Registro de Exposición pública de la
Persuasión
actividad información
[DI24] Resoluciones Exposición pública de la
Persuasión
institucionales información (de tratarse

75
 Comportamiento de los
Grupo de Tipo de ataque de
Activo usuarios que afectan la
Activos ingeniería social
confidencialidad
de resoluciones de
carácter confidencial)
Exposición de
información en medios no
[DI25] Transacciones seguros.
Persuasión
bancarias Exposición de
credenciales de acceso
Contraseñas débiles
[DI26] Informes, planes y
No aplica
proyectos
[SI] Exposición de Phishing, Spear
Sistemas y [SI01] Directorio Activo credenciales de acceso Phishing
software Contraseñas débiles Persuasión
Exposición de Phishing, Spear
[SI02] Antivirus
credenciales de acceso Phishing
corporativo
Contraseñas débiles Persuasión
[SI03] Internet corporativo No aplica
[SI04] Internet Speedy No aplica
Exposición de Phishing, Spear
[SI05] Intranet biblioteca –
credenciales de acceso Phishing
BOOK
Contraseñas débiles Persuasión
Exposición de Phishing, Spear
[SI06] Modulo
credenciales de acceso Phishing
administrativo
Contraseñas débiles Persuasión
[SI07] Páginas web No aplica
Exposición de Phishing, Spear
[SI08] Revista de
credenciales de acceso Phishing
Investigación (RevIA)
Contraseñas débiles Persuasión
Exposición de Phishing, Spear
[SI09] Seguridad
credenciales de acceso Phishing
perimetral (Proxy/Firewall)
Contraseñas débiles Persuasión
Exposición de Phishing, Spear
[SI10] Servicio de
credenciales de acceso Phishing
aplicaciones
Contraseñas débiles Persuasión
Exposición de Phishing, Spear
[SI11] Servicio de Base de
credenciales de acceso Phishing
Datos
Contraseñas débiles Persuasión
Exposición de Phishing, Spear
[SI12] Servicio de
credenciales de acceso Phishing
transferencia de Archivos
Contraseñas débiles Persuasión
Exposición de Phishing, Spear
[SI13] Servicio web credenciales de acceso Phishing
Contraseñas débiles Persuasión
Exposición de Phishing, Spear
[SI14] Sistema de aula
credenciales de acceso Phishing
virtual
Contraseñas débiles Persuasión
Exposición de Phishing, Spear
[SI15] Sistema de Centro
credenciales de acceso Phishing
de Idiomas
Contraseñas débiles Persuasión

76

Grupo de
Activo
Activos
[SI16] Sistema de
convalidación académica
– FIIA
[SI17] Sistema de
convalidación académico
– Economía
[SI18] Sistema de
convalidación académico
– FIIS
[SI19] Sistema de escuela
de Posgrado – EPG
[SI20] Sistema de gestión
académica
[SI21] Sistema de
prácticas preprofesionales
FIIS
[SI22] Sistema de
repositorio digital
[SI23] Sistema de
seguimiento a egresados
[SI24] Sistema Integrado
de Administración
Financiera (SIAF)
[SI25] Sistema Integrado
de Gestión Administrativa
(SIGA)
[SI26] Sistema operativo
de usuario final
[SI27] Sistema operativo
para servidores
[SI28] Sistema
presupuestal (UNASPOI)
[SI29] Sistema Virtual de
Autoevaluación (SVA)
[SI30] Software
especializado académico
y de investigación
[SI31] Software Inventario
Mobiliario Institucional
(SIMI)
[SI32] Software utilitario
[IH01] Cableado
[IH]
estructurado
Comportamiento de los
Tipo de ataque de
usuarios que afectan la
ingeniería social
confidencialidad
Exposición de Phishing, Spear
credenciales de acceso Phishing
Contraseñas débiles Persuasión
Exposición de Phishing, Spear
credenciales de acceso Phishing
Contraseñas débiles Persuasión
Exposición de Phishing, Spear
credenciales de acceso Phishing
Contraseñas débiles Persuasión
Exposición de Phishing, Spear
credenciales de acceso Phishing
Contraseñas débiles Persuasión
Exposición de Phishing, Spear
credenciales de acceso Phishing
Contraseñas débiles Persuasión
Exposición de Phishing, Spear
credenciales de acceso Phishing
Contraseñas débiles Persuasión
Exposición de Phishing, Spear
credenciales de acceso Phishing
Contraseñas débiles Persuasión
Exposición de Phishing, Spear
credenciales de acceso Phishing
Contraseñas débiles Persuasión
Exposición de Phishing, Spear
credenciales de acceso Phishing
Contraseñas débiles Persuasión
Exposición de Phishing, Spear
credenciales de acceso Phishing
Contraseñas débiles Persuasión
Acceso al equipo por
Persuasión
terceros no autorizados
Acceso al equipo por
Persuasión
terceros no autorizados
Exposición de Phishing, Spear
credenciales de acceso Phishing
Contraseñas débiles Persuasión
Exposición de Phishing, Spear
credenciales de acceso Phishing
Contraseñas débiles Persuasión
Exposición de Phishing, Spear
credenciales de acceso Phishing
Contraseñas débiles Persuasión
Exposición de Phishing, Spear
credenciales de acceso Phishing
Contraseñas débiles Persuasión
Uso de software “pirata”
No aplica
77
 Comportamiento de los
Grupo de Tipo de ataque de
Activo usuarios que afectan la
Activos ingeniería social
confidencialidad
Infraestructura [IH02] Dispositivos Acceso al equipo por
Persuasión
de TI y periféricos terceros no autorizados
Hardware [IH03] Equipamiento de Acceso al equipo por
Persuasión
respaldo terceros no autorizados
Acceso al equipo por
[IH04] Equipo biométrico Persuasión
terceros no autorizados
Acceso al equipo por
[IH05] Equipos de red Persuasión
terceros no autorizados
Acceso al equipo por
[IH06] PC de escritorio Persuasión
terceros no autorizados
Acceso al equipo por
[IH07] PC portátil Persuasión
terceros no autorizados
[IH08] Red eléctrica No aplica
Acceso al equipo por
[IH09] Servidor Persuasión
terceros no autorizados
[IH10] Soportes de Acceso por terceros no
Persuasión
información electrónicos autorizados
Acceso no autorizado a
[IH11] Soportes de los ambientes de
información no almacenamiento físico de Persuasión
electrónicos información no
electrónica.

Fuente: elaboración propia.

El comportamiento de los usuarios que afecta a los activos informáticos

dentro del dominio de la confidencialidad está asociado en general a la exposición
de información públicamente sin los mecanismos de protección adecuados y el uso
de credenciales débiles. Sin embargo, aunque un usuario utilice una contraseña
fuerte, si no está entrenado y concienciado, es muy probable que sea víctima de
técnicas de ingeniería social y exponer sus credenciales, tal como se muestra en el
análisis con datos históricos.

Cuando los usuarios utilizan sitios públicos (redes sociales, repositorios

públicos, etc.) para difundir información o exponer datos personales o laborales
ayuda directamente a los potenciales actores de amenaza (atacantes) con
información institucional que se está divulgando por estos medios como direcciones
de correo electrónico, nombres de usuarios, cargos de los usuarios, direcciones
físicas, documentos institucionales, archivos de códigos de aplicaciones, archivos
de configuración, datos sobre la plataforma tecnológica que usa la institución, entre
otros datos que pueden ser utilizados maliciosamente.

78
 En el ejercicio de ingeniería social aplicado denominado phishing se envió
un mensaje (elaborado para persuadir a los usuarios tal como se detalla en el
capítulo de la metodología) por correo electrónico a 159 usuarios. El correo
contenía un enlace hacia un formulario en línea para el ingreso de datos, entre ellos
la contraseña para acceder a su correo electrónico corporativo. De los 62 usuarios
que ingresaron al formulario por medio del enlace del mensaje de correo, 23
usuarios ingresaron su contraseña. El tipo de contraseña utilizado por los usuarios
que compartieron esos datos se puede apreciar que no son de alta complejidad, tal
como se muestra en la Tabla 12. algunas contraseñas están relacionadas con el
nombre de la persona, nombre de la oficina, facultad o institución, número de RUC
o DNI, etc.

Desde la perspectiva de los actores de amenaza, las técnicas de ingeniería

social pueden resultar bastante atractivas puesto que no requieren grandes
recursos tecnológicos, contrario a los ataques dirigidos a las plataformas
tecnológicas en los que puede ser necesario el uso de hardware o software
sofisticado.

Tabla 12.
Contraseñas con Baja Complejidad.

Usuario Contraseña
si***@unas.edu.pe silvia+40440
wi***@unas.edu.pe Agronomi@
di***@unas.edu.pe Wilfredo791881
se***@unas.edu.pe UNAS.18
ro***@unas.edu.pe 42158420

Fuente: Elaboración propia.

3.2.2 Integridad
El análisis concerniente a la dimensión de integridad de la variable protección
de los activos informáticos se hace desde la perspectiva de la cultura de seguridad
en la que se observa el efecto del comportamiento de los usuarios sobre la posible
alteración o modificación de los activos.

Para la dimensión de integridad de manera similar al de confidencialidad se

hace uso de una escala de cuatro niveles (muy bajo, bajo, medio y alto) para la

79
medición del estado de la variable dependiente. De acuerdo con la Tabla 13 y la
Figura 15, el nivel de integridad está en un nivel medio y bajo.

Tabla 13.
Nivel de Integridad de la Protección de Activos de la Universidad Nacional Agraria
de la Selva.

Escala Puntuación Porcentaje

(A) Alto 55 11%

(M) Medio 216 44%

(B) Bajo 216 44%

(MB) Muy Bajo 8 2%

TOTAL 495 100%

Fuente: Elaboración propia.

Figura 15.
Nivel de Integridad de la Protección de Datos de la Universidad Nacional Agraria
de la Selva

Fuente: Elaboración propia.

80
 La explicación principal del resultado de nivel bajo son los tipos de incidentes
de seguridad orientados al uso de software no licenciados, descarga e infección de
malware. Este tipo de incidentes afecta a la integridad de los activos informáticos
como a la plataforma tecnológica donde pueden ocurrir alteraciones de los sistemas
operativos de los dispositivos (el hecho mismo de utilizarse software “crackeado”
impacta directamente con la integridad de los aplicativos) o corromper datos
contenidos o procesados por elementos de software sin licencia legal y acción de
malware. Del mismo modo el daño ocasionado a los activos informáticos por la
alteración no autorizada de datos en sistemas informáticos son uno de los
problemas que afectan la integridad de los activos.

Otro aspecto que refleja el nivel medio de integridad mostrado es y la

impericia de los usuarios en el manejo de los dispositivos computacionales y
aplicativos, por ejemplo, los incidentes reportados como: desconexión de energía
sin esperar a que el dispositivo se apague correctamente, modificar datos
directamente en la base de datos sin utilizar la interfaz de aplicación, modificar las
direcciones IP de los equipos, entre otros. Se debe precisar que la manipulación
por impericia o negligencia se debe también a la falta de instrumentos necesarios
para ejecutar actualizaciones, reconfiguraciones o eliminaciones correctamente.

Otro ejemplo específico, es la existencia en la red de datos institucional

carpetas compartidas donde se almacenan documentos que se utilizan en
actualizaciones de los sistemas informáticos internos como pagos a proveedores,
planillas y pagos, hasta algunos archivos de carácter técnico como los que
contienen cadenas de conexión a bases de datos o de configuración de equipos de
red. En este escenario además de afectar la confidencialidad pueden ser alterados
y ser procesados como información verdadera.

Por otro lado, como resultado de la ejecución del ataque de ingeniería social
por la técnica de persuasión (suplantación de rol) afectó la integridad de la
configuración de la computadora de los usuarios que fueron víctimas. La alteración
fue en la creación de un usuario local en el sistema operativo. Aunque no fue
realizada directamente por el usuario, la técnica aplicada tuvo el objetivo de acceder
al equipo físico del usuario y realizar los cambios mencionados, de tal forma que
con la configuración alterada se aseguraba acceso al equipo con credenciales

81
válidas sin necesidad de ejecutar procedimientos adicionales o que demanden
mayor esfuerzo técnico como explotar alguna vulnerabilidad tecnológica.

En la Tabla 14 se presenta a los activos incluidos en el estudio y cómo estos

se ven afectados por el comportamiento de los usuarios, así como, los posibles
ataques de ingeniería social. Del total de activos que pueden verse afectados por
incidentes de seguridad relacionados al comportamiento de los usuarios, siete de
ellos son susceptibles de ataques basados en técnicas de ingeniería social, lo que
representa el 10% de los activos.

82
Tabla 14.
Comportamiento de los Usuarios y Tipos de Ataque de Ingeniería Social que afectan directamente a la Integridad.

