Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ESCUELA DE POSGRADO
UNIDAD DE POSGRADO DE LA FACULTAD DE
INGENIERIA DE SISTEMAS
INFORME DE TESIS
PRESENTADO POR:
Huancayo – Perú
2020
1
UNIVERSIDAD NACIONAL DEL CENTRO DEL PERU
UNIDAD DE POSGRADO
FACULTAD DE INGENIERÍA DE SISTEMAS
CIUDAD UNIVERSITARIA EL TAMBO
HUANCAYO
Culminada la exposición, los señores Vocales del Jurado procedieron a efectuar las observaciones y preguntas
respectivas. Una vez terminada la evaluación, el Secretario del Jurado invitó al Sustentante a abandonar la
Plataforma de Microsoft Teams, para la deliberación del caso, pasándose luego a la calificación obteniéndose
el siguiente resultado:
APROBADO - BUENO (17)
El Secretario del Jurado pidió que se una el interesado, a conectarse a la Plataforma Microsoft Teams para dar
a conocer el resultado final, que fue anunciado por el Presidente.
Se dio por terminado el Acto de Sustentación a las 4:30 p.m. del 23 de abril del dos mil veintiuno, firmando a
continuación los miembros del jurado.
Presidente Secretario
Dr. HENRY GEORGE MAQUERA QUISPE Dr. JESÚS ULLOA NINAHUAMÁN
VOCAL
Dr. HÉCTOR HUAMÁN SAMANIEGO
VOCAL VOCAL
Dr. ABRAHAM ESTEBAN GAMARRA MORENO Dr. RICHARD YURI MERCADO RIVAS
ASESOR
DR. HECTOR HUAMAN SAMANIEGO
2
Dedicatoria
A mi madre.
3
AGRADECIMIENTOS
A Dios, por mantenerme con vida y salud en este proceso de alcanzar el grado
de Doctor en Ingeniería de Sistemas.
A mi abuelo que de Dios goce por haber asumido el rol de padre hasta el
momento de su partida, del cual aprendí a perseverar a pesar de las
adversidades.
4
RESUMEN
Esta investigación denominada cultura de seguridad de información para la
protección de activos informáticos en la Universidad Nacional Agraria de la Selva
trató el problema referido al comportamiento de los usuarios y su relación con la
protección de activos informáticos en términos de confidencialidad, integridad y
disponibilidad. El objetivo principal fue evaluar la relación entre las dimensiones de
concienciación, cumplimiento y apropiación de la cultura de seguridad de
información y las dimensiones de la protección de activos, para esto se aplicó una
encuesta para el diagnóstico a una muestra de 79 usuarios, además se
incorporaron técnicas de ingeniería social para este proceso. Los resultados
evidencian los niveles de concienciación, cumplimiento y apropiación de la
universidad bajo estudio, los cuales oscilan en promedio entre el nivel de desarrollo
y sostenible. Del mismo modo, los resultados respecto a los niveles de las
dimensiones de la protección de activos oscilan entre bajo y medio. Se validó la
hipótesis estadísticamente, por lo que se concluye que existe una relación
significativa entre las variables de la investigación. Como contribución se formuló
un modelo de cultura de seguridad de información cuya principal característica es
un proceso de diagnóstico complementario entre encuestas y técnicas de ingeniería
social, también se incluye el sistema de gestión de seguridad de la información, la
gestión de riesgos, la gestión de incidentes como parte del ecosistema de la cultura
de seguridad de información en una organización.
5
ABSTRACT
This research denominate information security culture for the protection of computer
assets at the National Agrarian University of the Jungle addressed the problem
related to user behavior and its relationship with the protection of computer assets
in terms of confidentiality, integrity and availability. The main objective was to
evaluate the relationship between the dimensions of awareness, compliance and
appropriation of the information security culture and the dimensions of asset
protection, for this a survey was applied for the diagnosis to a sample of 79 users,
they incorporated social engineering techniques for this process. The results show
the levels of awareness, compliance, and appropriation of the university under
study, which oscillate on average between the level of development and
sustainable. Similarly, the results regarding the levels of the asset protection
dimensions range from low to medium. The hypothesis was statistically validated,
so it is concluded that there is a significant relationship between the variables of the
investigation. As a contribution, an information security culture model was
formulated whose main characteristic is a complementary diagnostic process
between surveys and social engineering techniques, it also includes the information
security management system, risk management, management of incidents as part
of the information security culture ecosystem in an organization.
6
RESUMO
7
INDICE
INTRODUCCIÓN ................................................................................................. 12
CAPÍTULO I MARCO TEÓRICO ......................................................................... 15
1.1 Antecedentes ................................................................................................. 15
1.2. Bases teóricas y conceptuales ...................................................................... 24
1.2.1 Cultura de Seguridad de la Información ...................................................... 33
1.2.2 Protección de Activos Informáticos .............................................................. 34
1.3 Definición de términos básicos ....................................................................... 35
1.3.1 ISCA. .......................................................................................................... 35
1.3.2 Activo .......................................................................................................... 35
1.3.3 Ingeniería social. ......................................................................................... 36
1.3.4 Incidente de seguridad. ............................................................................... 36
1.3.5 Ataque......................................................................................................... 36
1.3.6 Amenaza. .................................................................................................... 36
1.3.7 Vulnerabilidad. ............................................................................................ 36
1.4 Hipótesis de investigación .............................................................................. 36
1.4.1 Hipótesis general ........................................................................................ 36
1.4.2 Hipótesis específicas................................................................................... 36
1.5 Operacionalización de variables ..................................................................... 37
CAPÍTULO II DISEÑO METODOLÓGICO .......................................................... 40
2.1 Tipo y nivel de investigación........................................................................... 40
2.2 Métodos de investigación ............................................................................... 40
2.3 Diseño de la investigación .............................................................................. 41
2.4 Población y muestra ....................................................................................... 42
2.4.1 Población 1: ................................................................................................ 42
2.4.2 Población 2: ................................................................................................ 45
2.4.3 Muestra 1: ................................................................................................... 45
2.4.4 Muestra 2: ................................................................................................... 47
2.5 Técnicas e instrumentos de recopilación de datos ......................................... 47
2.6 Técnicas de procesamiento de datos ............................................................. 48
CAPÍTULO III CULTURA DE SEGURIDAD DE INFORMACIÓN Y LA
PROTECCIÓN DE ACTIVOS............................................................................... 49
3.1 Cultura de seguridad de información. ............................................................. 49
3.1.3 Concienciación ............................................................................................ 50
8
3.1.2 Cumplimiento .............................................................................................. 56
3.1.3 Apropiación ................................................................................................. 61
3.1.4 Nivel de cultura de seguridad de información .............................................. 66
3.2 Protección de Activos. .................................................................................... 68
3.2.1 Confidencialidad .......................................................................................... 71
3.2.2 Integridad .................................................................................................... 79
3.2.3 Disponibilidad .............................................................................................. 87
3.3 Modelo de cultura de seguridad de información. ............................................ 88
3.3.1 Diagnóstico de cultura de seguridad de información. .................................. 91
3.3.2 Programa de concienciación, cumplimiento y responsabilidad. ................... 94
3.3.3 Programa de capacitación técnica............................................................... 95
3.3.4 Gestión de riesgos. ..................................................................................... 96
3.3.5 Gestión de incidentes. ................................................................................. 96
3.3.6 Sistema de Gestión de Seguridad de la Información ................................... 98
3.4 Validación de Hipótesis ................................................................................ 100
3.4.1 Hipótesis específica 1. .............................................................................. 100
3.4.2 Hipótesis específica 2. .............................................................................. 101
3.4.3 Hipótesis específica 3. .............................................................................. 103
3.4.4 Hipótesis General ...................................................................................... 104
3.5 Discusión de Resultados. ............................................................................. 105
Conclusiones ..................................................................................................... 110
Recomendaciones ............................................................................................. 112
Referencias bibliográficas. ................................................................................. 113
Anexos ............................................................................................................... 121
Anexo 1. Cuestionario ISCA ............................................................................... 121
Anexo 2. Bases de Datos – Cultura de Seguridad de Información .................... 126
9
ÍNDICE DE TABLAS
Tabla 1. Operacionalización de Variables ........................................................... 38
Tabla 2. Activos de información de la Universidad Nacional Agraria de la Selva.
............................................................................................................................. 42
Tabla 3. Muestra de los Activos de Información: activos informáticos ................. 45
Tabla 4. Escala para la Medición de la Cultura de Seguridad de Información. .... 50
Tabla 5. Nivel de Concienciación en la Universidad Nacional Agraria de la Selva.
............................................................................................................................. 52
Tabla 6. Nivel de Cumplimiento en la Universidad Nacional Agraria de la Selva.57
Tabla 7. Nivel de Apropiación en la Universidad Nacional Agraria de la Selva. .. 63
Tabla 8. Conocimiento de las Responsabilidades con respecto a la Seguridad de
Información. ......................................................................................................... 65
Tabla 9. Cantidad de Incidentes de Seguridad Informática Reportados. ............. 69
Tabla 10. Nivel de Confidencialidad de la Protección de Activos de la Universidad
Nacional Agraria de la Selva. ............................................................................... 72
Tabla 11. Comportamiento de los usuarios y tipos de ataque de ingeniería social
que afectan directamente a la confidencialidad. ................................................... 74
Tabla 12. Contraseñas con Baja Complejidad. ................................................... 79
Tabla 13. Nivel de Integridad de la Protección de Activos de la Universidad
Nacional Agraria de la Selva. ............................................................................... 80
Tabla 14. Comportamiento de los Usuarios y Tipos de Ataque de Ingeniería
Social que afectan directamente a la Integridad. .................................................. 83
Tabla 15. Nivel de Disponibilidad de la Protección de Activos de la Universidad
Nacional Agraria de la Selva. ............................................................................... 87
Tabla 16. Tabla cruzada Concienciación*Confidencialidad ............................... 100
Tabla 17. Pruebas de chi-cuadrado de Concienciación*Confidencialidad ......... 101
Tabla 18. Tabla cruzada Cumplimiento*Integridad ........................................... 102
Tabla 19. Pruebas de chi-cuadrado de Cumplimiento*Integridad ..................... 102
Tabla 20. Tabla cruzada Apropiación*Disponibilidad ........................................ 103
Tabla 21. Pruebas de chi-cuadrado de Cumplimiento*Integridad ..................... 104
10
ÍNDICE DE FIGURAS
11
INTRODUCCIÓN
La investigación denominada Cultura de seguridad de información para la
protección de activos informáticos de la Universidad Nacional Agraria de la Selva
tiene por finalidad formular un modelo de cultura de seguridad después de evaluar
la relación entre las variables del estudio en función de sus dimensiones,
concienciación, cumplimiento y apropiación de la variable independiente y
confidencialidad, integridad y disponibilidad de la variable dependiente.