Comportamiento de los usuarios que afectan la Tipo de ataque de ingeniería

integridad social
Grupo de
Activo Manipulación por Descarga de Uso de Persuasión Persuasión
Activos
impericia o programas software pirata Llamadas presencial
negligencia infectados por (crackeados) telefónicas (física)
malware (pretexting)
[DI] [DI01] Base de datos de aplicaciones web X X X
Datos e
[DI02] Base de datos de páginas web X X X
información
[DI03] Bases de datos administrativa X X X

[DI04] Código fuente de aplicaciones X X X

[DI05] Copias de respaldo de sistemas de TI X X

[DI06] Correo electrónico corporativo X

[DI07] Credenciales de acceso a los sistemas X X

informáticos
[DI08] Datos de configuración de sistemas de TI X X

[DI09] Directorio institucional X

[DI10] Documentos estratégicos -

[DI11] Documentos normativos académicos -

[DI12] Documentos normativos administrativos -

[DI13] Documentos normativos de investigación -

[DI14] Documentos operativos -

83
 [DI15] Información académica (datos de X X X
alumnos, docentes, calificaciones, actas, carga
académica)
[DI16] Información de página web institucional X X

[DI17] Información de transparencia institucional X X

[DI18] Información financiera X X

[DI19] Legajo de personal X X

[DI20] Otros documentos administrativos -

[DI21] Producción intelectual y patentes X X

[DI22] Registro académico de estudiante X X

[DI23] Registro de actividad X

[DI24] Resoluciones institucionales -

[DI25] Transacciones bancarias X X

[DI26] Informes, planes y proyectos -

[SI] [SI01] Directorio Activo X

Sistemas y
[SI02] Antivirus corporativo X X
software
[SI03] Internet corporativo X X

[SI04] Internet Speedy X X

[SI05] Intranet biblioteca – BOOK X

[SI06] Modulo administrativo X X

[SI07] Páginas web X X

[SI08] Revista de Investigación (RevIA) X

84
[SI09] Seguridad perimetral (Proxy/Firewall) X X

[SI10] Servicio de aplicaciones X X

[SI11] Servicio de Base de Datos X X

[SI12] Servicio de transferencia de Archivos X X

[SI13] Servicio web X X

[SI14] Sistema de aula virtual X X X

[SI15] Sistema de Centro de Idiomas X X

[SI16] Sistema de convalidación académica – X X

FIIA
[SI17] Sistema de convalidación académico – X X
Economía
[SI18] Sistema de convalidación académico – X X
FIIS
[SI19] Sistema de escuela de Posgrado – EPG X X

[SI20] Sistema de gestión académica X X

[SI21] Sistema de prácticas preprofesionales X X

FIIS
[SI22] Sistema de repositorio digital X X

[SI23] Sistema de seguimiento a egresados X X

[SI24] Sistema Integrado de Administración X X

Financiera (SIAF)
[SI25] Sistema Integrado de Gestión X X
Administrativa (SIGA)
[SI26] Sistema operativo de usuario final X X

[SI27] Sistema operativo para servidores X X

85
 [SI28] Sistema presupuestal (UNASPOI) X X

[SI29] Sistema Virtual de Autoevaluación (SVA) X X

[SI30] Software especializado académico y de X X

investigación
[SI31] Software Inventario Mobiliario Institucional X X
(SIMI)
[SI32] Software utilitario X X

[IH] [IH01] Cableado estructurado X

Infraestructura
[IH02] Dispositivos periféricos X
de TI y
Hardware [IH03] Equipamiento de respaldo X

[IH04] Equipo biométrico X

[IH05] Equipos de red X

[IH06] PC de escritorio X X

[IH07] PC portátil X X

[IH08] Red eléctrica -

[IH09] Servidor X X

[IH10] Soportes de información electrónicos X X

[IH11] Soportes de información no electrónicos X

Fuente: Elaboración propia.

86
3.2.3 Disponibilidad
El comportamiento de los usuarios en el contexto de la cultura de seguridad
de información puede tener un efecto en la dimensión de la disponibilidad de la
protección de los activos informáticos cuando se utilizan y no se da un adecuado
tratamiento quedando inutilizados o no disponibles. Producto de eliminar el activo,
generar errores en la transmisión o comunicación, no respetar las políticas de
seguridad sobre el uso de los activos, y en general no tener conciencia sobre los
aspectos de seguridad de la información, pueden generar una falta de
disponibilidad del activo.

Para la medición y análisis de esta dimensión se usó la misma escala que el

resto de las dimensiones de la variable de protección de activos, y de acuerdo con
la Tabla 15 y Figura 16, el nivel de disponibilidad principalmente se encuentra en el
valor de medio. La explicación de este resultado se encuentra en la cantidad de
incidentes reportados que afectan directamente la disponibilidad significativamente
provienen de fuentes externas (ataques de Denegación de Servicio o ataques de
deface web) mientras que los producidos por comportamiento directo de los
usuarios son de bajo impacto o de rápida solución como son las infecciones
comunes de malware (asumiendo además que no todo tipo de malware afecta a la
disponibilidad) o los daños físicos o lógicos a los activos informáticos por impericia
o negligencia que usualmente el efecto es focalizado en el área o estación de
trabajo del usuario, es decir no se ve afectado toda la infraestructura o servidores,
por el contrario se considera a nivel de cliente.

Tabla 15.
Nivel de Disponibilidad de la Protección de Activos de la Universidad Nacional
Agraria de la Selva.

Escala Puntuación Porcentaje

(A) Alto 2 1%

(M) Medio 150 70%

(B) Bajo 51 24%

(MB) Muy Bajo 12 6%

TOTAL 215 100%

87
Fuente: Elaboración propia.

Figura 16.
Nivel de Disponibilidad de la Protección de Datos de la Universidad Nacional
Agraria de la Selva

Fuente: Elaboración propia.

Respecto a los activos informáticos que se ven afectados por

comportamientos no deseados se consideran al 100% de los activos, debido a que
son susceptibles de ser dañados por impericia o negligencia.

3.3 Modelo de cultura de seguridad de información.

De acuerdo con el análisis del caso de estudio, para mejorar el nivel de
cultura de seguridad de la información en las organizaciones expresado en las
dimensiones de concienciación, cumplimiento y apropiación se deben aplicar y
ejecutar acciones concretas para tal propósito, y para ese objetivo se formula un
modelo de cultura de seguridad de la información como aporte de la investigación.

Este modelo de cultura de seguridad de la información articula las

dimensiones de la protección de activos (confidencialidad, integridad y
disponibilidad) informáticos con los aspectos de la cultura de seguridad
(cumplimiento, apropiación y concienciación) además de incluir otros componentes

88
en el ecosistema de la seguridad como son la gestión de riesgos, la gestión de
incidentes, y el sistema de gestión de seguridad de la información que son
necesario para generar la madurez ordenada y consistente de la cultura de
seguridad de la información.

Este modelo integra el proceso importante correspondiente a la medición de

la cultura de seguridad de la información, que corresponde al diagnóstico. Este
proceso es clave y ha permitido evidenciar el estado de la cultura en una
organización. Como se demuestra en secciones previas, no es suficiente aplicar un
cuestionario de encuesta para determinar los niveles de las dimensiones de la
cultura de seguridad, esta se debe complementar con ejercicios periódicos de
técnicas de ingeniería social.

Para conducir hacia el éxito de la creación y madurez de una cultura de

seguridad de información, se deben considerar tres aspectos fundamentales:

• El apoyo de la alta dirección

• La formulación de políticas de seguridad de la información eficaces,
y
• Capacitación y educación en seguridad de la información

Los dos primeros asociados a la dimensión de cumplimiento y la última a las

dimensiones de concienciación y apropiación.

En la Figura 17 se muestra el modelo propuesto con los componentes que

deben intervenir en el proceso de madurez de una cultura de seguridad de la
información en una organización, entre esos componentes se mencionan al
Sistema de Gestión de Seguridad de la Información, la Gestión de Riesgos y la
Gestión de Incidentes.

89
Figura 17.
Modelo General de Cultura de Seguridad de Información.

Fuente: Elaboración propia.

Como en toda empresa que conduce a la implementación de sistemas de

gestión al igual que la madurez de la cultura de seguridad de la información, el
apoyo de la alta dirección es un factor crítico de éxito. Otros factores críticos de
éxito que también plantea Alnatheer (2015) y que son pertinentes para este caso
son el de formular políticas de seguridad de la información eficaces, acompañado
de capacitación y educación en seguridad de la información.

90
Figura 18.
Propuesta de Proceso de madurez de la Cultura de Seguridad de la Información.

Fuente: Elaboración propia.

Para el proceso de madurez de la cultura de seguridad de la información se

propone adoptar un modelo basado en ADKAR (Awareness, Desire, Knowledge,
Ability, Reinforcement o Conciencia, Deseo, Conocimiento, Habilidad y Refuerzo),
representado por las etapas definidas en la Figura 18, del mismo modo, para la
ejecución, como metodología de refuerzo alinear con el ciclo de Deming (Planificar,
Hacer, Actuar, Verificar) para la mejora continua y asegurar el ciclo reiterativo para
conseguir los niveles deseados de cultura de seguridad de la información.

En los siguientes tres apartados se describen las etapas del proceso de

madurez basado en ADKAR.

3.3.1 Diagnóstico de cultura de seguridad de información.

Este proceso es crítico, y para realizar un diagnóstico adecuado se debe
considerar utilizar de forma complementaria los siguientes instrumentos o técnicas:

• Cuestionario de encuesta ISCA, el cual se puede adaptar a la

organización específica bajo estudio. También se pueden utilizar
cuestionarios elaborados para cada caso, pero deberá realizarse la
validación correspondiente.
• Aplicación de técnicas de ingeniería social.

Como un factor complementario, realizar una recopilación de información

sobre exposición y divulgación de datos institucionales mediante técnicas y
91
herramientas de OSINT (Inteligencia de Fuentes Abiertas). Por lo general mucha
de la información divulgada es producto de la exposición de información que
publican los mismos usuarios internos de la organización, por ejemplo, direcciones
de cuentas de correo, cargos, documentos oficiales que tienen contenido sensible,
datos personales, código fuente de aplicaciones, credenciales, etc. Este proceso
debería realizarse con una frecuencia anual para encontrar las brechas y la
cantidad de información expuesta respecto a periodos previos.

El modelo plantea un proceso de retroalimentación desde cualquier

componente del ecosistema de la cultura de seguridad de la información hacia el
proceso de diagnóstico, lo que ofrecerá una visión y conocimiento del estado de la
cultura, así como una forma de medición de su grado de madurez.

El modelo contempla en el proceso de diagnóstico el uso de técnicas

complementarias, como son los ejercicios de ingeniería social, con las que se
pueda evaluar el comportamiento real de los miembros de la organización, en
contraste con las respuestas que puedan dar en una encuesta, que hasta cierto
punto pueden considerarse subjetivas, debido a los argumentos indicados en el
marco teórico.

Las pruebas de ingeniería social que se pueden considerar como mínimo,

considerando las ejecutadas en el proceso de investigación, son las siguientes:

Phishing por correo electrónico. Elaborar mensajes de correo electrónico

asumiendo roles de funcionarios o personal especialista de áreas claves como
Recursos Humanos, Informática, o áreas similares que administran datos y
credenciales para los sistemas. El mensaje puede contener un enlace “malicioso”,
por ejemplo, que direcciones hacia un formulario para completar datos, entre esos
datos, las credenciales del usuario (de correo electrónico, de dominio de red, de
sistemas informáticos, etc.). El origen del mensaje debería estar asociado a un
dominio similar para engañar a los usuarios, y este dominio puede ser definido
utilizando una herramienta como dnstwister (https://dnstwister.report/ (Wallhead,
2020)) como se observa en la Figura 19. Un ejemplo de mensaje de correo
electrónico se muestra en la Figura 20, en la que se suplanta el rol del administrador
de sitios web de la universidad (el rol de Webmaster) para solicitar por medio de un

92
formulario, algunos datos entre los que destaca la contraseña de su correo
electrónico institucional.

Figura 19.
Reporte dnstwister de dominios disponibles similares al dominio objetivo.

Fuente: (Wallhead, 2020)

Persuasión por suplantación de rol. Técnica que consiste en aparentar el

rol de algún funcionario, directivo o técnico con el fin de persuadir a la víctima a
entregar información o accesos físicos. En palabras de Mitnick (2007) los ataques
de ingeniería social, se utiliza los rasgos que pueden ser de actitud, de
comportamiento, de apariencia, o de la forma de hablar que tiene un rol. Por
ejemplo, en el ejercicio realizado en el caso de estudio el “ingeniero social” suplantó
el rol de un técnico de soporte informático de la institución, y para ejecutar el plan
del ejercicio tuvo que generar un aparente incidente de conectividad de red
inalámbrica, acercándose a la oficina de usuario que presentaba el problema de

93
red; el usuario confió plenamente en el “atacante” otorgándole acceso para
manipular el equipo de cómputo, extrayendo de esta manera, datos de interés como
la dirección MAC, direccionamiento IP, y las credenciales de usuario del dominio.

Figura 20.
Ejemplo de correo electrónico para phishing.

Fuente: Elaboración propia

3.3.2 Programa de concienciación, cumplimiento y responsabilidad.

Muchos de los ataques informáticos inician con la ejecución de algún tipo de
ingeniería, por lo que atender este factor es crítico para la organización, educando
a los usuarios para identificar o detectar un ataque de ingeniería social es una tarea
que incluye aspectos sicológicos Cambiar la forma en que una persona piensa y
cómo se comporta con respecto a la ingeniería social es clave para identificar y
defenderse contra un ataque de ingeniería social (Brent, 2018). En el proceso de
madurez de la cultura de seguridad de la información, por lo tanto, es imprescindible

94
planificar y ejecutar programas de concienciación, cumplimiento y responsabilidad
(apropiación)
Para los programas de concienciación y responsabilidad se sugiere utilizar
como referencia los métodos propuestos por el Instituto Nacional de Ciberseguridad
de España (INCIBE, 2015) y el Instituto SANS (SANS Institute, 2020) de Estados
Unidos, que se resumen en las siguientes consideraciones:
• Charlas sobre concienciación y responsabilidad en seguridad de la
información a todos los nuevos integrantes de la organización dentro de los
programas de inducción, además de charlas semestrales para todos los
usuarios de la institución.
• Boletines físicos y electrónicos mensuales o por periodos pertinentes según
resultados del análisis del diagnóstico, con recomendaciones y casos
prácticos para interiorizar aspectos de seguridad de la información.
• Publicaciones (posters, diagramas, animaciones) por las redes sociales de
la institucional, correo electrónico, en físico, etc.
Para los programas de cumplimiento, el principal insumo debe estar
adecuadamente definido, y es la política de seguridad de la información este
insumo importante. El propósito es mantener a los usuarios informados es contribuir
a un comportamiento afín a las buenas prácticas de seguridad; también puedan
enfrentar situaciones a problemas de seguridad de la información (Li, y otros, 2018).
Lo que se propone incluir en este aspecto es lo siguiente:
• Formular una política sin ambigüedades basado en los activos de
información clasificados, los procesos organizacionales y los objetivos
estratégicos.
• Establecer estrategias de difusión y comunicación de la política de
seguridad para todos los miembros de la organización.