Algunos datos que soportan el planteamiento del problema son los expuestos
por reportes de Verizon (2018; 2020) que indican que aproximadamente el 93% de
las brechas de seguridad a nivel mundial corresponden a los ataques utilizando
técnicas de ingeniería social como el phishing; siendo el correo electrónico el medio
preferido por los ciberdelincuentes (Cisco Systems Inc., 2018), o el pretexting que
es una técnica utilizada por los ciberdelincuentes para obtener datos directamente
de las personas con una llamada telefónica. Estos datos están relacionados al
comportamiento de las personas, a lo que Orgill (2004) y Winkler (1995)
argumentan que un aspecto importante pero muchas veces sin atención es el
relacionado al comportamiento de las personas frente a la protección de los activos
de información; y aunque la inversión en soluciones tecnológicas de seguridad es
alta en muchos casos, estas pueden ser evadidas con ataques dirigidos a las
personas.
12
de responsabilidad suficientes en aspectos de seguridad de la información, y por lo
general forman parte de una cultura de seguridad de la información inexistente o
inmadura. Por ejemplo, es suficiente que un usuario interno de la organización haga
“click” en un enlace malicioso enviado por correo electrónico para comprometer a
toda la plataforma tecnológica y la información que se almacena y procesa, o que
se expongan datos sensibles como las credenciales de acceso a los sistemas
informáticos. En Latinoamérica y el Perú el escenario no es diferente, según
reportes de empresas de seguridad como ESET (2019) ubican a las técnicas de
ingeniería social (ataques al factor humano) como uno de los tipos de ataques
preferidos por los ciberdelincuentes. También menciona Nancylia (2014) y Feng-
Quan (2015) que uno de los problemas principales que las organizaciones
enfrentan es la protección de los activos, y esto también se evidencia en la
Universidad Nacional Agraria de la Selva donde se presentan 298 incidentes de
seguridad informática entre los años 2018 y 2020.
13
se puede enseñar a los recién llegados. Del mismo modo Lacatus (2013), muestra
una clasificación basada en matrices de los modelos de cultura organizacional que
se pueden considerar para una institución de estudios superiores; entre los modelos
que se destaca, es el propuesto por Le Feuvre y Metso (2005) que señala que las
bases de la cultura se pueden enseñar a los individuos de la organización; por lo
tanto, la cultura se puede modelar y construir de acuerdo con la misión de la
organización.
14
CAPÍTULO I
MARCO TEÓRICO
1.1 Antecedentes
Algunos de las investigaciones que se abordaron respecto a la cultura de
seguridad de la información o sus dimensiones; así como sus efectos en la
seguridad de la información o seguridad informática se detallan en las siguientes
líneas.
15
identificado claramente los factores que tienen influencia significativa sobre la
adopción de una cultura de seguridad de la información. Los factores críticos de
éxito que podrían tener influencia en la adopción de una cultura de seguridad de la
información en el entorno organizacional; según los resultados de este trabajo de
investigación son:
16
En esa misma línea sobre la cultura de seguridad y las formas de
conceptuarla y medirla, se encuentran los trabajos de Da Veiga que en su tesis
doctoral “Cultivating and Assessing Information Security Culture”, señala la
importancia de la cultura de seguridad para la protección de los activos de
información de una organización (Da Veiga A. , 2008). El aporte de esta
investigación es el desarrollo de un framework de Cultura de Seguridad de la
Información (ISCF por sus siglas en inglés) basado en lo que el autor denomina un
Marco Integral de Seguridad de la Información (CISF por sus siglas en inglés). Este
marco referencial desarrollado, establece criterios de comportamiento
organizacional a nivel de individuos y grupos, orientados básicamente a prácticas
en el uso de la tecnología informática, las que deben reflejar finalmente el estado
de la cultura de seguridad de la información. Es una herramienta que la alta
gerencia de una organización puede utilizar para entender la cultura de seguridad.
17
de una cultura organizacional de seguridad de la información, tal como se muestra
en la Figura 1.
Figura 1.
Relaciones entre Gobierno corporativo, Cultura organizacional y Seguridad de la
información.
18
la gente lo que deben hacer, pero no será suficiente para generar un nivel de
cumplimiento deseado.
19
tareas de entrenamiento y educación, la andragogía es un aspecto que se debe
considerar.
20
En trabajos previos se analizó el plano del cumplimiento y los factores inhibidores
del proceso de implementación de un SGSI en la Administración Pública Peruana
(una muestra de 16 entidades públicas asociadas al Ministerio de la Presidencia
del Consejo de Ministros), entre los cuales destacan, falta de capacitación y
concienciación del personal, falta de personal especializado en seguridad de la
información, presupuesto insuficiente o no asignado, falta un entendimiento cabal
sobre la seguridad de la información por parte de la alta dirección para apoyar con
mayor efectividad estas iniciativas (Mariño Obregón, 2010). Estos factores también
se pueden considerar como posibles razones de una inadecuada o deficiente
identificación de los activos de información que puede tener un efecto no deseado
cuando se formulan políticas de seguridad y los mecanismos de tratamiento de
riesgos.
21
intención de hacer. Una cultura de seguridad eficaz es compatible con la protección
de la información y al mismo tiempo el apoyo a los objetivos generales de la
empresa.
22
embargo, hace notar que muchas empresas sobre todo las pequeñas, establecen
una relación de la seguridad con los aspectos organizacionales por ensayo-error o
peor aún, no son conscientes del problema.
23
incluyen mayor conciencia de los riesgos de seguridad, de las amenazas y de las
fallas en las defensas, esto con la finalidad de crear mejoras en el proceso de
respuesta a incidentes.
24
“congelar”, que tiene una aplicabilidad aún vigente (Sarayreh, Khudair, & & Barakat,
2013); además del modelo ADKAR recomendado por Da Veiga.
En esa línea se añade que a pesar que los miembros de una organización
puedan pertenecer a diversos grupos raciales o étnicos, diferentes creencias
religiosas, distintas edades y otras características asociadas, estas tendrán una
percepción parecida o común sobre la seguridad de la información dentro de una;
y si esa percepción se está expresando en un modo de cultura de seguridad de la
25
información que sea madura o positiva entonces la información (activos) estará
protegida (Da Veiga A. , 2018)
26
Figura 2.
Modelo de Cultura de Seguridad de la Información.
27
una pieza importante en la monitorización de incidentes de seguridad puesto que
tendrán la predisposición a reportar tales incidentes.
28
Figura 3.
Framework de Nivel uno de la Cultura de Seguridad de la Información.
29
Figura 4.
Modelo de Negocio para la Seguridad de la Información – BMIS.
Por otro lado, el hecho que las personas son el elemento principal que
caracteriza la cultura de seguridad de información en una organización, también es
preciso acotar a qué tipo de amenazas se enfrentan desde el punto de vista de la
seguridad de la información. Las amenazas más comunes son las asociadas a
técnicas de ingeniería social, en las que incluso las víctimas no perciben el ataque
y tampoco son conscientes de la información que divulgan (sensible o confidencial)
(Mouton F. M., 2013; Mouton, Malan, Kimppa, & Venter, 2015). Además, se han
realizados estudios como los de Acquisti y Grossklags (2003) en las que apoyan la
idea sobre las encuestas que pueden ser insuficientes para determinar o evaluar el
comportamiento de las personas debido a que la declaración en una encuesta
puede ser muy diferente al comportamiento real.
30
Entonces surge otra idea como complemento a las encuestas para evaluar
el comportamiento de las personas que son parte de una organización, y esta idea
es la de realizar una simulación de ataques de ingeniería social dentro de un
proceso de auditoria con el propósito de verificar el cumplimiento de los controles
de seguridad asociados a las personas (Orgill, Romney, Bailey, & Orgill, 2004;
Bullée, Montoya, Pieters, Junger, & Hartel, 2015). El concepto de ingeniería social
válido para el contexto de la investigación es la que se desprende del ámbito de la
ciberseguridad que en términos de Mitinick y Simon (2002) son ataques basados
en el arte del engaño que utiliza la influencia y la persuasión como principales armas
del ingeniero social convertido en atacante, asimismo, uno de los tipos de ataques
más comunes y efectivos ejecutados aprovechando la interacción hombre-
computadora es el phishing o falsificaciones web (Heartfield & & Loukas, 2015).
Por su parte, la ISO (2016), publica la norma actualizada ISO/IEC 27001 que
incluye 14 objetivos de control referidos a la seguridad de la información y al
despliegue de un Sistema de Gestión de Seguridad de la Información. Entre sus
principales beneficios de esta norma se destaca el cumplimiento con los
requerimientos legales, obtener una ventaja comercial, menores costos, y una
mejor organización (Academy, 2016).
31
Asimismo, para esta investigación se consideran algunos fundamentos
filosóficos de acuerdo con lo tratado en Teoría del Conocimiento de (Hessen, 1940),
donde establece cinco interrogantes, cuyas respuestas enmarcan la investigación
científica. El criticismo de Kant es el que más se adecua para la generación de
conocimiento; asimismo el racionalismo y el apriorismo son la base del origen del
conocimiento en el contexto de la presente investigación. El objetivismo y la forma
del conocimiento discursivo-racional rigen en forma predominante los estudios que
se vienen desarrollando.
32
• El principio dialógico. Para la cultura organizacional de seguridad de la
información y la protección de activos informáticos, se puede aplicar el
análisis/síntesis, y el proceso inductivo-deductivo.
A. Apropiación.
B. Concienciación.
33
una pieza importante en la monitorización de incidentes de seguridad puesto que
tendrán la predisposición a reportar tales incidentes.
C. Cumplimiento.
A. Confidencialidad
• Clasificación de la información
• Almacenamiento de documentos seguro
• La aplicación de las políticas de seguridad generales
• Educación de los custodios de la información y usuarios finales
34
La confidencialidad, como la mayoría de las características de la información,
es interdependiente con otras características y está más estrechamente
relacionada con la privacidad.
B. Integridad
C. Disponibilidad
1.3.1 ISCA.
Encuesta de evaluación de la cultura de seguridad de la información.