3.3.3 Programa de capacitación técnica

Además de la orientación hacia el aspecto sicológico y de comportamiento
de los usuarios, es necesario complementarlo con aspectos prácticos y técnicos,
como los relacionados al uso de herramientas de seguridad (gestores de
contraseñas, uso de antivirus, manejo de dispositivos portátiles como memorias

95
flash USB, discos externos, entre otros), asimismo, capacitar a los usuarios en los
procedimientos de identificación y reporte de incidentes de seguridad.
Un aspecto importante en el fortalecimiento de capacidades y competencias
sobre seguridad de la información es la orientada a los profesionales y técnicos de
tecnologías de la información (TI), que en muchos casos no han tenido una
formación previa en aspectos de seguridad de la información, por lo que el efecto
negativo puede ser mayor con este tipo de usuarios frente a los activos informáticos
de la organización, por lo que se deben considerar programas de capacitación
diferenciados para el personal de TI.

3.3.4 Gestión de riesgos.

Para el componente de la gestión de riesgos se disponen de diversos
frameworks y guías, entre las que destacan las desarrolladas por ISACA dentro de
COBIT como Cobit5 for Risk (ISACA, 2013) o el estándar para la gestión de riesgos,
la ISO/IEC 27005. Este proceso de gestión de riesgos debe facilitar la identificación
de los riesgos asociados al comportamiento de los usuarios o escenarios que
pueden conducir a una respuesta no deseada por parte de estos, posteriormente
se deberá formular estrategias de tratamiento de esos riesgos. Por ejemplo, las
amenazas de phishing utilizando vectores de ataque como el correo electrónico son
comunes y frecuentes y se ha demostrado que es suficiente que unos pocos
usuarios sean víctimas y el ataque se concrete para comprometer algún activo de
información, ante este escenario, establecer una estrategia para mitigar el riesgo
que representa los usuarios que no tienen las capacidades suficientes para
identificar y responder a estos tipos de ataques se hace crítico; proveer de
conocimiento y herramientas (de ser necesario) con campañas de concienciación,
entrenamiento técnico y formulación de directivas adecuadas. Esta es una forma
de mitigar el riesgo.

3.3.5 Gestión de incidentes.

En el ecosistema del modelo para la cultura de seguridad de la información,
el componente de la gestión de incidentes se convierte en una pieza clave
principalmente durante y despues de un incidente de seguridad. Considar los
mencanismos para responder ante un incidente de seguridad en curso es

96
importante para reducir o contener los daños que pueda causar.
Para este propósito se disponen de diversas guías o metodologías que
ayudan a estructurar y organizar un proceso de gestión de incidentes que se
adecue a las dimensiones y complejidad de la organización, una de esas guías es
el publicado por el Instituto Nacional de Estándares y Tecnología de Estados
Unidos (NIST por sus siglas en inglés) en el documento NIST 800-61rv2 (2012)
correspondiente a la “Guía de manejo de incidentes de seguridad informática” el
cual define cuato etapas para la gestión de incidentes: preparación, detección y
análisis, contención, erradicación y recuperación, y, actividades post-incidente; y
esta última fase es significativa en el sentido de aportar las lecciones aprendidas
que servirán para la retroalimentación para las estrategias que se aplicarán.
En el mismo sentido, se disponen de alternativas similares como el
propuesto por el Instituto SANS en su guía para el manejo de incidentes que
establece seis fases (preparación, identificación, contención, erradicación,
recuperación y reporte) muy similares a las de NIST. Tambien la Agencia de la
Unión Europea para la Seguridad de la Información y Redes (2016) (ENISA por sus
siglas en inglés) establece las etapas de analisis de datos, investigación, propuesta
de acción, ejecutar acción y, erradición y recuperación.
Al presentar una similitud las diferentes guías sobre el manejo de incidentes
se proponen las etapas mostradas en la Figura 21 que resumen la gestión de
incidentes propuesta como parte del ecosistema del modelo de la cultura de
seguridad de la información.

97
Figura 21.
Fases de la Gestión de Incidentes.

Fuente: Elaboración propia

3.3.6 Sistema de Gestión de Seguridad de la Información

En Perú y para el sector público, las instituciones del Estado deben
implementar la Norma Técnica Peruana NTP-ISO/EIC 27001 exigido por
Resolución Ministerial N° 129-2012-PCM. Para el caso de la Universidad Nacional
Agraria de la selva se ha formulado un modelo de Sistema de Gestión de Seguridad
de la Información con implementación incremental de acuerdo a la normativa
vigente en el país. En el modelo planteado se resalta el rol de la alta dirección, la
asignación de funciones y responsabilidades, los insumos (entradas), resultados
(salidas) y la declaración de aplicabilidad como parte del proceso de implementacón
(Marchand-Niño, 2017). En la Figura 22 se muestra el modelo propuesto.

98
Figura 22.
Sistema de Gestión de la Seguridad de la Información.

Fuente: (Marchand-Niño, 2017)

Para el proceso de implementación se sugiere utilizar el ciclo de Deming,

que también se utiliza en los Sistemas de Gestión de Calidad (ISO 9000); y
principalmente exigido en las actuales universidad públicas a nivel nacional, se
hace evidente la necesidad de integrar los diversos sistemas de gestión que
recomiendan los estándares y buenas prácticas, por lo que (Mesquida, Mas,
Amengual, & Cabestrero, 2010) analiza los requisitos de las normas de Gestión de
Calidad (ISO 9001), Gestión de Servicios de TI (ISO 20000) y Gestión de Seguridad
de la Información (ISO 27001), identificando los puntos comunes y no comunes,
con el propósito de plantear una alternativa de alineación o integración de los
sistemas de gestión basadas en las tres normas, planteando que se ha adopte
como base los requisitos de la norma ISO 9001, para ampliarse luego con los
requisitos de la norma ISO/IEC 20000 (servicios de TI) y la ISO/IEC 27001
(seguridad de la información), observándose que el esfuerzo de realizar un
despliegue de las tres normas integradas sería mucho menor que el implantarlas
en forma independiente.

99
3.4 Validación de Hipótesis
Para la contrastación de la hipotesis de investigaición se formularán las
hipotesis estadísticas para las variables de investigación en función a sus
dimensiones.
3.4.1 Hipótesis específica 1.
La primera hipotesis específica de investigación es: “La concienciación
influye directa y significativamente en el nivel de protección de los activos
informáticos de la Universidad Nacional Agraria de la Selva.”
Las hipotesis estadísticas son:

• H0: La concienciación NO influye directa y significativamente en el

nivel de protección de los activos informáticos de la Universidad
Nacional Agraria de la Selva.

• H1: La concienciación influye directa y significativamente en el nivel

de protección de los activos informáticos de la Universidad Nacional
Agraria de la Selva.
Para la dimensión de concienciación de la variable cultura de seguridad de
información se tomaron los datos a partir de la aplicación del instrumento de
diagnóstico ISCA y bajo la ponderación con los datos de la cantidad de incidentes
de seguridad categorizados pertenecientes a la confidencialidad de activos
informáticos se obtiene los valores de la Tabla 16, donde se observa que para la
confidencialidad tiende a tomar valores de Medio y Alto cuando el nivel de
concienciación se encuentra en el nivel Óptimo.
Tabla 16.
Tabla cruzada Concienciación*Confidencialidad

% del total

Confidencialidad
Total
Bajo Medio Alto

Sostenible 16,2% 16,2%

Concienciación
Óptimo 22,2% 40,4% 21,2% 83,8%

Total 38,4% 40,4% 21,2% 100,0%

Fuente: Elaboración propia.

100
Tabla 17.
Prueba de chi-cuadrado de Concienciación*Confidencialidad

Significación
Valor gl asintótica
(bilateral)
a
Chi-cuadrado de Pearson 30,635 2 ,000
Razón de verosimilitud 35,856 2 ,000
Asociación lineal por lineal 22,879 1 ,000
N de casos válidos 99
a. 1 casillas (16,7%) han esperado un recuento menor que 5. El
recuento mínimo esperado es 3,39.

De acuerdo con la Tabla 17 se observa que el valor de significación asintótica

(valor crítico) es 0.000 siendo menor que 0.05; por lo tanto a un nivel de confianza
del 95% se rechaza la hipotesis nula (H0), y se concluye que la concienciación
influye directa y significativamente en el nivel de protección de los activos
informáticos de la Universidad Nacional Agraria de la Selva.

3.4.2 Hipótesis específica 2.

La segunda hipotesis específica de investigación es: “El cumplimiento influye
directa y significativamente en el nivel de protección de los activos informáticos de
la Universidad Nacional Agraria de la Selva”.
Las hipotesis estadísticas son:

• H0: El cumplimiento NO influye directa y significativamente en el nivel

de protección de los activos informáticos de la Universidad Nacional
Agraria de la Selva

• H1: El cumplimiento influye directa y significativamente en el nivel de

protección de los activos informáticos de la Universidad Nacional
Agraria de la Selva
Para la dimensión de cumplimiento de la variable cultura de seguridad de
información se tomaron los datos a partir de la aplicación del instrumento de
diagnóstico ISCA y bajo la ponderación con los datos de la cantidad de incidentes
de seguridad categorizados pertenecientes a la integridad de activos informáticos
se obtienen los valores de la Tabla 18, donde se observa que para la integridad los

101
valores que toma son de bajo y medio cuando el nivel de cumplimiento se ubica en
sostenible, y cuando el cumplimiento tiende a ser óptimo el nivel de integridad se
ubica principalmente en valor de medio y alto.
Tabla 18.
Tabla cruzada Cumplimiento*Integridad

% del total
Integridad
Total
Bajo Medio Alto
Cumplimiento Sostenible 29,3% 35,4% 64,6%
Optimo 9,1% 17,2% 9,1% 35,4%
Total 38,4% 52,5% 9,1% 100,0%

Fuente: Elaboración propia.

Tabla 19.
Prueba de chi-cuadrado de Cumplimiento*Integridad

Significación
Valor gl asintótica
(bilateral)

Chi-cuadrado de Pearson 18,882a 2 ,000

Razón de verosimilitud 21,293 2 ,000

Asociación lineal por lineal 11,824 1 ,001

N de casos válidos 99

a. 1 casillas (16,7%) han esperado un recuento menor que 5. El recuento

mínimo esperado es 3,18.

De acuerdo con la Tabla 19 se observa que el valor de significación asintótica

(valor crítico) es 0.000 siendo menor que 0.05; por lo tanto a un nivel de confianza
del 95% se rechaza la hipotesis nula (H0), y se concluye que el cumplimiento
influye directa y significativamente en el nivel de protección de los activos
informáticos de la Universidad Nacional Agraria de la Selva.

102
3.4.3 Hipótesis específica 3.
La tercera hipotesis específica de investigación es: “La apropiación influye
directa y significativamente en el nivel de protección de los activos informáticos de
la Universidad Nacional Agraria de la Selva”.
Las hipotesis estadísticas son:

• H0: La apropiación NO influye directa y significativamente en el nivel

de protección de los activos informáticos de la Universidad Nacional
Agraria de la Selva

• H1: La apropiación influye directa y significativamente en el nivel de

protección de los activos informáticos de la Universidad Nacional
Agraria de la Selva
Para la contrastación se ha seleccionado la dimensión de disponibilidad
correspondiente a la variable dependiente (protección de activos informáticos). Ver
Tabla 20.
Para la dimensión de apropiación de la variable cultura de seguridad de
información se tomaron los datos a partir de la aplicación del instrumento de
diagnóstico ISCA y bajo la ponderación con los datos de la cantidad de incidentes
de seguridad categorizados pertenecientes a la disponibilidad de activos
informáticos se obtienen los valores de la Tabla 20, donde se observa que para la
dimensión disponibilidad los valores tienden a ser de nivel medio cuando el nivel de
apropiación se ubica en sostenible y óptimo.
Tabla 20.
Tabla cruzada Apropiación*Disponibilidad

% del total

Disponibilidad
Total
Bajo Medio

Desarrollo 9,1% 9,1%

Apropiación Sostenible 22,2% 7,1% 29,3%

Optimo 61,6% 61,6%

Total 22,2% 77,8% 100,0%

Fuente: Elaboración propia.

103
Tabla 21.
Prueba de chi-cuadrado de Apropiación*Disponibilidad

Significación
Valor gl asintótica
(bilateral)
a
Chi-cuadrado de Pearson 68,276 2 ,000
Razón de verosimilitud 72,827 2 ,000
Asociación lineal por lineal 17,916 1 ,000
N de casos válidos 99
a. 1 casillas (16,7%) han esperado un recuento menor que 5. El
recuento mínimo esperado es 2,00.

De acuerdo con la Tabla 21 se observa que el valor de significación asintótica

(valor crítico) es 0.000 siendo menor que 0.05; por lo tanto a un nivel de confianza
del 95% se rechaza la hipotesis nula (H0), y se concluye que la apropiación influye
directa y significativamente en el nivel de protección de los activos informáticos de
la Universidad Nacional Agraria de la Selva.

3.4.4 Hipótesis General

La hipotésis general de investigación está formulada como: “La cultura de
seguridad de la información influye directa y significativamente en el nivel de
protección de los activos informáticos de la Universidad Nacional Agraria de la
Selva”
De acuerdo con los resultados de la contrastación de hipotesis específicas y
por un proceso de inducción se concluye que la hipotesis general de investigación
es aceptada, por lo tanto la cultura de seguridad de la información influye directa
y significativamente en el nivel de protección de los activos informáticos de la
Universidad Nacional Agraria de la Selva.

104
3.5 Discusión de Resultados.
En esta sección se realizará las comparaciones de los resultados de la
investigación con los antecedentes descritos en el capítulo I.

De acuerdo con los resultados obtenidos en la investigación se demuestra

que la cultura de seguridad de información en una organización es relevante para
la protección de activos informáticos, puesto que se ha evidenciado una relación
entre ambas variables. Ante este resultado, se ha planteado un modelo de cultura
de seguridad de la información que incluye además de los componentes de
concienciación, cumplimiento y apropiación, a los procesos de diagnóstico de la
cultura de seguridad de información, gestión de riesgos, gestión de incidentes y el
sistema de gestión de seguridad de la información como parte del ecosistema de la
cultura de seguridad de la información en una organización.

El trabajo en contraste con el planteamiento de modelo de cultura de

seguridad de información realizado por Alnatheer (2012) incorpora en el proceso
de diagnóstico técnicas de ingeniería social y un instrumento de diagnóstico basado
en cuestionario de encuesta denominado ISCA. En esta investigación se plantea
que la cultura de seguridad de información se articule con los demás sistemas que
están involucrados en la seguridad de la información en las organizaciones como
el sistema de gestión de seguridad de la información, los procesos de gestión de
riesgos, y la gestión de incidentes. Asimismo, esta tesis considera tres aspectos
fundamentales para la creación o madurez de una cultura de seguridad de
información, las cuales son: el apoyo de la alta dirección, formular políticas de
seguridad de la información eficaces, acompañado de capacitación y educación en
seguridad de la información; estos tres aspectos forman parte también de los
factores críticos de éxito que define Alnatheer (2015) y los tratados por Tolah
(2019); por lo que implica una confirmación teórica de los aspectos claves de
intervienen en la creación o madurez de una cultura de seguridad de información.

El modelo de cultura de seguridad de información formulado en la

investigación incluye sistemas complementarios como el sistema de gestión de
seguridad de la información (SGSI), la gestión de riesgos y gestión de incidentes
que forman parte del ecosistema de la cultura de seguridad, en contraste con la
perspectiva de Thomson (2007) que propone un modelo que muestra la interacción

105
entre tres grandes componentes para la seguridad de la información (cultura
organizacional, gobierno corporativo y seguridad de la información); esta
comparación toma relevancia en el sentido de observar que el modelo propuesto
por esta tesis incluye los componentes definidos por Thomson pero de una forma
distinta, donde se hace énfasis en la concienciación, cumplimiento y apropiación
que explican el comportamiento de los usuarios y su influencia en la seguridad de
la información representando por la variable de protección de activos informáticos,
por lo tanto, se consideran aspectos de la cultura organizacional, gobierno
corporativo y seguridad de la información. Además, en este estudio se evidencia la
efectividad del diagnóstico en cuyo resultado se observa la relación de los
componentes de la cultura de seguridad con la confidencialidad, integridad y
disponibilidad de los activos.

Como resultado de la aplicación del instrumento de diagnóstico de la cultura

de seguridad de información denominado ISCA desarrollado por Da Veiga (2008;
2010; 2015a), se obtuvieron los valores para los cuatro niveles propuestos que
definen la madurez de la cultura de seguridad. El instrumento de diagnóstico ISCA
consta de 73 enunciados que fueron adaptados al caso de estudio con 66
enunciados aplicables y categorizados en las tres dimensiones definidas para la
variable cultura de seguridad de la información, esta adaptación tiene una
implicancia práctica al corroborar la utilidad y validez del instrumento para el
diagnóstico de la cultura de seguridad de información, no obstante se aplicaron
también algunas técnicas de ingeniería social para evidenciar el comportamiento
de los usuarios, debido a que existe la posibilidad que algunos usuarios pueden
contestar la encuesta de forma subjetiva con fines de quedar bien con sus
superiores inmediatos o para que no se evidencie sus deficiencias de conocimiento
o comportamiento en relación con la seguridad de la información. El proceso de
diagnóstico que plantea la presente investigación debe abarcar tanto el instrumento
basado en encuesta como los ejercicios de ingeniería social.

En relación a los resultados de las dimensiones de la cultura de seguridad

de información, se observa que es importante que las personas tengan
conocimiento de los aspectos relacionados a la seguridad de la información, y como
se muestra en análisis de la dimensión concienciación, el nivel obtenido es
principalmente sostenible, siendo mayor a los niveles de cumplimiento y

106
apropiación (principalmente en el nivel de desarrollo), eso se explica que los
usuarios pueden conocer el significado de la seguridad de la información, pero no
se refleja necesariamente en su comportamiento. Este resultado corrobora lo
mencionado por Furnell y Thomson (2009), y aunque ellos indican que no es
suficiente para asegurar un nivel de cumplimiento deseado, esta tesis plantea que
la utilidad e importancia radica en la afirmación que la concienciación forma parte
de la base del proceso de madurez de una cultura de seguridad de información que
tenga un impacto positivo en la seguridad de los activos de información de la
organización.

En la misma línea de la concienciación, es importante la capacitación y

educación para todos los usuarios internos de la organización, y un tipo de usuario
interno son los profesionales y técnicos de las tecnologías de la información y
comunicación cuyos niveles de concienciación se espera que sean mayores a los
del promedio de usuarios, sin embargo, si en la formación previa a la incorporación
de la organización no fortalecieron esas capacidades y conocimientos es muy
probable que las prácticas de seguridad del personal especializado tenga un efecto
negativo, por lo que en esta investigación se propone que se organicen programas
específicos para la fortalecer las capacidades y competencias del personal de TI
con prácticas andragógicas en la misma línea que Tolstoy (2019), como
complemento al estudio realizado sobre la formación en seguridad de la información
a nivel universitario de Ramió Aguirre (2013) donde detalla las consecuencias de
las deficiencias en este tipo de formación, además, de explorar y analizar la oferta
de las instituciones de educación superior; y también a las consideraciones de
Herkanaidu (2020) de incluir los aspectos culturales propios de las zonas donde
moran los usuarios de la organización.

Sobre la dimensión del cumplimiento, los resultados indican que aunque el

nivel de concienciación puede estar en niveles deseados, se debe considerar los
aspectos relacionados con la utilidad de la adopción de los estándares como la
ISO/IEC 27001 o la Norma Técnica Peruana ISO/IEC 27001 expresados en
sistemas de gestión de seguridad de la información, que además de aspectos
regulatorios principalmente para instituciones del Estado, es posible que existan
deficiencias en su adopción en el sentido de mantener una brecha entre el
cumplimiento normativo o regulatorio como institución y el cumplimiento de las

107
políticas de seguridad por parte de las personas que forman parte de la
organización, es decir, es posible cumplir la norma a nivel de institución, pero se
hace evidente que no se tiene el mismo escenario desde la perspectiva individual
o de grupos, porque el problema suele estar en la forma en la que se ejecutan los
mecanismos de implementación de normas o estándares que por lo general está
basado en documentación dejando de lado la contrastación real y práctica. Además
de implementar un SGSI utilizando el ciclo PDCA como lo manifiesta Sun (2020),
este estudio plantea que el SGSI tenga una fuerte interacción con los elementos de
la cultura de seguridad de la información, la gestión de riesgos y la gestión de
incidentes que finalmente tengan el propósito de proteger los activos de
información.

Por lo tanto, se coincide con lo manifestado por los autores de trabajos

relacionados como Mariño Obregón (2010), Avila Arzuza (2012) y Gomez
Fernandez (2012) que argumentan que falta de capacitación y concienciación del
personal, presupuesto insuficiente o no asignado, deficiencia en el entendimiento
sobre la seguridad de la información por parte de la alta dirección, inadecuada o
deficiente identificación de los activos de información que se puede tener un efecto
no deseado cuando se formulan políticas de seguridad y los mecanismos de
tratamiento de riesgos, y que contar con un SGSI, no significa contar con la máxima
seguridad de la información, sino que simplemente la organización cumple con los
requerimientos y buenas prácticas que establece la norma. Además de mantener
claramente las sanciones frente a infracciones o violaciones a la seguridad tal como
Chen (2019) lo sustenta.

En relación a la dimensión de apropiación, de acuerdo con los resultados,

cuando los niveles de apropiación se ubiquen en sostenible y óptimo, los niveles de
concienciación y cumplimiento deben ser altos (sostenible con tendencia fuerte
hacia óptimo) porque solo la concienciación no es suficiente, se tiene que reflejar
en el comportamiento de cumplimiento y compromiso, y esto ratifica lo argumentado
por Amankwa (2018) y Liu (2020) respecto a lo que ellos denominan cultura de
cumplimiento y compromiso organizacional.

De los principales antecedentes revisados correspondiente a la protección de

activos informáticos o activos de información, estos orientaron sus estudios hacia

108
la implementación de normas y SGSI haciendo énfasis en aspectos tecnológicos y
algunos de gestión y procedimientos tal como lo mencionan en los trabajos de
Alonge (2020), Rodionova (2020) y Rai (2020), sin embargo la presente
investigación de acuerdo con los resultados obtenidos se afirma que la protección
de activos es afectado directamente por el comportamiento de los usuarios, por lo
que dimensiones como la confidencialidad, integridad y disponibilidad pueden verse
impactados manifestándose en incidentes de seguridad, y esto se ve reforzado con
los hallazgos de Walker-Roberts y otros (2019) y Ahmad y otros (2020) donde
manifiestan que el error humano es causa de la mayoría de los incidentes de
seguridad convirtiéndose finalmente también en una oportunidad de aprendizaje y
concienciación para mejorar los procesos de respuesta a incidentes.

La propuesta de implementación del modelo de cultura de seguridad de

información que la presente investigación propone está basada en el modelo
ADKAR, también recomendado por Da Veiga (2018), pero con la diferencia que
esta tesis también recomienda considerar la aplicación del ciclo de mejora continua
de Deming (Planificar, Hacer, Actuar y Verificar) para ayudar a la constante
evolución de la cultura de seguridad de la información.

Finalmente se hace énfasis sobre la cultura de seguridad de la información

para tratarla como un medio para lograr fines como el de la protección de los activos
informáticos, y el aseguramiento de la información de la institución que es utilizada
en los procesos primarios y de apoyo de la institución. Desde la perspectiva
institucional lograr preservar la confidencialidad, integridad y disponibilidad de la
información institucional es un factor crítico de éxito para el logro de los objetivos
estratégicos.

109
Conclusiones
De acuerdo con los problemas y objetivos de investigación se plantean las
siguientes conclusiones:

a. El nivel de concienciación en la Universidad Nacional Agraria de la Selva

se encuentra principalmente en el nivel sostenible (55%), lo que indica un
escenario positivo, reflejándose en el conocimiento relacionado con los aspectos
de la seguridad de la información, pero que no se considera completamente
suficiente para conducir a un nivel de cultura de seguridad de información deseado
con un efecto positivo en la protección de activos informáticos que en el periodo de
estudio alcanza niveles que oscilan entre bajo y medio. La concienciación, no
obstante, constituye la base inicial del proceso de creación y madurez de una
cultura de seguridad de información.
b. El nivel de cumplimiento en la Universidad Nacional Agraria de la Selva
se establece principalmente en desarrollo (58%), lo que se refleja en casos
aislados de prácticas relacionadas a la seguridad de la información que se sustenta
en los documentos de gestión de TI con políticas de seguridad dispersas entre
estos documentos, y la presencia de personal con perfiles de informática están
contribuyendo al proceso de desarrollo de la cultura de seguridad de la información
en la institución, aunque puede ser insuficiente para contribuir eficazmente con la
protección de activos que se encuentran en niveles de medio o bajo en sus
diferentes dimensiones. Estadísticamente se ha demostrado la relación entre la
dimensión de cumplimiento de la cultura de seguridad de la información y la variable
protección de activos informáticos.
c. El nivel de apropiación en la Universidad Nacional Agraria de la Selva se
establece principalmente en desarrollo (67%), lo que indica los miembros de la
organización están en proceso de aceptar las responsabilidades que conlleva su
comportamiento en relación con la seguridad de la información, cabe precisar que
los usuarios tienen una tendencia a transferir la responsabilidad a las áreas técnicas
como es la Oficina de Tecnologías de la Información y Comunicación (OTIC) para
el caso de la universidad. De la misma forma que en los dos casos anteriores, se
ha demostrado estadísticamente la relación entre la dimensión de apropiación de
la cultura de seguridad de la información y la variable protección de activos
informáticos.

110
 d. De manera global se concluye que la cultura de seguridad de la
información influye significativamente en la protección de activos informáticos, y
ante un escenario de mejora y madurez de la cultura de seguridad de la información,
la protección de activos será más eficaz, y eso se deberá evidenciar en la cantidad
de incidentes de seguridad que están relacionados con el comportamiento de las
personas que son miembros de la organización.
e. El modelo de cultura de seguridad de la información propuesto es
producto de una revisión bibliográfica importante y la observación del caso de
estudio que por un proceso deductivo se generaliza a una representación como un
ecosistema que incluye subsistemas y procesos que siendo articulados
adecuadamente contribuyen a una madurez de la cultura de seguridad en una
organización. Los componentes principales son el sistema de gestión de seguridad
de la información (SGSI), la gestión de riesgos, la gestión de incidentes y el
diagnóstico de la cultura de seguridad de la información basada en instrumentos
tipo encuesta y la aplicación de técnicas de ingeniería social.