Instrumento utilizado en el proceso de diagnóstico. Instrumento constituido de 73
preguntas que pueden ser adaptadas a un caso específico.
1.3.2 Activo
Referido a los activos informáticos. Objeto tangible o intangible que tiene
valor para la organización. Activo de información que tiene soporte informático o es
un componente informático.
35
1.3.3 Ingeniería social.
Definido como la aplicación de conductas sociales y acciones que se
aprovechan de las características psicológicas y emocionales de las personas para
conseguir información de un sistema u organización.
1.3.5 Ataque.
Es un tipo de amenaza de seguridad que se materializa aprovechando las
vulnerabilidades identificadas en un sistema, causando daño directamente a los
activos de información de una organización. Estos ataques son generados por
actores de amenazas que pueden ser externos o internos.
1.3.6 Amenaza.
Factor negativo de naturaleza externa al activo de información que tiene
probabilidades de convertirse en un ataque o incidente de seguridad.
1.3.7 Vulnerabilidad.
Debilidad o deficiencia del activo de información. Es de naturaleza interna.
36
b. El cumplimiento influye directa y significativamente en el nivel de
protección de los activos informáticos de la Universidad Nacional Agraria de la
Selva.
c. La apropiación influye directa y significativamente en el nivel de
protección de los activos informáticos de la Universidad Nacional Agraria de la
Selva.
37
Tabla 1.
Operacionalización de Variables
Tipo de Nivel de
Variable Dimensión Definición conceptual Definición operacional Indicador Valor
variable medición
38
Tipo de Nivel de
Variable Dimensión Definición conceptual Definición operacional Indicador Valor
variable medición
en el formato requerido.
(Whitman & Mattord, 2011).
La información tiene
integridad cuando es entera,
completa, y no corrompida.
La integridad de la
Los activos de información (1) Muy bajo
información se ve
no sufren alteraciones o Nivel de (2) Bajo
Integridad amenazada cuando la Nominal
modificaciones por integridad (3) Medio
información está expuesta a
usuarios no autorizados. (4) Alto
la corrupción, daño,
destrucción, u otra alteración
de su estado auténtico.
(Whitman & Mattord, 2011).
La información tiene carácter
confidencial cuando está
protegida contra divulgación
o exposición a personas o
(1) Muy bajo
sistemas no autorizados. La Los activos informáticos
Nivel de (2) Bajo
Confidencialidad confidencialidad se asegura son accesibles para los Nominal
confidencialidad (3) Medio
de que sólo los que tienen los usuarios autorizados.
(4) Alto
derechos y privilegios de
acceso a la información son
capaces de hacerlo.
(Whitman & Mattord, 2011).
39
CAPÍTULO II
DISEÑO METODOLÓGICO
41
2.4 Población y muestra
2.4.1 Población 1:
La población para la investigación correspondiente a la variable dependiente
estuvo compuesta por el total de grupos de activos de información de la universidad
(ver Tabla 2), que son un total de 97 activos de información, categorizados en 7
grupos de activos:
42
Grupo de Activos Activo
43
Grupo de Activos Activo
44
Grupo de Activos Activo
2.4.3 Muestra 1:
Se considera una muestra no probabilistica, tomando como muestra a un total
de 69 activos (ver Tabla 3) correspondiente a tres (03) grupos de activos informáticos
que son los siguientes:
45
Grupo de Activos Activo
46
Grupo de Activos Activo
2.4.4 Muestra 2:
Se considera una muestra no probabilistica, tomando como muestra a un
total de 79 usuarios que corresponden a usuarios administrativos (59) de oficinas
como Recursos Humanos, Dirección de Calidad, Dirección de Coordinacón y
Desarrollo Academico, Dirección de Planificación, Unidad de Abastecimiento,
Unidad de Tesoreria, entre otros; y docentes (20) que utilizan dispositivos de
cómputo conectados a la red corporativa para sus actividades laborales.
47
incidentes de seguridad informática que afectan a los activos de la muestra
seleccionada.
Se hizo uso del instrumento de diagnóstico ISCA (Evaluación de la Cultura
de Seguridad de la Información, ISCA por sus siglas en inglés) para el diagnóstico
de la cultura de seguridad de información elaborada por Da Veiga (2015).
El instrumento original consta de 73 enunciados que han sido adaptados a
la caso de estudio estando compuesto finalmente por 66 preguntas/enunciados
categorizados para cada dimensión de la variable de cultura de seguridad de
información.
También se consideró la aplicación de las técnicas de ingeniería social
permitieron recopilar datos desde diferentes fuentes como los formularios de
prueba y correo electrónico. Las técnicas de ingenieria social aplicadas fueron el
phishing por correo electrónico y persuación con suplantación de rol. Para recopilar
los datos de la ejecución de estas técnicas se utilizó un formulario en linea.
48
CAPÍTULO III
CULTURA DE SEGURIDAD DE INFORMACIÓN Y LA PROTECCIÓN DE
ACTIVOS
49
Tabla 4.
Escala para la Medición de la Cultura de Seguridad de Información.
3.1.3 Concienciación
Esta dimensión de la cultura de seguridad es la básica sobre la cual se
desarrollan las demás dimensiones, por lo que estar interiorizado y consciente del
significado de la seguridad de la información en un contexto organizacional es el
principio elemental para el comportamiento esperado por parte de los usuarios, y
50
esto significa también que las dimensiones de apropiación y cumplimiento podrán
fortalecerse si los usuarios en primero lugar tienen un nivel de concienciación
suficiente.
51
Tabla 5.
Nivel de Concienciación en la Universidad Nacional Agraria de la Selva.
Por otro lado, a nivel de los usuarios se presentan ciertas acciones que
exigen frecuencia y rutina como los cambios de contraseñas, realizar copias de
52
respaldo, asegurar adecuadamente documentos confidenciales en formato impreso
o electrónico, etc. que se perciben como incomodidades, convirtiéndose en un
punto débil del comportamiento del usuario; por ello el 34% de la madurez de la
cultura se ubique en el nivel de “desarrollo”. Sin embargo, a la luz de los resultados
sobre la percepción de los usuarios que es necesario e importante proteger los
activos de información obtuvieron un puntaje correspondiente al nivel de “óptimo”,
esto se puede interpretar como, los usuarios conciben la importancia de la práctica
de la seguridad de la información y su aplicación en sus respectivas áreas, pero se
evidencia una resistencia a realmente practicarla.
53
Figura 5.
Nivel de Concienciación en la Universidad Nacional Agraria de la Selva.
54
acceso, exfiltración, daño, destrucción, etc., y en un escenario de ataque real,
puede ser suficiente que solo un usuario sea vulnerado para comprometer a los
activos.
Figura 6.
Efecto de la Concienciación en la detección, identificación y respuesta de
incidentes de seguridad.
55
3.1.2 Cumplimiento
Para la dimensión de cumplimiento se han asociado 22 preguntas y
enunciados de las 66 que incluye la encuesta ISCA, y de forma complementaria se
realiza el análisis de los ejercicios de ingeniería social que se relacionan con
aspectos de cumplimiento.
56
En la Tabla 6 y en la Figura 7 se muestra el resultado de la medición de la
dimensión de cumplimiento de la cultura de seguridad de la información para la
Universidad Nacional Agraria de la Selva, donde el nivel alcanzado oscila entre
“desarrollo” y “sostenible” con mayor inclinación hacia “desarrollo”.
Tabla 6.
Nivel de Cumplimiento en la Universidad Nacional Agraria de la Selva.
Figura 7.
Nivel de Cumplimiento de la Cultura de Seguridad de la Información de la
Universidad Nacional Agraria de la Selva.
57
El principal factor en esta dimensión son las políticas y reglas de seguridad
de la información que determina la institución, además del proceso de la
comunicación y difusión de estas. Los aspectos relevantes como el alcance o nivel
de detalle de las políticas de seguridad de la información, los mecanismos de
distribución de las políticas, la claridad en la formulación de los contenidos de las
políticas debe ser abordado con diligencia con el propósito de no generar mensajes
ambiguos o poco claro.
58
Figura 8.
Conocimiento y Comunicación de Políticas de Seguridad de Información en la
Universidad Nacional Agraria de la Selva.
En esa línea del nivel “sostenible” una explicación adicional es el hecho que
los usuarios afirman que perciben o creen que ellos y su área mantienen una
59
posición de respeto hacia las prácticas de seguridad de la información y que las
directivas que se hayan establecido a nivel de área u oficina son acatadas, sin
embargo, esa creencia o percepción puede obedecer a la tendencia de satisfacer
las expectativas de sus superiores y evitar conflictos laborales o perturbar la
armonía con el resto de miembros de usuarios.
Por otro lado, se puede observar de acuerdo con la Figura 9 que una
importante proporción de los usuarios (52%) tienen una preferencia por la
comunicación por correo electrónico de los mensajes de seguridad de la
información; por lo que se convierte en un fuerte vector de ataque en las campañas
de phishing por correo electrónico. En la ejecución de las técnicas de ingeniería
social, el phishing fue la técnica utilizada basado en correo electrónico como vector
de ataque.
Figura 9.
Preferencias de Flujo de Información sobre Incidentes de Seguridad de
Información.
60
Figura 10.
Efecto del Cumplimiento en la Detección e Identificación de Incidentes de
Seguridad.
3.1.3 Apropiación
Como concepto de apropiación se mencionó que es el grado de
responsabilidad que asume cada usuario y su rol como parte de la cultura de
seguridad de la institución. Para esta dimensión se asociaron 12 enunciados de las
61
66 que incluye la encuesta ISCA; y del mismo modo se analiza las técnicas de
ingeniería social aplicadas al caso.
62
nuevos trabajadores articulados con una gestión de seguridad de la
información liderada por la alta dirección.
Tabla 7.
Nivel de Apropiación en la Universidad Nacional Agraria de la Selva.
Figura 11.
Nivel de Apropiación de la Cultura de Seguridad de la Información de la
Universidad Nacional Agraria de la Selva.
63
El hecho que el nivel de la dimensión de concienciación oscila entre
“desarrollo” y “sostenible” es una base prometedora para que la dimensión de
apropiación de la cultura de seguridad de la información se fortalezca y madure.
En contraste, el rol de la alta dirección en el liderazgo que asume es laxo, y no es
suficiente para generar un entorno claro sobre las responsabilidades y actitudes de
todos los miembros de la organización.