111
Recomendaciones
a. Organizar programas de concienciación y capacitación técnica para el
fortalecimiento de los conocimiento y capacidades de los miembros de la
organización, diferenciando los tipos de usuarios internos (usuarios profesionales y
técnicos de TI, usuarios directivos, usuarios operadores, etc.).
b. La adopción de estándares o normas debe ser integral, comunicada
efectivamente y orientada a las personas, de tal forma que el cumplimiento
documental también se refleje en el comportamiento de los miembros de la
organización.
c. Desarrollar estudios más profundos sobre los procesos de madurez de la
cultura de seguridad de la información y cuál es su efecto sobre otras variables de
la organización como el gobierno de TI y la gestión institucional, fijando niveles de
responsabilidad sobre el comportamiento que los miembros de la organización
deben asumir, acompañado de programas de capacitación y comunicación
eficientes.
d. La ejecución de técnicas de ingeniería social como un instrumento útil
para corroborar el comportamiento real de los usuarios internos de la organización
como complemento a la aplicación del instrumento de diagnóstico de la cultura de
seguridad de la información. También realizar un proceso de reconocimiento
(recopilación de información) basado en técnicas de OSINT (Inteligencia de
Fuentes Abiertas) de tal forma que se tenga un panorama de el volumen y tipo de
información institucional que los miembros de la organización hayan expuesto en
el Internet.

112
 Referencias bibliográficas.

Academy, 2. (2016). 27001 Academy. Obtenido de ¿Qué es norma ISO 27001?:

http://advisera.com/27001academy/es/que-es-iso-27001/
Acquisti, A., & Grossklags, J. (2003). Losses , Gains , and Hyperbolic Discounting
: An Experimental Approach to Information Security Attitudes and Behavior.
In 2nd Annual Workshop on “Economics and Information Security”, (págs.
1–27).
Ahmad, A., Desouza, K. C., Maynard, S. B., Naseer, H., & Baskerville, R. L.
(2020). How integration of cyber security management and incident
response enables organizational learning. Journal of the Association for
Information Science and Technology, 939–953.
doi:https://doi.org/10.1002/asi.24311
AlHogail, A. (2015). Design and validation of information security culture
framework. Computers in Human Behavior, 49, 567-575.
doi:https://doi.org/10.1016/j.chb.2015.03.054
Alnatheer, M. A. (2012). Understanding and Measuring Information Security
Culture in Developing Countries: Case of Saudi Arabia. Brisbane,
Queensland, Australia.
Alnatheer, M. A. (2015). Information Security Culture Critical Success Factors. En
IEEE (Ed.), 12th International Conference on Information Technology - New
Generations, (págs. 731 - 735). Las Vegas, NV.
Alonge, C. Y., Arogundade, O. T., Adesemowo, K., Ibrahalu, F. T., Adeniran, O. J.,
& Mustapha, A. M. (2020). Information Asset Classification and Labelling
Model Using Fuzzy Approach for Effective Security Risk Assessment. 020
International Conference in Mathematics, Computer Engineering and
Computer Science, ICMCECS 2020. Ayobo, Ipaja, Lagos, Nigeria: IEEE.
doi:https://doi.org/10.1109/ICMCECS47690.2020.240911
Al-Qahtani, B. J. (2010). Improving safety behavior using Adkar model. Society of
Petroleum Engineers - SPE Middle East Health, Safety, Security and
Environment Conference and Exhibition 2010 (págs. 135–140). Manama,
Baréin: SPE International. doi:https://doi.org/10.2118/136500-ms
Amankwa, E., Loock, M., & Kritzinger, E. (2018). Establishing information security
policy compliance culture in organizations. Information and Computer
Security, 26(4), 420–436. doi:https://doi.org/10.1108/ICS-09-2017-0063
Astakhova, L. V. (2015). Information security: Risks related to the cultural capital
of personnel. Scientific and Technical Information Processing, 15, 41-52.
Avila Arzuza, M. (2012). Implantación de un Sistema de Gestión de Seguridad de
la Información. Barcelona, España.

113
Avnet, M. (2015). A network-based approach to organizational culture and learning
in system safety. Procedia Computer Science, 44, 588-598.
Bowen, P., Hash, J., & Wilson, M. (2006). Information Security Handbook: A Guide
for Managers NIST Special Publication 800-100. USA: Institute of
Standards and Technology. Obtenido de
https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-
100.pdf
Brent, W. (Octubre de 2018). Introducing cyber security by designing mock social
engineering attacks. J. Comput. Sci. Coll, 34(1), 235–241.
Bullée, J. W., Montoya, L., Pieters, W., Junger, M., & Hartel, P. H. (2015). The
persuasion and security awareness experiment: reducing the success of
social engineering attacks. Journal of Experimental Criminology, 11(1), 97–
115. doi:https://doi.org/10.1007/s11292-014-9222-7
Change Activation. (2017). Simple Guide to Change Management Models. Better
Business Learning Pty Ltd.
Chen, L., Zhen, J., Dong, K., & Xie, Z. (2019). Effects of sanction on the mentality
of information security policy compliance. Revista Argentina de Clinica
Psicologica, 29(1), 39–49. doi:https://doi.org/10.24205/03276716.2020.6
Cisco Systems Inc. (2018). Cisco 2018. Reporte Anual de Ciberseguridad.
doi:https://doi.org/10.3726/978-3-0352-0094-2/1
CONCYTEC. (2018). Reglamento De Calificación, Clasificación Y Registro De Los
Investigadores Del Sistema Nacional De Ciencia, Tecnología E Innovación
Tecnológica - Reglamento Renacyt. Lima, Lima, Perú: Concytec. Obtenido
de
https://portal.concytec.gob.pe/images/renacyt/reglamento_renacyt_version_
final.pdf
Cújar Vertel, A., Ramos Paternina, C., Hernández Riaño, H., & López Pereira, J.
M. (setiembre de 2013). Cultura organizacional: evolución en la medición.
Estudios Gerenciales , 29(128), 350-355.
Da Veiga, A. (2008). Cultivating and Assessing Information Security Culture.
Pretoria, Sudafrica.
Da Veiga, A. (2016). A cybersecurity culture research philosophy and approach to
develop a valid and reliable measuring instrument. 2016 SAI Computing
Conference, (págs. 1006–1015).
doi:https://doi.org/10.1109/SAI.2016.7556102
Da Veiga, A. (2018). An approach to information security culture change
combining ADKAR and the ISCA questionnaire to aid transition to the
desired culture. Emerald Insigh, 26(5), 584–612.
doi:https://doi.org/10.1108/ICS-08-2017-0056

114
Da Veiga, A., & Eloff, J. H. (2010). A framework and assessment instrument for
information security culture. 29(2), 196–207.
doi:https://doi.org/10.1016/j.cose.2009.09.002
Da Veiga, A., & Martins, N. (2015). Information security culture and information
protection culture : A validated assessment instrument. Computer Law &
Security Review, 1(31), 243–256.
doi:https://doi.org/10.1016/j.clsr.2015.01.005
Da Veiga, A., & Martins, N. (April de 2015a). Information security culture and
information protection culture: A validated assessment instrument.
Computer Law & Security Review, 31(2), 243-256.
Da Veiga, A., & Martins, N. (2015b). Improving the information security culture
through monitoring and implementation actions illustrated through a case
study. Computers and Security, 49, 162–176.
doi:https://doi.org/10.1016/j.cose.2014.12.006
Edwards, J., Davey, J., & Armstrong, K. (2015). Cultural Factors: Understanding
Culture to Design Organisational Structures and Systems to Optimise
Safety. (T. Ahram, W. Karwowski, & D. Schmorro, Edits.) Procedia
Manufacturing, 3, 4991 – 4998.
ENISA. The European Union Agency for Network and Information Security.
(2016). Incident Handling Management Handbook 1.0.
ESET. (2019). ESET SECURITY REPORT Latinoamerica 2019. Obtenido de
https://www.welivesecurity.com/wp-content/uploads/2019/07/ESET-
security-report-LATAM-2019.pdf
Espinoza Montes, C. (2014). Metodología de la investigación tecnológica.
Pensando en sistemas. Huancayo, Huancayo, Perú: Soluciones Gráficas
SAC.
Feng-Quan, L. (2015). Research on the evaluation of information security
management under intuitionisitc fuzzy environment . International Journal of
Security and its Applications, 9(5), 43-54.
Furnell, S., & Thomson, K. L. (2009). From culture to disobedience: Recognising
the varying user acceptance of IT security. Computer Fraud and Security,
2009(2), 5-10. doi:https://doi.org/10.1016/S1361-3723(09)70019-3
Gomez Fernandez, L., & Andres Alvarez, A. (2012). Guia De Aplicacion De La
Norma Une-Iso/Iec 27001 Sobre Seguridad En Sistemas De Informacion
Para Pymes (2da ed.). Barcelona, España: AENOR. Asociacion Española
De Normalizacion Y Certificacion.
Guo, K. H. (2013). Security-related behavior in using information systems in the
workplace: A review and synthesis. Computers and Security, 32(1), 242–
251. doi:https://doi.org/10.1016/j.cose.2012.10.003

115
Heartfield, R., & & Loukas, G. (2015). A Taxonomy of Attacks and a Survey of
Defence Mechanisms for Semantic Social Engineering Attacks. ACM
Comput. Surv, 48(3), 1–39. doi:https://doi.org/10.1145/2835375
Herkanaidu, R., Furnell, S., & Papadaki, M. (2020). Towards a Cross-Cultural
Education Framework for Online Safety Awareness. HAISA 2020. IFIP
Advances in Information and Communication Technology. 593, págs. 47-
57. Mytilene, Lesbos, Greece: Springer, Cham.
doi:https://doi.org/10.1007/978-3-030-57404-8_4
Hernández Sampieri, R., Fernández Collado, C., & Baptista Lucio, P. (2014).
Metodología de la Investigación (Sexta ed.). México: McGRAW-HILL.
Hessen, J. (1940). Teoría del Conocimiento. Mexico: Espasa-Calpe Mexicana.
Hiatt, J. M. (2006). ADKAR: A model for change in business, government and our
community. Loveland, Colorado, USA: Prosci Inc.
INCIBE. (2015). Kit de Concienciación - Manual de implantación. Madrid.
INDECOPI, C. d. (2009). Norma Técnica Peruana NTP-ISO/IEC 27001:2008.
Lima.
ISACA. (2013). Cobit for Risk. IL 60008, USA: Isaca.
ISO. (2005). ISO/IEC 17799 Tecnología de la Información – Técnicas de
seguridad – Código para la práctica de la gestión de la seguridad de la
información. 2da Edición. ISO.
ISO. (2016). iso.org. Obtenido de iso27001:
http://www.iso.org/iso/home/standards/management-
standards/iso27001.htm
ISO/IEC. (2013). ISO 27001:2013. Information technology -- Security techniques --
Information security management systems -- Requirements. ISO.
Recuperado el 20 de Junio de 2015, de
https://www.iso.org/obp/ui/#iso:std:iso-iec:27001:ed-2:v1:en
Kang, M. (2015). Security experts capability design for future internet of things
platform. Journal of Supercomputing, 72(1), 17.
doi:https://doi.org/10.1007/s11227-015-1490-0
Lacatus, M. L. (15 de Abril de 2013). Organizational culture in contemporary
university. (E. Soare, Ed.) Procedia - Social and Behavioral Sciences, 76,
421-425.
Lewin, K. (1947). Frontiers in group dynamics.
Li, L., He, W., Xu, L., Ash, I., Anwar, M., & Yuan, X. (octubre de 2018).
Investigating the impact of cybersecurity policy awareness on employees’
cybersecurity behavior. International Journal of Information Management,
45, 13–24. doi:https://doi.org/10.1016/j.ijinfomgt.2018.10.017

116
Liu, C., Wang, N., & Liang, H. (2020). Motivating information security policy
compliance: The critical role of supervisor-subordinate guanxi and
organizational commitment. International Journal of Information
Management, 54(28). doi:https://doi.org/10.1016/j.ijinfomgt.2020.102152
Marchand-Niño, W. R. (2017). Modelo de un Sistema de Gestión de Seguridad de
Información. Caso : Universidad Nacional Agraria de la Selva. XVII Jornada
Internacional de Seguridad Informática ACIS 2017 (págs. 1-9). Bogotá:
ACIS. Obtenido de
https://www.researchgate.net/publication/318224190_Modelo_de_un_Siste
ma_de_Gestion_de_Seguridad_de_Informacion_Caso_Universidad_Nacio
nal_Agraria_de_la_Selva
Mariño Obregón, A. (2010). Factores inhibidores en la implementación de
sistemas de gestión de la seguridad de la información basado en la NTP-
ISO/IEC 17799 en la administración pública. Lima, Perú: Universidad
Nacional Mayor de San Marcos.
Mesquida, A. L., Mas, A., Amengual, E., & Cabestrero, I. (Noviembre de 2010).
Sistema de Gestión Integrado según las normas ISO 9001, ISO/IEC 20000
e ISO/IEC 27001. REICIS. Revista Española de Innovación, Calidad e
Ingeniería del Software, 25-34.
Ministros, P. d. (2012). Resolución Nº 123-2012-PCM. Lima.
Mitnick, K., & Simon, W. (2007). El Arte de la Intrusión. (A. G. Editor, Ed.) Mexico:
RA-MA.
Mitnick, K., & Simon, W. L. (2002). The Art of Deception. Controlling the Human
Element of Security. (C. Long, Ed.) Indianapolis, Indiana: Wiley Publishing,
Inc.
Monev, V. (2020). Organisational Information Security Maturity Assessment Based
on ISO 27001 and ISO 27002. 2020 IEEE International Conference on
Information Technologies (págs. 1-5). St. Constantine and Elena, Bulgaria:
IEEE. doi:https://doi.org/10.1109/infotech49733.2020.9211066
Morin, E. (2003). Introducción al pensamiento complejo (6ta ed.). Barcelona,
España: GEDISA.
Morin, E. (2004). LA EPISTEMOLOGÍA DE LA COMPLEJIDAD. Gazeta de
Antropología(20), 47-77.
Morin, E. (2006). El Método I. La naturaleza de la naturaleza. Catedra.
Mouton, F. M. (2013). Social engineering from a normative ethics perspective.
2013 Information Security for South Africa. Proceedings of the ISSA 2013
Conference. doi:https://doi.org/10.1109/ISSA.2013.6641064
Mouton, F., Leenen, L., & & Venter, H. S. (2016). Social engineering attack
examples, templates and scenarios. Computers and Security, 59, 186–209.
doi:https://doi.org/10.1016/j.cose.2016.03.004