64
que explica que cumplir o hacerse responsable es una actitud
obligada por temor a las sanciones. Una explicación complementaria
es lo que se afirma sobre el conocer cuáles son las responsabilidades
de los usuarios con respecto a la seguridad de la información, y más
de la mitad indica que no lo sabe tal como muestra la Tabla 8.
Tabla 8.
Conocimiento de las Responsabilidades con respecto a la Seguridad de
Información.
65
Figura 12.
Efecto de la Apropiación en la Identificación y Respuesta de Incidentes de
Seguridad.
Por otro lado, los ejercicios de ingeniería social demostraron que los usuarios
no asumen responsabilidades ante algún incidente de seguridad que los involucra
directamente. En la técnica de persuasión por suplantación de rol (el “atacante”
asumió el rol de un empleado del área de soporte informático) se obtuvo acceso
físico a la computadora de un usuario que no comprobó la identidad del personal
de soporte, dejando en manos del “atacante” el dispositivo incluyendo la contraseña
de acceso para una supuesta revisión del equipo. Cuando se informó al usuario
que su cuenta de acceso había sido comprometida solo se limitó a realizar el
cambio de la contraseña, sin que esto fuera de mayor preocupación sobre la
información que pudo estar comprometida o las consecuencias producto del
incidente.
66
puede afirmar que se ubica en el nivel de desarrollo, lo que implica que los
miembros de la organización en forma dispersa adoptan posturas y actitudes
variables frente a la seguridad de la información, como lo explicado en cada
dimensión existen casos aislados a nivel de individuos y a nivel de grupos cuyos
comportamientos son favorables al desarrollo de una cultura de seguridad, y en
contraste, se debe trabajar mucho aun para promover una cultura suficiente que
ayude a mitigar los riesgos a la que se exponen los activos de información (incluye
los activos informáticos). Esta tarea es algo que la institución liderada por la alta
dirección debe priorizar, más aún en una época donde la mayoría de las actividades
se trasladan y tienen un componente tecnológico.
Figura 13.
Cultura de Seguridad de la Información de la Universidad Nacional Agraria de la
Selva.
67
3.2 Protección de Activos.
En este apartado se analiza el efecto de las dimensiones de la cultura de
seguridad de la información explicadas en la sección anterior hacia la variable de
protección de activos. Se muestra cuáles son los activos informáticos que se ven
afectados en las dimensiones de confidencialidad, integridad y disponibilidad,
producto del comportamiento no deseado de los usuarios en términos de seguridad.
Para este análilsis se muesta la Tabla 9 que contiene datos históricos (periodo
2018 - 2020) de incidentes de seguridad y se establece la posible causa de cada
incidente, del que se desprende los sigientes tipos de incidentes relacionados al
comportamiento de los usuarios:
• programas crackeados
68
Tabla 9.
Cantidad de Incidentes de Seguridad Informática Reportados.
Cantidad de
Tipo de incidente de Incidentes 2018-
Posible causa de incidente
seguridad informática 2020 reportados o
identificados
Ataque intencionado por parte de
Robos de equipos
3 personal interno o externo a la
informáticos
organización
Ataque intencionado por parte de
robos o sustracción de
2 personal interno o externo a la
información electrónica
organización
Sistemas operativos no
actualizados.
infecciones por virus o Antivirus no actualizado o
72
malware ausencia de este.
Acceso a sitios web y descargas
de archivos infectados.
Usuarios que instalan y hacen
uso de programas no autorizados
sin licencia.
programas crackeados 79
Usuarios instalan programas de
uso laboral sin licencia y
activación pirata.
Causas ambientales o de entorno
pérdidas de datos (causas
13 (temperatura, descargas
físicas)
eléctricas,
Usuarios que exponen
contraseñas a terceros o
Contraseñas expuestas de
comparten sus credenciales.
cuentas de correo electrónico 12
Contraseñas de baja complejidad,
usuarios.
fáciles de adivinar
Técnicas de ingeniería social.
Usuarios que exponen
contraseñas a terceros o
Contraseñas expuestas de
comparten sus credenciales.
cuentas de usuarios del 27
Contraseñas de baja complejidad,
dominio.
fáciles de adivinar.
Técnicas de ingeniería social.
Dispositivos no autorizados Usuarios que conectan sin
conectados a la Red 32 autorización dispositivos de red
corporativa personales o residenciales.
Mecanismos deficientes de
Cantidad de ataques de DoS 3
filtrado.
Cantidad de Ataques de Código de sitio web vulnerable
4
Deface de páginas web (lado de programación)
69
Cantidad de
Tipo de incidente de Incidentes 2018-
Posible causa de incidente
seguridad informática 2020 reportados o
identificados
Vulnerabilidades de plataforma
de desarrollo.
Código de sitio web vulnerable
Cantidad de Ataques de (lado de programación)
3
SQLi Vulnerabilidades de plataforma
de desarrollo.
Ataques de hombre en el Mecanismos deficientes de
1
medio filtrado e inspección.
Mecanismos deficientes de
filtrado e inspección.
Phishing por correo
19 Confianza del usuario en
electrónico
dominios de origen de correos
desconocidos.
Mecanismos deficientes de
Acceso no autorizado redes control de acceso.
4
inalámbricas Credenciales y contraseñas de
baja complejidad
Mecanismos deficientes de
control de acceso.
Alteración no autorizada de
Credenciales y contraseñas de
datos en sistemas 2
baja complejidad.
informáticos
Modificación intencionada por
parte de personal interno.
Total 298
70
• Bajo. Asociado a un impacto sobre la dimensión que require atención
y asignación de recursos para su manejo. Este impacto es causado
por una cantidad significativa respecto al total de incidentes de
seguridad.
3.2.1 Confidencialidad
La confidencialidad es una de las dimensiones de la protección de activos
donde los ataques o incidentes de seguridad asociados a esta dimensión pueden
ser de las más complicadas de detectar, porque cuando se está llevando a cabo
acciones que “escuchan” u observan el tráfico de la red o acceden al contenido de
los dispositivos (servidores, computadoras y dispositivos de red) prácticamente no
se levantan sospechas porque por lo general, en este tipo de ataques no hay
modificación o alteración de los datos, pero si existe el robo de información,
exfiltración de datos que puede ser más letal para la organización si se trata de
información sensible, confidencial o crítica para los procesos de negocio.
71
peor de los casos mantienen la contraseña por defecto que se asigna al momento
de crear la cuenta de usuario.
Tabla 10.
Nivel de Confidencialidad de la Protección de Activos de la Universidad Nacional
Agraria de la Selva.
72
credenciales de acceso, por lo que se convierten en el eslabón más débil de la
cadena.
Figura 14.
Nivel de Confidencialidad de la Protección de Datos de la Universidad Nacional
Agraria de la Selva.
Por otro lado, de acuerdo con los ejercicios de ingeniería social ejecutados
se pueden identificar y deducir cuáles son los activos informáticos que son
afectados por estos tipos de ataques que están orientados directamente a las
personas (los usuarios). La encuesta ISCA también provee datos acerca del posible
comportamiento de los usuarios.
73
finalmente tendrán un efecto negativo en la confidencialidad de los activos
informáticos.
Tabla 11.
Comportamiento de los usuarios y tipos de ataque de ingeniería social que
afectan directamente a la confidencialidad.
Comportamiento de los
Grupo de Tipo de ataque de
Activo usuarios que afectan la
Activos ingeniería social
confidencialidad
Exposición de
[DI01] Base de datos de Phishing, Spear
credenciales de acceso
aplicaciones web Phishing
Contraseñas débiles
Exposición de
[DI02] Base de datos de Phishing, Spear
credenciales de acceso
páginas web Phishing
Contraseñas débiles
Exposición de
[DI03] Bases de datos Phishing, Spear
credenciales de acceso
administrativa Phishing
Contraseñas débiles
Copias de código en
dispositivos personales
[DI04] Código fuente de
Copias de código en
aplicaciones
repositorios públicos o
tipo Github
Copias de respaldo en
[DI]
[DI05] Copias de respaldo dispositivos personales.
Datos e
de sistemas de TI Copias de respaldo no
información
cifradas.
Phishing, Spear
Exposición de Phishing
[DI06] Correo electrónico
credenciales de acceso Llamadas
corporativo
Contraseñas débiles telefónicas
(pretexting)
[DI07] Credenciales de Exposición de
Phishing, Spear
acceso a los sistemas credenciales de acceso
Phishing
informáticos Contraseñas débiles
Copias de configuración
[DI08] Datos de
almacenados en
configuración de sistemas
dispositivos personales.
de TI
Copias físicas (impresos)
[DI09] Directorio
No aplica
institucional
74
Comportamiento de los
Grupo de Tipo de ataque de
Activo usuarios que afectan la
Activos ingeniería social
confidencialidad
[DI10] Documentos
No aplica
estratégicos
[DI11] Documentos
No aplica
normativos académicos
[DI12] Documentos
No aplica
normativos administrativos
[DI13] Documentos
normativos de No aplica
investigación
[DI14] Documentos
No aplica
operativos
[DI15] Información
académica (datos de Exposición pública de Llamadas
alumnos, docentes, datos del sistema telefónicas
calificaciones, actas, carga académico. (pretexting)
académica)
[DI16] Información de
No aplica
página web institucional
[DI17] Información de
No aplica
transparencia institucional
Exposición de
información por
Persuasión
almacenamiento en
[DI18] Información Llamadas
dispositivos personales.
financiera telefónicas
Compartir información
(pretexting)
con terceros no
autorizados.
Exposición de
información en
dispositivos personales
Información no cifrada Persuasión
para su almacenamiento Llamadas
[DI19] Legajo de personal
o transmisión. telefónicas
Acceso no autorizado a (pretexting)
los ambientes de
almacenamiento físico de
legajos
[DI20] Otros documentos
No aplica
administrativos
Exposición de
[DI21] Producción
información en medios no Persuasión
intelectual y patentes
seguros o públicos.
Exposición pública de
[DI22] Registro académico
datos del sistema Persuasión
de estudiante
académico.
[DI23] Registro de Exposición pública de la
Persuasión
actividad información
[DI24] Resoluciones Exposición pública de la
Persuasión
institucionales información (de tratarse
75
Comportamiento de los
Grupo de Tipo de ataque de
Activo usuarios que afectan la
Activos ingeniería social
confidencialidad
de resoluciones de
carácter confidencial)
Exposición de
información en medios no
[DI25] Transacciones seguros.
Persuasión
bancarias Exposición de
credenciales de acceso
Contraseñas débiles
[DI26] Informes, planes y
No aplica
proyectos
[SI] Exposición de Phishing, Spear
Sistemas y [SI01] Directorio Activo credenciales de acceso Phishing
software Contraseñas débiles Persuasión
Exposición de Phishing, Spear
[SI02] Antivirus
credenciales de acceso Phishing
corporativo
Contraseñas débiles Persuasión
[SI03] Internet corporativo No aplica
[SI04] Internet Speedy No aplica
Exposición de Phishing, Spear
[SI05] Intranet biblioteca –
credenciales de acceso Phishing
BOOK
Contraseñas débiles Persuasión
Exposición de Phishing, Spear
[SI06] Modulo
credenciales de acceso Phishing
administrativo
Contraseñas débiles Persuasión
[SI07] Páginas web No aplica
Exposición de Phishing, Spear
[SI08] Revista de
credenciales de acceso Phishing
Investigación (RevIA)
Contraseñas débiles Persuasión
Exposición de Phishing, Spear
[SI09] Seguridad
credenciales de acceso Phishing
perimetral (Proxy/Firewall)
Contraseñas débiles Persuasión
Exposición de Phishing, Spear
[SI10] Servicio de
credenciales de acceso Phishing
aplicaciones
Contraseñas débiles Persuasión
Exposición de Phishing, Spear
[SI11] Servicio de Base de
credenciales de acceso Phishing
Datos
Contraseñas débiles Persuasión
Exposición de Phishing, Spear
[SI12] Servicio de
credenciales de acceso Phishing
transferencia de Archivos
Contraseñas débiles Persuasión
Exposición de Phishing, Spear
[SI13] Servicio web credenciales de acceso Phishing
Contraseñas débiles Persuasión
Exposición de Phishing, Spear
[SI14] Sistema de aula
credenciales de acceso Phishing
virtual
Contraseñas débiles Persuasión
Exposición de Phishing, Spear
[SI15] Sistema de Centro
credenciales de acceso Phishing
de Idiomas
Contraseñas débiles Persuasión
76
Comportamiento de los
Grupo de Tipo de ataque de
Activo usuarios que afectan la
Activos ingeniería social
confidencialidad
[SI16] Sistema de Exposición de Phishing, Spear
convalidación académica credenciales de acceso Phishing
– FIIA Contraseñas débiles Persuasión
[SI17] Sistema de Exposición de Phishing, Spear
convalidación académico credenciales de acceso Phishing
– Economía Contraseñas débiles Persuasión
[SI18] Sistema de Exposición de Phishing, Spear
convalidación académico credenciales de acceso Phishing
– FIIS Contraseñas débiles Persuasión
Exposición de Phishing, Spear
[SI19] Sistema de escuela
credenciales de acceso Phishing
de Posgrado – EPG
Contraseñas débiles Persuasión
Exposición de Phishing, Spear
[SI20] Sistema de gestión
credenciales de acceso Phishing
académica
Contraseñas débiles Persuasión
[SI21] Sistema de Exposición de Phishing, Spear
prácticas preprofesionales credenciales de acceso Phishing
FIIS Contraseñas débiles Persuasión
Exposición de Phishing, Spear
[SI22] Sistema de
credenciales de acceso Phishing
repositorio digital
Contraseñas débiles Persuasión
Exposición de Phishing, Spear
[SI23] Sistema de
credenciales de acceso Phishing
seguimiento a egresados
Contraseñas débiles Persuasión
[SI24] Sistema Integrado Exposición de Phishing, Spear
de Administración credenciales de acceso Phishing
Financiera (SIAF) Contraseñas débiles Persuasión
[SI25] Sistema Integrado Exposición de Phishing, Spear
de Gestión Administrativa credenciales de acceso Phishing
(SIGA) Contraseñas débiles Persuasión
[SI26] Sistema operativo Acceso al equipo por
Persuasión
de usuario final terceros no autorizados
[SI27] Sistema operativo Acceso al equipo por
Persuasión
para servidores terceros no autorizados
Exposición de Phishing, Spear
[SI28] Sistema
credenciales de acceso Phishing
presupuestal (UNASPOI)
Contraseñas débiles Persuasión
Exposición de Phishing, Spear
[SI29] Sistema Virtual de
credenciales de acceso Phishing
Autoevaluación (SVA)
Contraseñas débiles Persuasión
[SI30] Software Exposición de Phishing, Spear
especializado académico credenciales de acceso Phishing
y de investigación Contraseñas débiles Persuasión
[SI31] Software Inventario Exposición de Phishing, Spear
Mobiliario Institucional credenciales de acceso Phishing
(SIMI) Contraseñas débiles Persuasión
[SI32] Software utilitario Uso de software “pirata”
[IH01] Cableado
[IH] No aplica
estructurado
77
Comportamiento de los
Grupo de Tipo de ataque de
Activo usuarios que afectan la
Activos ingeniería social
confidencialidad
Infraestructura [IH02] Dispositivos Acceso al equipo por
Persuasión
de TI y periféricos terceros no autorizados
Hardware [IH03] Equipamiento de Acceso al equipo por
Persuasión
respaldo terceros no autorizados
Acceso al equipo por
[IH04] Equipo biométrico Persuasión
terceros no autorizados
Acceso al equipo por
[IH05] Equipos de red Persuasión
terceros no autorizados
Acceso al equipo por
[IH06] PC de escritorio Persuasión
terceros no autorizados
Acceso al equipo por
[IH07] PC portátil Persuasión
terceros no autorizados
[IH08] Red eléctrica No aplica
Acceso al equipo por
[IH09] Servidor Persuasión
terceros no autorizados
[IH10] Soportes de Acceso por terceros no
Persuasión
información electrónicos autorizados
Acceso no autorizado a
[IH11] Soportes de los ambientes de
información no almacenamiento físico de Persuasión
electrónicos información no
electrónica.
78
En el ejercicio de ingeniería social aplicado denominado phishing se envió
un mensaje (elaborado para persuadir a los usuarios tal como se detalla en el
capítulo de la metodología) por correo electrónico a 159 usuarios. El correo
contenía un enlace hacia un formulario en línea para el ingreso de datos, entre ellos
la contraseña para acceder a su correo electrónico corporativo. De los 62 usuarios
que ingresaron al formulario por medio del enlace del mensaje de correo, 23
usuarios ingresaron su contraseña. El tipo de contraseña utilizado por los usuarios
que compartieron esos datos se puede apreciar que no son de alta complejidad, tal
como se muestra en la Tabla 12. algunas contraseñas están relacionadas con el
nombre de la persona, nombre de la oficina, facultad o institución, número de RUC
o DNI, etc.
Tabla 12.
Contraseñas con Baja Complejidad.
Usuario Contraseña
si***@unas.edu.pe silvia+40440
wi***@unas.edu.pe Agronomi@
di***@unas.edu.pe Wilfredo791881
se***@unas.edu.pe UNAS.18
ro***@unas.edu.pe 42158420
3.2.2 Integridad
El análisis concerniente a la dimensión de integridad de la variable protección
de los activos informáticos se hace desde la perspectiva de la cultura de seguridad
en la que se observa el efecto del comportamiento de los usuarios sobre la posible
alteración o modificación de los activos.
79
medición del estado de la variable dependiente. De acuerdo con la Tabla 13 y la
Figura 15, el nivel de integridad está en un nivel medio y bajo.
Tabla 13.
Nivel de Integridad de la Protección de Activos de la Universidad Nacional Agraria
de la Selva.
Figura 15.
Nivel de Integridad de la Protección de Datos de la Universidad Nacional Agraria
de la Selva
80
La explicación principal del resultado de nivel bajo son los tipos de incidentes
de seguridad orientados al uso de software no licenciados, descarga e infección de
malware. Este tipo de incidentes afecta a la integridad de los activos informáticos
como a la plataforma tecnológica donde pueden ocurrir alteraciones de los sistemas
operativos de los dispositivos (el hecho mismo de utilizarse software “crackeado”
impacta directamente con la integridad de los aplicativos) o corromper datos
contenidos o procesados por elementos de software sin licencia legal y acción de
malware. Del mismo modo el daño ocasionado a los activos informáticos por la
alteración no autorizada de datos en sistemas informáticos son uno de los
problemas que afectan la integridad de los activos.
Por otro lado, como resultado de la ejecución del ataque de ingeniería social
por la técnica de persuasión (suplantación de rol) afectó la integridad de la
configuración de la computadora de los usuarios que fueron víctimas. La alteración
fue en la creación de un usuario local en el sistema operativo. Aunque no fue
realizada directamente por el usuario, la técnica aplicada tuvo el objetivo de acceder
al equipo físico del usuario y realizar los cambios mencionados, de tal forma que
con la configuración alterada se aseguraba acceso al equipo con credenciales
81
válidas sin necesidad de ejecutar procedimientos adicionales o que demanden
mayor esfuerzo técnico como explotar alguna vulnerabilidad tecnológica.
82
Tabla 14.
Comportamiento de los Usuarios y Tipos de Ataque de Ingeniería Social que afectan directamente a la Integridad.
83
[DI15] Información académica (datos de X X X
alumnos, docentes, calificaciones, actas, carga
académica)
[DI16] Información de página web institucional X X
84
[SI09] Seguridad perimetral (Proxy/Firewall) X X
85
[SI28] Sistema presupuestal (UNASPOI) X X
[IH06] PC de escritorio X X
[IH07] PC portátil X X
[IH09] Servidor X X
86
3.2.3 Disponibilidad
El comportamiento de los usuarios en el contexto de la cultura de seguridad
de información puede tener un efecto en la dimensión de la disponibilidad de la
protección de los activos informáticos cuando se utilizan y no se da un adecuado
tratamiento quedando inutilizados o no disponibles. Producto de eliminar el activo,
generar errores en la transmisión o comunicación, no respetar las políticas de
seguridad sobre el uso de los activos, y en general no tener conciencia sobre los
aspectos de seguridad de la información, pueden generar una falta de
disponibilidad del activo.
Tabla 15.
Nivel de Disponibilidad de la Protección de Activos de la Universidad Nacional
Agraria de la Selva.
87
Fuente: Elaboración propia.
Figura 16.