117
Mouton, F., Malan, M. M., Kimppa, K. K., & Venter, H. S. (2015). Necessity for
ethics in social engineering research. Computers and Security, 55, 114–
127. doi:https://doi.org/10.1016/j.cose.2015.09.001
Nancylia, M. (2014). The measurement design of information security
management system. Telecommunication Systems Services and
Applications (TSSA), 2014 8th International Conference on . Kuta.
NIST. National Institute of Standards and Technology. (2012). Computer Security
Incident Handling Guide 800-61r2.
Ög˘ ütçü, G., Müge Testik, Ö., & Chouseinoglou, O. (Febrero de 2016). Analysis of
personal information security behavior and awareness. Computers &
Security, 56, 83-93.
Orgill, G. L., Romney, G. W., Bailey, M. G., & Orgill, P. M. (2004). The Urgency for
Effective User Privacy-education to Counter Social Engineering Attacks on
Secure Computer Systems. In Proceedings of the 5th conference on
Information technology education, 177–181.
PCI Security Standards Council. (2016). Industria de Tarjetas de Pago (PCI).
Norma de seguridad de datos. Security. Obtenido de
https://es.pcisecuritystandards.org/_onelink_/pcisecurity/en2es/minisite/en/
docs/PCI_DSS_v3-2_es-LA.pdf
Peterson, K. (2015). The Relationship Between Corporate Security and
Information Technology Professionals. En Security Supervision and
Management: Theory and Practice of Asset Protection: Fourth Edition
(págs. 569-579). Elsevier Inc.
Rai, A., Singh, A. S., & Kumar, A. S. (mayo de 2020). A Review of Information
Security: Issues and Techniques. International Journal for Research in
Applied Science & Engineering Technology (IJRASET), 8(5), 953-963.
doi:10.1145/1216218.1216224
Ramió Aguirre, J. (2013). La enseñanza universitaria en seguridad TIC como
elemento dinamizador de la cultura y la aportación de confianza en la
sociedad de la información en España. León, España.
Rocha Flores, W., & Ekstedt, M. (June de 2016). Shaping intention to resist social
engineering through transformational leadership, information security
culture and awareness. Computers & Security, Volume 59, Pages 26-44.
Rodionova, Z., & Utepbergenov, I. (2020). THE CONCEPT OF ADAPTIVE
INFORMATION SECURITY MANAGEMENT IN DIGITAL
ORGANIZATIONS BASED ON THE ANALYSIS AND MONITORING OF
BUSINESS PROCESSES. 51st International Scientific Conference on
Economic and Social Development, (págs. 409-415). Rabat. Obtenido de
https://www.researchgate.net/profile/Daniela_Soldic_Frleta/publication/3406
20860_ZERO_WASTE_CONCEPT_IN_TOURISM/links/5e95848e299bf130
7997ab18/ZERO-WASTE-CONCEPT-IN-TOURISM.pdf#page=418

118
Roessing, R. M. (2010). The Business Model for Information Security. Rolling
Meadows, USA: ISACA.
Roessing, R. M. (2010). The Business Model for Information Security. USA:
ISACA.
Ross, S. J. (2011). Creating a Culture of Security. USA: ISACA.
SANS Institute. (2020). SANS Security Awareness. Obtenido de
https://www.sans.org/security-awareness-training
Sarayreh, B., Khudair, H., & & Barakat, E. A. (2013). Comparative Study: The Kurt
Lewin of Change Management. Internacional Journal of Computer and
Information Technology, 2(4), 4-7. Obtenido de
http://ijcit.com/archives/volume2/issue4/Paper020413.pdf
Schein, E. H. (1992). Organizational culture and leadership (1era ed.). San
Francisco, CA, EE.UU.: The Jossey-Bass business & management series.
Recuperado el 2016
Sun, Z., Zhang, J., Yang, H., & Li, J. (2020). Research on the Effectiveness
Analysis of Information Security Controls. Proceedings of 2020 IEEE 4th
Information Technology, Networking, Electronic and Automation Control
Conference, ITNEC 2020, (págs. 894–897).
doi:https://doi.org/10.1109/ITNEC48623.2020.9084809
Thomson, K. (2007). Model for information security shared tacit espoused values.
Port Elizabeth, Sudafrica.
Tolah, A., Furnell, S. M., & Papadaki, M. (2019). A Comprehensive Framework for
Understanding Security Culture in Organizations. IFIP Advances in
Information and Communication Technology. 557, págs. 143–156. Springer
International Publishing. doi:https://doi.org/10.1007/978-3-030-23451-5_11
Tolstoy, A., & Miloslavskaya, N. (2019). Andragogy as a Scientific Basis for
Training Professionals in Information Security. WISE 2019. IFIP Advances
in Information and Communication Technology. 557, págs. 72-85. Lisbon,
Portugal: Springer, Cham. doi:https://doi.org/10.1007/978-3-030-23451-5_6
Umana, A. (07 de diciembre de 2015). ISACA.ORG. Obtenido de COBIT 5 y el
valor agregado de la gobernanza de TI en las empresas:
http://www.isaca.org/COBIT/focus/Pages/cobit-5-and-the-added-value-of-
governance-of-enterprise-it-spanish.aspx
Universidad Nacional Agraria de la Selva. (2020). Universidad Nacional Agraria de
la Selva. Obtenido de Documentos de Gestión de TI:
https://portal.unas.edu.pe/estatutos-y-reglamentos
Verizon. (2018). 2018 Data Breach Investigations Report. Obtenido de
http://rp_data-breach-investigations-report-2013_en_xg.pdf
Verizon. (2020). 2020 Data Breach Investigations Report. Obtenido de
https://doi.org/10.1017/CBO9781107415324.004
119
Walker-Roberts, S., Hammoudeh, M., Aldabbas, O., Aydin, M., & Dehghantanha,
A. (2019). Threats on the horizon: understanding security threats in the era
of cyber-physical systems. Journal of Supercomputing, 76(4), 2643–2664.
doi:https://doi.org/10.1007/s11227-019-03028-9
Wallhead, R. (2020). DNSTwister. Obtenido de https://dnstwister.report/
Whitman, M., & Mattord, H. (2011). Principles of Information Security. Boston,
USA: Course Technology.
Winkler, I. S., Dealy, B., Winkler, I. S., & Parkway, H. S. (1995). Information
Security Technology ?... Don ’ t Rely on It A Case Study in Social
Engineering. In USENIX UNIX Security Symposium.
Yazdanmehr, A., & Wang, J. (22 de setiembre de 2016). Employees' information
security policy compliance: A norm activation perspective. Decision Support
Systems, 92, 36-46.

120
 Anexos

Anexo 1. Cuestionario ISCA

Cuestionario para el diagnóstico de la cultura de seguridad de información.
Información sociodemográfica.

Edad:
1. Entre 18 y 25
2. Entre 26 y 35
3. Entre 36 y 45
4. Entre 46 y 55
5. Mas de 55
Sexo:
1. Femenino
2. Masculino
Nivel de estudios alcanzado:
1. Secundaria
2. Técnico superior
3. Universitario
4. Maestría
5. Doctorado

Dimensión: CONCIENCIACIÓN

Marcar donde corresponda:

Pregunta SI NO
1 [Sé qué es la seguridad de la información]
2 [Soy consciente de que la UNAS tiene escrita una política de seguridad de la
información]
7 [Sé lo que es un incidente de seguridad de la información.]
8 [Sé de una brecha en la seguridad de la información dentro de mi área de
negocios en los últimos 12 meses]
10 [Creo que el uso compartido de contraseñas para el acceso a los sistemas
puede comprometer la información]
11 [Soy consciente de colegas que comparten contraseñas en mi entorno]
12. [Entiendo que algunos documentos son más sensibles que otros.]
13 [Soy consciente de un plan de continuidad de negocio en mi unidad de
negocio]
Marcar todas las alternativas que estime conveniente:
Enunciado Opciones Marcar
Documentos en papel (informes impresos)
Documentos electrónicos
Conversaciones de negocios
14. ¿Cuál de los siguientes podría Conversaciones telefónicas
contener información confidencial? Email
Mensajes de correo de voz
teléfono móvil.
Conversaciones de mensajería instantánea
Helpdesk o TI
Mi jefe
15. ¿Con quién crees que puedes
Una secretaria
compartir tu contraseña?
Un colega
Nadie

121
Marcar solo una alternativa, donde:
TD = Totalmente en Desacuerdo
D = Desacuerdo
I = Inseguro
A = de Acuerdo
TA= Totalmente de Acuerdo
Enunciado TD D I A TA
19 [La seguridad de la información se debe
administrar a través de un programa formal (por
ejemplo, los empleados tienen funciones y
responsabilidades de seguridad de la información
definidas, campañas de concientización).]
25 [Creo que es necesario dedicar tiempo a la
seguridad de la información.]
26 [Es importante comprender las amenazas (por
ejemplo, el robo de equipos y la alteración o mal uso
de la información) a los activos de información en mi
área]
33 [La seguridad de la información es necesaria en mi
área.]
35 [Acepto que algunos inconvenientes (por ejemplo,
cambiar mi contraseña con regularidad, guardar
documentos confidenciales o hacer copias de
seguridad) son necesarios para asegurar información
importante]
37 [Creo que los requisitos de seguridad de la
información deben incorporarse en mis tareas diarias]
38 [Creo que es necesario destinar dinero a la
seguridad de la información.]
40 [Los activos de información en formato de medios
electrónicos (por ejemplo, información guardada en
mi disco duro, CD o una tarjeta de memoria) deben
estar protegidos]
41 [Los activos de información en formato de papel /
copia impresa (por ejemplo, contratos e informes
impresos) deben estar protegidos]
42 [Soy consciente de los aspectos de seguridad de
la información relacionados con la función de mi
trabajo (por ejemplo, cómo elegir una contraseña o
manejar información confidencial)]
45 [La seguridad de la información debe ser parte de
mi programa de desarrollo de desempeño (PDD)]
46 [Creo que mi área dedica suficiente tiempo a la
seguridad de la información.]
47 [La seguridad de la información es percibida como
importante por mis colegas.]
51 [La seguridad de la información es percibida como
importante por la alta dirección y funcionarios.]
52 [Creo que la información con la que trabajo está
protegida adecuadamente (por ejem: el control de
acceso a oficinas, el bloqueo de la información
confidencial, el conocimiento de la información que
proporciono a otras personas y las credenciales de
inicio de sesión necesario para el acceso a los sist.
informáticos)]
53 [La seguridad de la información es percibida como
importante por los ejecutivos.]
58 [Creo que hay una necesidad de capacitación
adicional para utilizar los controles de seguridad de la
información con el fin de proteger la información.]

122
59 [Creo que las iniciativas de concientización sobre
seguridad de la información son efectivas.]
60 [Mis colegas se cuidan cuando hablan de
información confidencial en lugares públicos.]
61 [Creo que es importante limitar la recopilación y el
intercambio de información personal sensible.]
62 [Mis colegas se aseguran de que la información
del cliente esté protegida (por ejemplo, encriptada)
cuando se saca del sitio]
65 [Creo que el acceso a los sitios de redes sociales
mejorará mis actividades laborales]

Dimensión: CUMPLIMIENTO

Marcar donde corresponda:

Pregunta SI NO
3 [He leído la política de seguridad de la información.]
4 [Sé dónde obtener una copia de la política de seguridad de la información.]
5 [Sé quién es el Oficial de Seguridad de la Información de la UNAS]
9 [Me han informado sobre los requisitos de seguridad de la información en los
últimos seis meses, por ejemplo. Reglamentos relacionados con la descarga
de archivos adjuntos de correo electrónico o la navegación en Internet.]
Marcar todas las alternativas que estime conveniente:
Enunciado Opciones Marcar
El servicio de HelpDesk
Mi superior inmediato
Oficial de seguridad de la información.
16. ¿A quién deben informarse los Recursos humanos.
incidentes de seguridad de la información? TI
No lo sé
Se debe utilizar el proceso de denuncia
de irregularidades.
Intranet
Carteles
Email
Grupos de discusión
17. ¿Cómo prefieres recibir mensajes de Presentaciones
seguridad de la información? La formación práctica
Mensajes de texto
Entrenamiento introductorio
Videos
Folletos
Marcar solo una alternativa, donde:
TD = Totalmente en Desacuerdo
D = Desacuerdo
I = Inseguro
A = de Acuerdo
TA= Totalmente de Acuerdo
Enunciado TD D I A TA
18 [La política de seguridad de la información de la
UNAS me es aplicable durante la ejecución de mis
tareas diarias]
21 [Creo que mi área está protegiendo sus activos de
información (por ejemplo, equipos informáticos y
documentos) adecuadamente]
22 [El contenido de la política de seguridad de la
información me fue efectivamente comunicado.]