Nivel de Disponibilidad de la Protección de Datos de la Universidad Nacional
Agraria de la Selva
88
en el ecosistema de la seguridad como son la gestión de riesgos, la gestión de
incidentes, y el sistema de gestión de seguridad de la información que son
necesario para generar la madurez ordenada y consistente de la cultura de
seguridad de la información.
89
Figura 17.
Modelo General de Cultura de Seguridad de Información.
90
Figura 18.
Propuesta de Proceso de madurez de la Cultura de Seguridad de la Información.
92
formulario, algunos datos entre los que destaca la contraseña de su correo
electrónico institucional.
Figura 19.
Reporte dnstwister de dominios disponibles similares al dominio objetivo.
93
red; el usuario confió plenamente en el “atacante” otorgándole acceso para
manipular el equipo de cómputo, extrayendo de esta manera, datos de interés como
la dirección MAC, direccionamiento IP, y las credenciales de usuario del dominio.
Figura 20.
Ejemplo de correo electrónico para phishing.
94
planificar y ejecutar programas de concienciación, cumplimiento y responsabilidad
(apropiación)
Para los programas de concienciación y responsabilidad se sugiere utilizar
como referencia los métodos propuestos por el Instituto Nacional de Ciberseguridad
de España (INCIBE, 2015) y el Instituto SANS (SANS Institute, 2020) de Estados
Unidos, que se resumen en las siguientes consideraciones:
• Charlas sobre concienciación y responsabilidad en seguridad de la
información a todos los nuevos integrantes de la organización dentro de los
programas de inducción, además de charlas semestrales para todos los
usuarios de la institución.
• Boletines físicos y electrónicos mensuales o por periodos pertinentes según
resultados del análisis del diagnóstico, con recomendaciones y casos
prácticos para interiorizar aspectos de seguridad de la información.
• Publicaciones (posters, diagramas, animaciones) por las redes sociales de
la institucional, correo electrónico, en físico, etc.
Para los programas de cumplimiento, el principal insumo debe estar
adecuadamente definido, y es la política de seguridad de la información este
insumo importante. El propósito es mantener a los usuarios informados es contribuir
a un comportamiento afín a las buenas prácticas de seguridad; también puedan
enfrentar situaciones a problemas de seguridad de la información (Li, y otros, 2018).
Lo que se propone incluir en este aspecto es lo siguiente:
• Formular una política sin ambigüedades basado en los activos de
información clasificados, los procesos organizacionales y los objetivos
estratégicos.
• Establecer estrategias de difusión y comunicación de la política de
seguridad para todos los miembros de la organización.
95
flash USB, discos externos, entre otros), asimismo, capacitar a los usuarios en los
procedimientos de identificación y reporte de incidentes de seguridad.
Un aspecto importante en el fortalecimiento de capacidades y competencias
sobre seguridad de la información es la orientada a los profesionales y técnicos de
tecnologías de la información (TI), que en muchos casos no han tenido una
formación previa en aspectos de seguridad de la información, por lo que el efecto
negativo puede ser mayor con este tipo de usuarios frente a los activos informáticos
de la organización, por lo que se deben considerar programas de capacitación
diferenciados para el personal de TI.
96
importante para reducir o contener los daños que pueda causar.
Para este propósito se disponen de diversas guías o metodologías que
ayudan a estructurar y organizar un proceso de gestión de incidentes que se
adecue a las dimensiones y complejidad de la organización, una de esas guías es
el publicado por el Instituto Nacional de Estándares y Tecnología de Estados
Unidos (NIST por sus siglas en inglés) en el documento NIST 800-61rv2 (2012)
correspondiente a la “Guía de manejo de incidentes de seguridad informática” el
cual define cuato etapas para la gestión de incidentes: preparación, detección y
análisis, contención, erradicación y recuperación, y, actividades post-incidente; y
esta última fase es significativa en el sentido de aportar las lecciones aprendidas
que servirán para la retroalimentación para las estrategias que se aplicarán.
En el mismo sentido, se disponen de alternativas similares como el
propuesto por el Instituto SANS en su guía para el manejo de incidentes que
establece seis fases (preparación, identificación, contención, erradicación,
recuperación y reporte) muy similares a las de NIST. Tambien la Agencia de la
Unión Europea para la Seguridad de la Información y Redes (2016) (ENISA por sus
siglas en inglés) establece las etapas de analisis de datos, investigación, propuesta
de acción, ejecutar acción y, erradición y recuperación.
Al presentar una similitud las diferentes guías sobre el manejo de incidentes
se proponen las etapas mostradas en la Figura 21 que resumen la gestión de
incidentes propuesta como parte del ecosistema del modelo de la cultura de
seguridad de la información.
97
Figura 21.
Fases de la Gestión de Incidentes.
98
Figura 22.
Sistema de Gestión de la Seguridad de la Información.
99
3.4 Validación de Hipótesis
Para la contrastación de la hipotesis de investigaición se formularán las
hipotesis estadísticas para las variables de investigación en función a sus
dimensiones.
3.4.1 Hipótesis específica 1.
La primera hipotesis específica de investigación es: “La concienciación
influye directa y significativamente en el nivel de protección de los activos
informáticos de la Universidad Nacional Agraria de la Selva.”
Las hipotesis estadísticas son:
% del total
Confidencialidad
Total
Bajo Medio Alto
100
Tabla 17.
Prueba de chi-cuadrado de Concienciación*Confidencialidad
Significación
Valor gl asintótica
(bilateral)
a
Chi-cuadrado de Pearson 30,635 2 ,000
Razón de verosimilitud 35,856 2 ,000
Asociación lineal por lineal 22,879 1 ,000
N de casos válidos 99
a. 1 casillas (16,7%) han esperado un recuento menor que 5. El
recuento mínimo esperado es 3,39.
101
valores que toma son de bajo y medio cuando el nivel de cumplimiento se ubica en
sostenible, y cuando el cumplimiento tiende a ser óptimo el nivel de integridad se
ubica principalmente en valor de medio y alto.
Tabla 18.
Tabla cruzada Cumplimiento*Integridad
% del total
Integridad
Total
Bajo Medio Alto
Cumplimiento Sostenible 29,3% 35,4% 64,6%
Optimo 9,1% 17,2% 9,1% 35,4%
Total 38,4% 52,5% 9,1% 100,0%
Tabla 19.
Prueba de chi-cuadrado de Cumplimiento*Integridad
Significación
Valor gl asintótica
(bilateral)
N de casos válidos 99
102
3.4.3 Hipótesis específica 3.
La tercera hipotesis específica de investigación es: “La apropiación influye
directa y significativamente en el nivel de protección de los activos informáticos de
la Universidad Nacional Agraria de la Selva”.
Las hipotesis estadísticas son:
% del total
Disponibilidad
Total
Bajo Medio
103
Tabla 21.
Prueba de chi-cuadrado de Apropiación*Disponibilidad
Significación
Valor gl asintótica
(bilateral)
a
Chi-cuadrado de Pearson 68,276 2 ,000
Razón de verosimilitud 72,827 2 ,000
Asociación lineal por lineal 17,916 1 ,000
N de casos válidos 99
a. 1 casillas (16,7%) han esperado un recuento menor que 5. El
recuento mínimo esperado es 2,00.
104
3.5 Discusión de Resultados.
En esta sección se realizará las comparaciones de los resultados de la
investigación con los antecedentes descritos en el capítulo I.
105
entre tres grandes componentes para la seguridad de la información (cultura
organizacional, gobierno corporativo y seguridad de la información); esta
comparación toma relevancia en el sentido de observar que el modelo propuesto
por esta tesis incluye los componentes definidos por Thomson pero de una forma
distinta, donde se hace énfasis en la concienciación, cumplimiento y apropiación
que explican el comportamiento de los usuarios y su influencia en la seguridad de
la información representando por la variable de protección de activos informáticos,
por lo tanto, se consideran aspectos de la cultura organizacional, gobierno
corporativo y seguridad de la información. Además, en este estudio se evidencia la
efectividad del diagnóstico en cuyo resultado se observa la relación de los
componentes de la cultura de seguridad con la confidencialidad, integridad y
disponibilidad de los activos.
106
apropiación (principalmente en el nivel de desarrollo), eso se explica que los
usuarios pueden conocer el significado de la seguridad de la información, pero no
se refleja necesariamente en su comportamiento. Este resultado corrobora lo
mencionado por Furnell y Thomson (2009), y aunque ellos indican que no es
suficiente para asegurar un nivel de cumplimiento deseado, esta tesis plantea que
la utilidad e importancia radica en la afirmación que la concienciación forma parte
de la base del proceso de madurez de una cultura de seguridad de información que
tenga un impacto positivo en la seguridad de los activos de información de la
organización.
107
políticas de seguridad por parte de las personas que forman parte de la
organización, es decir, es posible cumplir la norma a nivel de institución, pero se
hace evidente que no se tiene el mismo escenario desde la perspectiva individual
o de grupos, porque el problema suele estar en la forma en la que se ejecutan los
mecanismos de implementación de normas o estándares que por lo general está
basado en documentación dejando de lado la contrastación real y práctica. Además
de implementar un SGSI utilizando el ciclo PDCA como lo manifiesta Sun (2020),
este estudio plantea que el SGSI tenga una fuerte interacción con los elementos de
la cultura de seguridad de la información, la gestión de riesgos y la gestión de
incidentes que finalmente tengan el propósito de proteger los activos de
información.
108
la implementación de normas y SGSI haciendo énfasis en aspectos tecnológicos y
algunos de gestión y procedimientos tal como lo mencionan en los trabajos de
Alonge (2020), Rodionova (2020) y Rai (2020), sin embargo la presente
investigación de acuerdo con los resultados obtenidos se afirma que la protección
de activos es afectado directamente por el comportamiento de los usuarios, por lo
que dimensiones como la confidencialidad, integridad y disponibilidad pueden verse
impactados manifestándose en incidentes de seguridad, y esto se ve reforzado con
los hallazgos de Walker-Roberts y otros (2019) y Ahmad y otros (2020) donde
manifiestan que el error humano es causa de la mayoría de los incidentes de
seguridad convirtiéndose finalmente también en una oportunidad de aprendizaje y
concienciación para mejorar los procesos de respuesta a incidentes.