123
23 [Creo que los terceros que tienen acceso a
información confidencial de la UNAS conservan su
confidencialidad]
24 [Los contenidos de la política de seguridad de la
información son fáciles de entender.]
28 [Estoy informado de manera oportuna sobre cómo
me afectarán los cambios en la seguridad de la
información]
29 [Creo que la UNAS mantiene confidencial mi
información privada (por ejemplo, información sobre
el salario o la evaluación de desempeño)]
30 [Creo que la política de seguridad de la
información es práctica.]
36 [Creo que la UNAS me comunica los requisitos
relevantes de seguridad de la información.]
44 [Creo que la UNAS implementa medidas de
seguridad de la información.]
50 [Creo que es necesario que la UNAS supervise el
cumplimiento de la política de seguridad de la
información.]
54 [Se deben tomar medidas (por ejemplo, un
procedimiento disciplinario) contra cualquier persona
que no cumpla con la política de seguridad de la
información (por ejemplo, si comparten contraseñas,
entregan información confidencial o visitan sitios de
Internet prohibidos)]
55 [Mi área describe claramente lo que se espera de
mí con respecto a la seguridad de la información]
56 [Creo que los empleados de la UNAS se adhieren
a la política de seguridad de la información]
57 [Mi área fomenta la adherencia a la política de
seguridad de la información.]
66. [La UNAS tiene directivas claras sobre cómo
proteger la información sensible y confidencial de los
empleados

Dimensión: APROPIACIÓN

Marcar donde corresponda:

Pregunta SI NO
6 [Sé cuáles son mis responsabilidades con respecto a la seguridad de la
información.]
Marcar solo una alternativa, donde:
TD = Totalmente en Desacuerdo
D = Desacuerdo
I = Inseguro
A = de Acuerdo
TA= Totalmente de Acuerdo
Enunciado TD D I A TA
20 [Los ejecutivos y los altos directivos demuestran
compromiso con la seguridad de la información.]
27 [Creo que tengo una responsabilidad con respecto
a la protección de los activos de información de la
UNAS (por ejemplo, información y recursos
informáticos).]

124
31 [Creo que es necesario comprometer a las
personas con la seguridad de la información.]
32 [Mis colegas demuestran compromiso con la
seguridad de la información.]
34 [La seguridad de la información no solo es un
problema técnico (involucra a toda la organización)]
39 [Los empleados de TI demuestran compromiso
con la seguridad de la información.]
43 [Estoy preparado para cambiar mis prácticas de
trabajo para garantizar la seguridad de los activos de
información (por ejemplo, sistemas informáticos e
información en papel o en formato electrónico)]
48 [Creo que mi área podrá continuar con sus
operaciones diarias si se produce un desastre que
ocasione la pérdida de sistemas informáticos,
personas y /o locales.]
49 [Soy consciente de las consecuencias negativas
de infringir la política de seguridad de la información
de la UNAS]
63 [Me sentiría cómodo si la UNAS monitoreara lo
que publiqué en las redes sociales]
64 [Es aceptable para mí si los empleados fueron
disciplinados si publicaron comentarios inapropiados
sobre la UNAS en los sitios de redes sociales]

125
 Anexo 2. Bases de Datos – Cultura de Seguridad de Información
a. Base de datos de Concienciación

BASE DE DATOS ISCA - CONCIENCIACIÓN

Preguntas dicotómicas Enunciados con alternativa Likert
ítem [1] [2] [7] [8] [10] [11] [12] [13] [19] [25] [26] [33] [35] [37] [38] [40] [41] [42] [45] [46] [47] [51] [52] [53] [58] [59] [60] [61] [62] [65]

1 SI No No No SI No SI No 5 5 5 5 5 5 5 5 5 3 5 1 1 1 1 1 5 3 1 5 1 3
2 SI No No No No No No No 3 5 5 4 1 5 1 5 5 5 4 1 1 4 2 2 4 1 2 5 3 3
3 SI No No No SI No SI SI 4 4 5 5 4 4 5 4 4 4 4 3 3 4 4 3 5 4 4 4 3 3
4 No No No No No No No No 5 4 4 3 3 2 2 4 4 4 4 2 2 2 4 2 4 3 2 2 2 2
5 SI No No No SI No SI SI 2 2 2 5 3 3 2 2 2 2 3 1 2 3 3 2 2 2 5 3 2 3
6 SI No No No No SI SI No 5 4 5 4 4 4 4 5 5 4 4 2 2 3 2 2 4 2 2 4 2 4
7 SI No SI No SI No SI SI 4 3 4 5 4 4 5 5 3 3 4 3 3 3 3 3 5 5 3 3 4 3
8 SI No SI No SI SI SI SI 3 3 3 4 3 3 3 3 3 3 3 3 3 3 3 4 3 3 3 3 3 4
9 SI SI No No SI SI SI SI 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 3 5 5 5 5
10 SI No SI No SI SI SI No 4 4 4 3 4 4 4 4 4 4 5 2 3 2 2 3 4 3 2 4 2 2
11 SI No SI SI No SI SI No 4 4 5 5 4 5 5 5 5 5 5 1 2 1 1 1 1 1 1 5 1 4
12 SI SI SI SI No No SI No 4 4 4 4 3 4 4 4 4 4 4 4 4 3 3 4 4 4 2 3 3 4
13 No No No No No No No No 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 5 4 3 4 3 3
14 SI SI SI SI SI SI SI No 3 4 3 4 4 4 5 4 4 3 3 3 3 2 2 2 3 2 2 3 3 2
15 No No No No SI No No No 1 4 5 5 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
16 SI No No No No No SI SI 4 4 4 4 4 4 2 4 4 4 4 3 4 4 4 4 4 4 4 4 4 4
17 SI No No No SI No SI SI 4 5 5 5 2 5 5 5 4 4 5 1 4 2 2 3 5 1 4 5 2 5
18 SI No SI SI No No SI No 3 3 4 5 5 5 5 5 5 5 4 1 1 1 1 1 1 2 1 4 1 3
19 SI SI SI No SI SI SI SI 3 4 4 4 4 3 4 4 4 4 4 3 4 3 4 4 4 4 4 4 4 4
20 SI SI No No SI No SI SI 3 4 5 4 5 4 5 5 5 4 5 3 4 4 3 4 5 3 3 4 3 4
21 SI No No No No SI SI No 5 5 5 5 1 5 5 5 5 5 5 5 5 5 5 5 5 2 5 5 5 5
22 SI No No SI No No SI No 4 5 4 4 4 4 4 5 5 4 4 4 4 3 4 3 4 3 4 4 3 3
23 SI No No No SI SI SI SI 2 4 4 4 4 4 4 4 4 4 4 2 3 2 2 2 5 2 2 4 2 5
24 SI No No No No No SI No 4 5 5 3 4 4 4 5 3 4 4 2 2 2 2 2 4 2 3 3 1 4
25 SI No No No SI SI SI No 4 4 4 4 4 4 4 4 4 3 4 2 2 4 4 4 4 3 2 3 2 2
26 SI No SI No SI No SI No 5 5 5 5 4 4 3 5 5 5 5 3 5 3 3 3 5 3 3 4 3 4

126
 BASE DE DATOS ISCA - CONCIENCIACIÓN
Preguntas dicotómicas Enunciados con alternativa Likert
27 SI No SI SI SI SI SI SI 4 4 4 4 4 4 4 4 4 4 4 3 3 3 3 3 4 4 4 3 3 2
28 No No SI No SI No SI SI 3 5 5 3 5 5 5 5 5 4 4 3 2 4 4 5 5 2 3 5 4 5
29 No No SI No SI No No No 3 3 3 3 3 3 3 3 3 4 3 4 4 4 4 3 4 4 3 3 3 3
30 SI SI SI SI SI SI SI SI 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3
31 SI No SI SI No SI SI No 5 5 5 5 5 4 5 4 4 5 5 4 2 1 3 1 5 5 2 4 3 2
32 SI SI SI No No No SI SI 5 4 4 5 3 3 4 4 4 4 4 4 4 4 4 5 5 5 4 4 4 4
33 SI No No SI SI SI SI SI 5 4 5 5 3 4 5 5 5 4 4 2 3 2 2 2 5 2 2 4 2 3
34 SI No SI No SI No SI No 5 5 5 5 5 5 5 5 5 5 5 4 5 3 3 5 5 3 5 5 3 1
35 SI No No No SI SI SI No 4 4 4 4 4 4 4 4 4 4 4 3 3 4 3 3 4 4 3 4 4 4
36 SI No SI No No No SI SI 3 5 5 5 5 4 5 5 5 5 3 3 4 3 3 3 5 2 5 5 3 3
37 SI No SI SI No SI SI No 5 5 5 4 4 4 5 4 4 4 4 4 2 1 4 1 5 5 3 5 1 1
38 SI No SI SI SI SI SI SI 1 1 1 1 1 1 1 1 2 1 1 2 2 2 1 2 1 1 2 1 2 2
39 SI SI SI No No SI SI No 4 4 4 4 4 4 4 4 4 4 4 4 2 4 4 4 3 3 3 3 3 3
40 SI No SI No No SI SI No 4 4 4 4 5 3 3 5 5 4 4 2 3 3 4 3 4 3 3 4 3 1
41 SI SI No No SI No SI SI 2 3 3 4 4 4 4 4 4 4 4 3 3 2 2 2 2 2 2 2 2 2
42 SI No No No SI No SI No 3 3 4 3 1 2 3 3 4 3 3 2 3 1 3 2 3 2 4 4 3 3
43 SI No No No SI No SI SI 2 2 2 5 3 3 2 2 2 2 3 1 2 3 3 2 2 2 5 3 2 3
44 SI No No No No SI SI No 5 4 5 4 4 4 4 5 5 4 4 2 2 3 2 2 4 2 2 4 2 4
45 SI No SI No SI No SI SI 4 4 4 5 4 4 5 5 3 3 4 3 3 3 3 3 5 5 3 3 4 3
46 SI No SI No SI SI SI SI 3 3 3 4 3 3 3 3 3 3 3 3 3 3 3 4 3 3 3 3 3 4
47 SI SI No No No SI SI SI 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5
48 SI No SI No SI SI SI No 4 4 4 3 4 4 4 4 4 4 5 2 3 2 2 3 4 4 2 4 2 2
49 SI No SI SI No SI SI No 4 5 5 5 4 5 5 5 5 5 5 1 2 1 1 1 1 1 1 5 1 4
50 SI SI SI SI No No SI No 4 4 4 4 3 4 4 4 4 4 4 4 4 3 3 4 4 4 2 3 3 1
51 No No No No SI No No No 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 5 4 3 4 3 3
52 SI SI SI SI No SI SI No 4 4 3 4 4 4 5 4 4 3 3 3 3 2 2 2 3 2 2 3 3 2
53 No No No No SI No No No 1 5 5 5 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
54 SI No No No No SI SI No 4 4 4 4 4 4 4 4 4 3 4 2 2 4 4 4 4 4 2 3 2 2
55 SI No SI No SI No SI No 5 5 5 5 4 4 3 5 5 5 5 3 5 3 3 3 5 3 3 4 3 3
56 SI No SI SI SI SI SI SI 4 4 4 4 4 4 4 4 4 4 4 3 3 3 3 3 4 4 4 3 3 4
57 No No SI No SI No SI SI 3 5 5 3 5 5 5 5 5 4 4 3 2 4 4 5 5 4 3 5 4 5
58 No No SI No No No No No 3 3 3 3 3 3 3 3 3 4 3 4 4 4 4 3 4 4 3 3 3 1

127
 BASE DE DATOS ISCA - CONCIENCIACIÓN
Preguntas dicotómicas Enunciados con alternativa Likert
59 SI SI SI SI SI SI SI SI 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3
60 SI No SI SI SI SI SI No 5 5 5 5 5 4 5 4 4 5 5 4 2 1 3 1 5 5 2 4 3 2
61 SI SI SI No SI No SI SI 5 4 4 5 3 3 4 4 4 4 4 4 4 4 4 5 5 5 4 4 4 4
62 SI No No SI SI SI SI SI 5 2 3 5 3 4 5 5 5 4 4 2 3 2 2 2 5 2 2 4 2 3
63 SI No SI No SI No SI No 5 5 5 5 5 5 5 5 5 5 5 4 5 3 3 5 5 3 5 5 3 1
64 SI No No No SI SI SI No 4 4 4 4 4 4 4 4 4 4 4 3 3 4 3 3 4 4 3 4 4 3
65 SI No SI No SI No SI SI 3 5 5 5 5 4 5 5 5 5 3 3 4 3 3 3 5 2 5 5 3 3
66 SI No SI SI SI SI SI No 5 5 5 4 4 4 5 4 4 4 4 4 2 1 4 1 5 5 3 5 1 1
67 SI No SI SI SI SI SI SI 1 1 1 1 1 1 1 1 2 1 1 2 2 2 1 2 1 1 2 1 2 2
68 SI SI SI No No SI SI No 4 4 4 4 4 4 4 4 4 4 4 4 2 4 4 4 3 3 3 3 3 3
69 SI No SI No No SI SI No 4 4 4 4 5 3 3 5 5 4 4 2 3 3 4 3 4 3 3 4 3 3
70 SI SI No No SI No SI SI 2 3 3 4 4 4 4 4 4 4 4 3 3 2 2 2 2 2 2 2 2 2
71 SI No No No SI No SI No 3 3 3 3 1 2 3 3 4 3 3 2 3 1 3 2 3 4 4 4 3 3
72 SI No No No SI No SI SI 2 2 2 5 3 3 2 2 2 2 3 1 2 3 3 2 2 2 5 3 2 3
73 SI No No No No SI SI No 5 4 5 4 4 4 4 5 5 4 4 2 2 3 2 2 4 2 2 4 2 4
74 SI No SI No SI No SI SI 4 4 3 5 4 4 5 5 3 3 4 3 3 3 3 3 5 5 3 3 4 3
75 SI No No No SI SI SI No 5 4 3 4 4 4 4 5 5 4 4 2 2 3 2 2 4 2 2 4 2 4
76 SI No SI No SI No SI SI 4 4 4 5 4 4 5 5 3 3 4 3 3 3 3 3 5 2 3 3 4 3
77 SI No SI No No SI SI SI 3 3 3 4 3 3 3 3 3 3 3 3 3 3 3 4 3 3 3 3 3 3
78 SI SI No No SI SI SI SI 5 5 3 5 5 5 5 5 5 5 5 5 5 5 5 5 5 2 5 5 5 4
79 SI No SI No SI SI SI No 4 4 3 3 4 4 4 4 4 4 5 2 3 2 2 3 4 4 2 4 2 2