109
Conclusiones
De acuerdo con los problemas y objetivos de investigación se plantean las
siguientes conclusiones:
110
d. De manera global se concluye que la cultura de seguridad de la
información influye significativamente en la protección de activos informáticos, y
ante un escenario de mejora y madurez de la cultura de seguridad de la información,
la protección de activos será más eficaz, y eso se deberá evidenciar en la cantidad
de incidentes de seguridad que están relacionados con el comportamiento de las
personas que son miembros de la organización.
e. El modelo de cultura de seguridad de la información propuesto es
producto de una revisión bibliográfica importante y la observación del caso de
estudio que por un proceso deductivo se generaliza a una representación como un
ecosistema que incluye subsistemas y procesos que siendo articulados
adecuadamente contribuyen a una madurez de la cultura de seguridad en una
organización. Los componentes principales son el sistema de gestión de seguridad
de la información (SGSI), la gestión de riesgos, la gestión de incidentes y el
diagnóstico de la cultura de seguridad de la información basada en instrumentos
tipo encuesta y la aplicación de técnicas de ingeniería social.
111
Recomendaciones
a. Organizar programas de concienciación y capacitación técnica para el
fortalecimiento de los conocimiento y capacidades de los miembros de la
organización, diferenciando los tipos de usuarios internos (usuarios profesionales y
técnicos de TI, usuarios directivos, usuarios operadores, etc.).
b. La adopción de estándares o normas debe ser integral, comunicada
efectivamente y orientada a las personas, de tal forma que el cumplimiento
documental también se refleje en el comportamiento de los miembros de la
organización.
c. Desarrollar estudios más profundos sobre los procesos de madurez de la
cultura de seguridad de la información y cuál es su efecto sobre otras variables de
la organización como el gobierno de TI y la gestión institucional, fijando niveles de
responsabilidad sobre el comportamiento que los miembros de la organización
deben asumir, acompañado de programas de capacitación y comunicación
eficientes.
d. La ejecución de técnicas de ingeniería social como un instrumento útil
para corroborar el comportamiento real de los usuarios internos de la organización
como complemento a la aplicación del instrumento de diagnóstico de la cultura de
seguridad de la información. También realizar un proceso de reconocimiento
(recopilación de información) basado en técnicas de OSINT (Inteligencia de
Fuentes Abiertas) de tal forma que se tenga un panorama de el volumen y tipo de
información institucional que los miembros de la organización hayan expuesto en
el Internet.
112
Referencias bibliográficas.
113
Avnet, M. (2015). A network-based approach to organizational culture and learning
in system safety. Procedia Computer Science, 44, 588-598.
Bowen, P., Hash, J., & Wilson, M. (2006). Information Security Handbook: A Guide
for Managers NIST Special Publication 800-100. USA: Institute of
Standards and Technology. Obtenido de
https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-
100.pdf
Brent, W. (Octubre de 2018). Introducing cyber security by designing mock social
engineering attacks. J. Comput. Sci. Coll, 34(1), 235–241.
Bullée, J. W., Montoya, L., Pieters, W., Junger, M., & Hartel, P. H. (2015). The
persuasion and security awareness experiment: reducing the success of
social engineering attacks. Journal of Experimental Criminology, 11(1), 97–
115. doi:https://doi.org/10.1007/s11292-014-9222-7
Change Activation. (2017). Simple Guide to Change Management Models. Better
Business Learning Pty Ltd.
Chen, L., Zhen, J., Dong, K., & Xie, Z. (2019). Effects of sanction on the mentality
of information security policy compliance. Revista Argentina de Clinica
Psicologica, 29(1), 39–49. doi:https://doi.org/10.24205/03276716.2020.6
Cisco Systems Inc. (2018). Cisco 2018. Reporte Anual de Ciberseguridad.
doi:https://doi.org/10.3726/978-3-0352-0094-2/1
CONCYTEC. (2018). Reglamento De Calificación, Clasificación Y Registro De Los
Investigadores Del Sistema Nacional De Ciencia, Tecnología E Innovación
Tecnológica - Reglamento Renacyt. Lima, Lima, Perú: Concytec. Obtenido
de
https://portal.concytec.gob.pe/images/renacyt/reglamento_renacyt_version_
final.pdf
Cújar Vertel, A., Ramos Paternina, C., Hernández Riaño, H., & López Pereira, J.
M. (setiembre de 2013). Cultura organizacional: evolución en la medición.
Estudios Gerenciales , 29(128), 350-355.
Da Veiga, A. (2008). Cultivating and Assessing Information Security Culture.
Pretoria, Sudafrica.
Da Veiga, A. (2016). A cybersecurity culture research philosophy and approach to
develop a valid and reliable measuring instrument. 2016 SAI Computing
Conference, (págs. 1006–1015).
doi:https://doi.org/10.1109/SAI.2016.7556102
Da Veiga, A. (2018). An approach to information security culture change
combining ADKAR and the ISCA questionnaire to aid transition to the
desired culture. Emerald Insigh, 26(5), 584–612.
doi:https://doi.org/10.1108/ICS-08-2017-0056
114
Da Veiga, A., & Eloff, J. H. (2010). A framework and assessment instrument for
information security culture. 29(2), 196–207.
doi:https://doi.org/10.1016/j.cose.2009.09.002
Da Veiga, A., & Martins, N. (2015). Information security culture and information
protection culture : A validated assessment instrument. Computer Law &
Security Review, 1(31), 243–256.
doi:https://doi.org/10.1016/j.clsr.2015.01.005
Da Veiga, A., & Martins, N. (April de 2015a). Information security culture and
information protection culture: A validated assessment instrument.
Computer Law & Security Review, 31(2), 243-256.
Da Veiga, A., & Martins, N. (2015b). Improving the information security culture
through monitoring and implementation actions illustrated through a case
study. Computers and Security, 49, 162–176.
doi:https://doi.org/10.1016/j.cose.2014.12.006
Edwards, J., Davey, J., & Armstrong, K. (2015). Cultural Factors: Understanding
Culture to Design Organisational Structures and Systems to Optimise
Safety. (T. Ahram, W. Karwowski, & D. Schmorro, Edits.) Procedia
Manufacturing, 3, 4991 – 4998.
ENISA. The European Union Agency for Network and Information Security.
(2016). Incident Handling Management Handbook 1.0.
ESET. (2019). ESET SECURITY REPORT Latinoamerica 2019. Obtenido de
https://www.welivesecurity.com/wp-content/uploads/2019/07/ESET-
security-report-LATAM-2019.pdf
Espinoza Montes, C. (2014). Metodología de la investigación tecnológica.
Pensando en sistemas. Huancayo, Huancayo, Perú: Soluciones Gráficas
SAC.
Feng-Quan, L. (2015). Research on the evaluation of information security
management under intuitionisitc fuzzy environment . International Journal of
Security and its Applications, 9(5), 43-54.
Furnell, S., & Thomson, K. L. (2009). From culture to disobedience: Recognising
the varying user acceptance of IT security. Computer Fraud and Security,
2009(2), 5-10. doi:https://doi.org/10.1016/S1361-3723(09)70019-3
Gomez Fernandez, L., & Andres Alvarez, A. (2012). Guia De Aplicacion De La
Norma Une-Iso/Iec 27001 Sobre Seguridad En Sistemas De Informacion
Para Pymes (2da ed.). Barcelona, España: AENOR. Asociacion Española
De Normalizacion Y Certificacion.
Guo, K. H. (2013). Security-related behavior in using information systems in the
workplace: A review and synthesis. Computers and Security, 32(1), 242–
251. doi:https://doi.org/10.1016/j.cose.2012.10.003
115
Heartfield, R., & & Loukas, G. (2015). A Taxonomy of Attacks and a Survey of
Defence Mechanisms for Semantic Social Engineering Attacks. ACM
Comput. Surv, 48(3), 1–39. doi:https://doi.org/10.1145/2835375
Herkanaidu, R., Furnell, S., & Papadaki, M. (2020). Towards a Cross-Cultural
Education Framework for Online Safety Awareness. HAISA 2020. IFIP
Advances in Information and Communication Technology. 593, págs. 47-
57. Mytilene, Lesbos, Greece: Springer, Cham.
doi:https://doi.org/10.1007/978-3-030-57404-8_4
Hernández Sampieri, R., Fernández Collado, C., & Baptista Lucio, P. (2014).
Metodología de la Investigación (Sexta ed.). México: McGRAW-HILL.
Hessen, J. (1940). Teoría del Conocimiento. Mexico: Espasa-Calpe Mexicana.
Hiatt, J. M. (2006). ADKAR: A model for change in business, government and our
community. Loveland, Colorado, USA: Prosci Inc.
INCIBE. (2015). Kit de Concienciación - Manual de implantación. Madrid.
INDECOPI, C. d. (2009). Norma Técnica Peruana NTP-ISO/IEC 27001:2008.
Lima.
ISACA. (2013). Cobit for Risk. IL 60008, USA: Isaca.
ISO. (2005). ISO/IEC 17799 Tecnología de la Información – Técnicas de
seguridad – Código para la práctica de la gestión de la seguridad de la
información. 2da Edición. ISO.
ISO. (2016). iso.org. Obtenido de iso27001:
http://www.iso.org/iso/home/standards/management-
standards/iso27001.htm
ISO/IEC. (2013). ISO 27001:2013. Information technology -- Security techniques --
Information security management systems -- Requirements. ISO.
Recuperado el 20 de Junio de 2015, de
https://www.iso.org/obp/ui/#iso:std:iso-iec:27001:ed-2:v1:en
Kang, M. (2015). Security experts capability design for future internet of things
platform. Journal of Supercomputing, 72(1), 17.
doi:https://doi.org/10.1007/s11227-015-1490-0
Lacatus, M. L. (15 de Abril de 2013). Organizational culture in contemporary
university. (E. Soare, Ed.) Procedia - Social and Behavioral Sciences, 76,
421-425.
Lewin, K. (1947). Frontiers in group dynamics.
Li, L., He, W., Xu, L., Ash, I., Anwar, M., & Yuan, X. (octubre de 2018).
Investigating the impact of cybersecurity policy awareness on employees’
cybersecurity behavior. International Journal of Information Management,
45, 13–24. doi:https://doi.org/10.1016/j.ijinfomgt.2018.10.017
116
Liu, C., Wang, N., & Liang, H. (2020). Motivating information security policy
compliance: The critical role of supervisor-subordinate guanxi and
organizational commitment. International Journal of Information
Management, 54(28). doi:https://doi.org/10.1016/j.ijinfomgt.2020.102152
Marchand-Niño, W. R. (2017). Modelo de un Sistema de Gestión de Seguridad de
Información. Caso : Universidad Nacional Agraria de la Selva. XVII Jornada
Internacional de Seguridad Informática ACIS 2017 (págs. 1-9). Bogotá:
ACIS. Obtenido de
https://www.researchgate.net/publication/318224190_Modelo_de_un_Siste
ma_de_Gestion_de_Seguridad_de_Informacion_Caso_Universidad_Nacio
nal_Agraria_de_la_Selva
Mariño Obregón, A. (2010). Factores inhibidores en la implementación de
sistemas de gestión de la seguridad de la información basado en la NTP-
ISO/IEC 17799 en la administración pública. Lima, Perú: Universidad
Nacional Mayor de San Marcos.