128
b. Base de datos de Cumplimiento

BASE DE DATOS ISCA - CUMPLIMIENTO

Preguntas dicotómicas Enunciados con alternativa Likert
ítem [3] [4] [5] [9] [18] [21] [22] [23] [24] [28] [29] [30] [36] [44] [50] [54] [55] [56] [57] [66]
1 No No No No 1 1 1 1 1 1 1 5 1 1 5 5 1 1 1 5
2 No No No No 3 1 1 1 1 1 1 1 1 1 4 4 1 1 1 3
3 No No No No 4 3 2 2 2 3 5 5 4 4 5 5 3 4 3 2
4 No No No No 5 2 1 3 2 3 3 4 2 2 3 4 3 3 3 2
5 No SI No No 1 1 1 2 1 3 2 1 1 3 2 3 2 2 2 3
6 No No No No 3 1 1 1 3 1 2 3 1 4 4 4 2 2 2 4
7 No No No No 3 2 4 2 3 3 3 2 3 3 4 4 3 4 3 3
8 No No No SI 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 4
9 No No No No 5 2 5 5 5 5 5 5 5 5 5 5 5 5 5 5
10 No No SI SI 4 3 2 3 4 4 2 4 3 3 2 5 3 3 3 2
11 No No SI No 2 2 1 4 4 1 1 4 1 2 5 5 2 1 1 4
12 SI No SI SI 4 2 4 2 3 2 3 3 3 2 4 4 4 4 3 4
13 No No No No 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3
14 No No SI SI 4 3 4 3 3 4 2 4 4 3 3 4 3 2 3 2
15 No No No No 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 3
16 No No No No 4 1 2 3 4 4 4 4 4 4 4 4 4 4 4 2
17 No No No No 4 2 1 4 1 1 1 5 1 1 5 5 1 5 2 5
18 No No No No 3 1 1 1 1 2 1 1 1 2 4 5 1 1 1 3
19 SI SI SI No 4 2 3 3 4 4 4 4 3 3 4 4 4 4 4 2
20 No No No No 4 3 2 3 3 3 3 4 3 3 4 5 4 3 4 4
21 No No No No 5 2 3 4 2 3 5 5 5 5 5 5 5 5 5 5
22 No No No No 3 4 2 4 3 3 5 4 3 3 4 5 4 3 4 3
23 No No No No 2 2 2 2 2 2 2 4 2 2 4 3 2 2 2 5
24 No No No No 4 1 1 1 1 1 1 2 1 2 3 3 2 2 2 2
25 No No SI No 4 2 2 2 4 4 2 3 4 2 4 4 2 2 2 2
26 No No No No 3 3 3 3 3 3 3 3 3 4 4 4 3 3 3 4
27 No No No No 3 4 3 3 4 4 3 3 4 4 4 4 4 3 4 2
28 No No No No 3 2 2 4 4 3 3 3 3 4 3 4 3 4 4 5

129
29 No No No No 3 4 2 2 2 3 4 3 3 3 4 4 4 4 3 3
30 SI SI SI SI 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3
31 No No No No 4 4 1 2 3 4 3 3 1 3 5 4 5 2 3 2
32 SI SI SI SI 5 1 4 4 4 5 5 5 4 4 4 5 5 4 2 4
33 No No No No 5 4 2 1 3 2 2 3 2 2 5 4 2 2 2 3
34 No No SI No 1 3 1 3 3 1 3 1 1 3 5 5 5 3 4 2
35 No No No No 3 4 4 4 4 4 3 2 3 4 4 4 4 4 4 4
36 No No No No 3 4 3 4 3 3 4 4 3 5 5 5 5 3 4 3
37 No No No SI 1 2 3 1 3 4 3 3 3 4 4 5 5 2 4 2
38 No No No No 2 1 2 2 1 1 2 1 2 1 1 1 1 1 1 2
39 No No No No 4 4 4 4 4 4 4 4 4 4 4 4 4 4 3 3
40 No No SI No 4 4 3 4 3 3 3 3 3 4 4 5 3 3 3 4
41 No No No No 2 2 2 2 2 2 4 4 3 3 2 2 2 2 2 2
42 No No No No 3 1 1 1 2 1 3 3 2 3 3 4 2 3 3 3
43 No SI No No 1 1 3 2 1 3 2 1 1 3 2 3 2 2 2 3
44 No No No No 3 1 1 1 3 1 2 3 1 4 4 4 2 2 2 1
45 No No No No 3 2 1 2 3 3 3 2 3 3 4 4 3 4 3 1
46 No No No SI 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3
47 No No No No 5 3 1 5 5 5 5 5 5 5 5 5 5 5 5 5
48 No No SI SI 4 3 2 3 4 4 2 4 3 3 2 5 3 3 3 2
49 No No SI No 2 2 1 4 4 1 1 4 1 2 5 5 2 1 1 3
50 SI No SI SI 4 4 4 2 3 2 3 3 3 2 4 4 4 4 3 4
51 No No No No 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3
52 No No SI SI 4 3 4 3 3 4 2 4 4 3 3 4 3 2 3 2
53 No No No No 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 2
54 No No SI No 4 2 2 2 4 4 2 3 4 2 4 4 2 2 2 2
55 No No No No 3 3 3 3 3 3 3 3 3 4 4 4 3 3 3 3
56 No No No No 3 4 3 3 4 4 3 3 4 4 4 4 4 3 4 4
57 No No No No 3 2 2 4 4 3 3 3 3 4 3 4 3 4 4 5
58 No No No No 3 4 2 2 2 3 4 3 3 3 4 4 4 4 3 3
59 SI SI SI SI 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3
60 No No No No 4 2 1 2 3 4 3 3 1 3 5 4 5 2 3 2

130
61 SI SI SI SI 5 2 4 4 4 5 5 5 4 4 4 5 5 4 2 3
62 No No No No 5 4 2 1 3 2 2 3 2 2 5 4 2 2 2 3
63 No No SI No 1 3 5 3 3 1 3 1 1 3 5 5 5 3 4 3
64 No No No No 3 4 4 4 4 4 3 2 3 4 4 4 4 4 4 4
65 No No No No 3 4 3 4 3 3 4 4 3 5 5 5 5 3 4 1
66 No No No SI 1 4 3 1 3 4 3 3 3 4 4 5 5 2 4 1
67 No No No No 2 1 2 2 1 1 2 1 2 1 1 1 1 1 1 2
68 No No No No 4 5 4 4 4 4 4 4 4 4 4 4 4 4 3 1
69 No No SI No 4 2 3 4 3 3 3 3 3 4 4 5 3 3 3 4
70 No No No No 2 2 2 2 2 2 4 4 3 3 2 2 2 2 2 2
71 No No No No 3 1 1 1 2 1 3 3 2 3 3 4 2 3 3 3
72 No SI No No 1 1 1 2 1 3 2 1 1 3 2 3 2 2 2 1
73 No No No No 3 1 1 1 3 1 2 3 1 4 4 4 2 2 2 4
74 No No No No 3 2 4 2 3 3 3 2 3 3 4 4 3 4 3 3
75 No No No No 3 1 1 1 3 1 2 3 1 4 4 4 2 2 2 4
76 No No No No 3 2 4 2 3 3 3 2 3 3 4 4 3 4 3 3
77 No No No SI 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 4
78 No No No No 5 3 5 5 5 5 5 5 5 5 5 5 5 5 5 5
79 No No SI SI 4 3 2 3 4 4 2 4 3 3 2 5 3 3 3 2

131
c. Base de datos de Apropiación
BASE DE DATOS ISCA - APROPIACIÓN
Preguntas dicotómicas Enunciados con alternativa Likert
Item [6] [20] [27] [31] [32] [34] [39] [43] [48] [49] [63] [64]
1 No 2 3 4 1 3 3 3 1 1 1 5
2 SI 1 3 4 1 2 1 5 1 4 1 1
3 No 3 3 4 2 3 4 3 3 4 5 5
4 No 4 4 4 3 3 2 2 3 3 2 3
5 No 1 2 2 3 2 1 2 2 3 2 1
6 No 2 3 5 3 2 3 4 2 3 3 2
7 No 2 5 4 3 3 3 5 3 4 4 2
8 SI 3 3 3 3 3 3 3 3 3 3 3
9 No 5 3 3 5 5 5 3 5 5 5 5
10 No 3 3 4 3 4 3 3 2 2 3 5
11 SI 1 5 5 2 2 5 5 1 3 3 4
12 SI 1 2 3 3 4 4 3 3 4 4 4
13 No 3 3 3 3 3 3 3 3 3 1 1
14 SI 3 3 4 4 3 4 3 2 3 2 3
15 No 1 5 1 1 1 1 1 1 1 1 1
16 No 4 4 4 2 4 4 4 3 4 4 3
17 No 3 1 5 3 2 2 2 1 2 4 1
18 No 1 4 5 2 3 1 2 2 4 1 5
19 SI 3 4 4 4 4 4 4 3 3 4 4
20 No 3 4 5 2 4 3 5 4 3 2 1
21 No 3 5 5 3 3 3 3 5 3 2 5
22 No 3 4 4 4 3 4 4 2 4 4 4
23 No 2 2 3 2 4 2 4 4 4 5 5
24 No 3 5 3 3 1 2 3 2 2 1 1
25 SI 4 3 3 2 3 4 3 2 2 3 2
26 SI 3 5 3 3 4 3 5 3 4 3 3
27 No 3 4 4 3 4 4 4 4 4 3 3
28 No 3 5 5 3 3 5 4 2 3 4 5
29 No 3 3 3 3 3 3 4 3 4 3 3
30 SI 3 3 3 3 3 3 3 3 3 3 3
31 SI 1 5 4 3 3 4 3 2 3 2 1
32 SI 2 4 5 5 2 4 4 5 5 5 5
33 No 3 5 5 2 2 3 3 2 2 1 2
34 SI 5 5 5 5 3 4 3 4 3 5 5
35 No 3 4 4 3 4 4 3 3 4 4 2
36 SI 5 4 4 4 5 4 5 4 4 5 1
37 SI 1 4 5 2 2 4 4 4 3 1 3
38 SI 2 1 1 2 2 2 1 2 1 2 1
39 SI 4 4 4 4 4 4 4 4 3 3 3
40 No 4 5 4 3 4 4 4 3 4 2 4
41 No 2 3 3 3 4 3 4 3 2 3 3
42 SI 1 3 4 2 5 3 3 3 3 1 4
43 No 1 2 3 3 2 2 2 2 3 2 1
44 No 2 3 5 1 2 3 4 2 3 3 2
45 No 2 5 4 1 3 3 5 3 4 4 2
46 SI 3 3 3 3 3 3 3 3 3 3 3
47 No 5 5 5 2 5 5 3 5 5 5 5
48 No 3 4 4 3 4 3 3 2 2 3 5

132
49 SI 1 5 5 2 2 5 2 1 3 3 4
50 SI 1 4 4 3 4 4 3 3 4 4 4
51 No 2 3 3 3 3 3 3 3 3 1 1
52 SI 3 3 4 4 3 4 3 2 3 2 3
53 No 1 5 1 1 1 2 1 1 1 1 1
54 SI 2 4 4 2 3 4 3 2 2 3 2
55 SI 3 5 5 3 3 3 5 3 4 3 3
56 No 3 4 4 3 3 4 3 4 2 3 3
57 No 3 5 5 3 3 5 3 2 4 4 5
58 No 3 3 3 3 3 3 2 3 2 3 3
59 SI 3 3 3 3 3 3 2 3 2 3 3
60 SI 1 5 4 3 1 4 5 2 3 2 1
61 SI 5 4 5 2 2 1 1 3 4 5 5
62 No 3 5 5 2 2 3 1 2 2 1 2
63 SI 5 5 5 1 3 4 1 4 2 5 5
64 No 3 4 4 1 4 1 3 3 2 4 2
65 SI 5 4 4 4 5 4 3 4 4 5 1
66 SI 1 4 5 2 2 4 4 4 3 1 3
67 SI 2 1 1 2 2 2 1 2 1 2 1
68 SI 4 4 4 4 4 4 4 4 3 3 3
69 No 4 5 4 3 4 4 3 3 4 2 4
70 No 2 3 3 3 4 3 1 3 2 3 3
71 SI 1 3 4 2 5 1 3 3 2 1 4
72 No 1 2 3 3 2 1 2 2 2 2 1
73 No 2 3 3 3 2 3 2 2 3 3 2
74 No 2 5 4 3 3 3 2 3 4 4 2
75 No 2 3 5 3 2 3 1 2 3 3 2
76 No 2 5 4 3 2 3 2 3 3 4 2
77 SI 3 3 3 3 3 3 3 3 3 3 3
78 No 5 5 3 5 2 5 1 5 3 5 5
79 No 3 4 4 3 4 3 1 2 2 3 5

133
134