Mesquida, A. L., Mas, A., Amengual, E., & Cabestrero, I. (Noviembre de 2010).
Sistema de Gestión Integrado según las normas ISO 9001, ISO/IEC 20000
e ISO/IEC 27001. REICIS. Revista Española de Innovación, Calidad e
Ingeniería del Software, 25-34.
Ministros, P. d. (2012). Resolución Nº 123-2012-PCM. Lima.
Mitnick, K., & Simon, W. (2007). El Arte de la Intrusión. (A. G. Editor, Ed.) Mexico:
RA-MA.
Mitnick, K., & Simon, W. L. (2002). The Art of Deception. Controlling the Human
Element of Security. (C. Long, Ed.) Indianapolis, Indiana: Wiley Publishing,
Inc.
Monev, V. (2020). Organisational Information Security Maturity Assessment Based
on ISO 27001 and ISO 27002. 2020 IEEE International Conference on
Information Technologies (págs. 1-5). St. Constantine and Elena, Bulgaria:
IEEE. doi:https://doi.org/10.1109/infotech49733.2020.9211066
Morin, E. (2003). Introducción al pensamiento complejo (6ta ed.). Barcelona,
España: GEDISA.
Morin, E. (2004). LA EPISTEMOLOGÍA DE LA COMPLEJIDAD. Gazeta de
Antropología(20), 47-77.
Morin, E. (2006). El Método I. La naturaleza de la naturaleza. Catedra.
Mouton, F. M. (2013). Social engineering from a normative ethics perspective.
2013 Information Security for South Africa. Proceedings of the ISSA 2013
Conference. doi:https://doi.org/10.1109/ISSA.2013.6641064
Mouton, F., Leenen, L., & & Venter, H. S. (2016). Social engineering attack
examples, templates and scenarios. Computers and Security, 59, 186–209.
doi:https://doi.org/10.1016/j.cose.2016.03.004
117
Mouton, F., Malan, M. M., Kimppa, K. K., & Venter, H. S. (2015). Necessity for
ethics in social engineering research. Computers and Security, 55, 114–
127. doi:https://doi.org/10.1016/j.cose.2015.09.001
Nancylia, M. (2014). The measurement design of information security
management system. Telecommunication Systems Services and
Applications (TSSA), 2014 8th International Conference on . Kuta.
NIST. National Institute of Standards and Technology. (2012). Computer Security
Incident Handling Guide 800-61r2.
Ög˘ ütçü, G., Müge Testik, Ö., & Chouseinoglou, O. (Febrero de 2016). Analysis of
personal information security behavior and awareness. Computers &
Security, 56, 83-93.
Orgill, G. L., Romney, G. W., Bailey, M. G., & Orgill, P. M. (2004). The Urgency for
Effective User Privacy-education to Counter Social Engineering Attacks on
Secure Computer Systems. In Proceedings of the 5th conference on
Information technology education, 177–181.
PCI Security Standards Council. (2016). Industria de Tarjetas de Pago (PCI).
Norma de seguridad de datos. Security. Obtenido de
https://es.pcisecuritystandards.org/_onelink_/pcisecurity/en2es/minisite/en/
docs/PCI_DSS_v3-2_es-LA.pdf
Peterson, K. (2015). The Relationship Between Corporate Security and
Information Technology Professionals. En Security Supervision and
Management: Theory and Practice of Asset Protection: Fourth Edition
(págs. 569-579). Elsevier Inc.
Rai, A., Singh, A. S., & Kumar, A. S. (mayo de 2020). A Review of Information
Security: Issues and Techniques. International Journal for Research in
Applied Science & Engineering Technology (IJRASET), 8(5), 953-963.
doi:10.1145/1216218.1216224
Ramió Aguirre, J. (2013). La enseñanza universitaria en seguridad TIC como
elemento dinamizador de la cultura y la aportación de confianza en la
sociedad de la información en España. León, España.
Rocha Flores, W., & Ekstedt, M. (June de 2016). Shaping intention to resist social
engineering through transformational leadership, information security
culture and awareness. Computers & Security, Volume 59, Pages 26-44.
Rodionova, Z., & Utepbergenov, I. (2020). THE CONCEPT OF ADAPTIVE
INFORMATION SECURITY MANAGEMENT IN DIGITAL
ORGANIZATIONS BASED ON THE ANALYSIS AND MONITORING OF
BUSINESS PROCESSES. 51st International Scientific Conference on
Economic and Social Development, (págs. 409-415). Rabat. Obtenido de
https://www.researchgate.net/profile/Daniela_Soldic_Frleta/publication/3406
20860_ZERO_WASTE_CONCEPT_IN_TOURISM/links/5e95848e299bf130
7997ab18/ZERO-WASTE-CONCEPT-IN-TOURISM.pdf#page=418
118
Roessing, R. M. (2010). The Business Model for Information Security. Rolling
Meadows, USA: ISACA.
Roessing, R. M. (2010). The Business Model for Information Security. USA:
ISACA.
Ross, S. J. (2011). Creating a Culture of Security. USA: ISACA.
SANS Institute. (2020). SANS Security Awareness. Obtenido de
https://www.sans.org/security-awareness-training
Sarayreh, B., Khudair, H., & & Barakat, E. A. (2013). Comparative Study: The Kurt
Lewin of Change Management. Internacional Journal of Computer and
Information Technology, 2(4), 4-7. Obtenido de
http://ijcit.com/archives/volume2/issue4/Paper020413.pdf
Schein, E. H. (1992). Organizational culture and leadership (1era ed.). San
Francisco, CA, EE.UU.: The Jossey-Bass business & management series.
Recuperado el 2016
Sun, Z., Zhang, J., Yang, H., & Li, J. (2020). Research on the Effectiveness
Analysis of Information Security Controls. Proceedings of 2020 IEEE 4th
Information Technology, Networking, Electronic and Automation Control
Conference, ITNEC 2020, (págs. 894–897).
doi:https://doi.org/10.1109/ITNEC48623.2020.9084809
Thomson, K. (2007). Model for information security shared tacit espoused values.
Port Elizabeth, Sudafrica.
Tolah, A., Furnell, S. M., & Papadaki, M. (2019). A Comprehensive Framework for
Understanding Security Culture in Organizations. IFIP Advances in
Information and Communication Technology. 557, págs. 143–156. Springer
International Publishing. doi:https://doi.org/10.1007/978-3-030-23451-5_11
Tolstoy, A., & Miloslavskaya, N. (2019). Andragogy as a Scientific Basis for
Training Professionals in Information Security. WISE 2019. IFIP Advances
in Information and Communication Technology. 557, págs. 72-85. Lisbon,
Portugal: Springer, Cham. doi:https://doi.org/10.1007/978-3-030-23451-5_6
Umana, A. (07 de diciembre de 2015). ISACA.ORG. Obtenido de COBIT 5 y el
valor agregado de la gobernanza de TI en las empresas:
http://www.isaca.org/COBIT/focus/Pages/cobit-5-and-the-added-value-of-
governance-of-enterprise-it-spanish.aspx
Universidad Nacional Agraria de la Selva. (2020). Universidad Nacional Agraria de
la Selva. Obtenido de Documentos de Gestión de TI:
https://portal.unas.edu.pe/estatutos-y-reglamentos
Verizon. (2018). 2018 Data Breach Investigations Report. Obtenido de
http://rp_data-breach-investigations-report-2013_en_xg.pdf
Verizon. (2020). 2020 Data Breach Investigations Report. Obtenido de
https://doi.org/10.1017/CBO9781107415324.004
119
Walker-Roberts, S., Hammoudeh, M., Aldabbas, O., Aydin, M., & Dehghantanha,
A. (2019). Threats on the horizon: understanding security threats in the era
of cyber-physical systems. Journal of Supercomputing, 76(4), 2643–2664.
doi:https://doi.org/10.1007/s11227-019-03028-9
Wallhead, R. (2020). DNSTwister. Obtenido de https://dnstwister.report/
Whitman, M., & Mattord, H. (2011). Principles of Information Security. Boston,
USA: Course Technology.
Winkler, I. S., Dealy, B., Winkler, I. S., & Parkway, H. S. (1995). Information
Security Technology ?... Don ’ t Rely on It A Case Study in Social
Engineering. In USENIX UNIX Security Symposium.
Yazdanmehr, A., & Wang, J. (22 de setiembre de 2016). Employees' information
security policy compliance: A norm activation perspective. Decision Support
Systems, 92, 36-46.
120
Anexos
Edad:
1. Entre 18 y 25
2. Entre 26 y 35
3. Entre 36 y 45
4. Entre 46 y 55
5. Mas de 55
Sexo:
1. Femenino
2. Masculino
Nivel de estudios alcanzado:
1. Secundaria
2. Técnico superior
3. Universitario
4. Maestría
5. Doctorado
Dimensión: CONCIENCIACIÓN
121
Marcar solo una alternativa, donde:
TD = Totalmente en Desacuerdo
D = Desacuerdo
I = Inseguro
A = de Acuerdo
TA= Totalmente de Acuerdo
Enunciado TD D I A TA
19 [La seguridad de la información se debe
administrar a través de un programa formal (por
ejemplo, los empleados tienen funciones y
responsabilidades de seguridad de la información
definidas, campañas de concientización).]
25 [Creo que es necesario dedicar tiempo a la
seguridad de la información.]
26 [Es importante comprender las amenazas (por
ejemplo, el robo de equipos y la alteración o mal uso
de la información) a los activos de información en mi
área]
33 [La seguridad de la información es necesaria en mi
área.]
35 [Acepto que algunos inconvenientes (por ejemplo,
cambiar mi contraseña con regularidad, guardar
documentos confidenciales o hacer copias de
seguridad) son necesarios para asegurar información
importante]
37 [Creo que los requisitos de seguridad de la
información deben incorporarse en mis tareas diarias]
38 [Creo que es necesario destinar dinero a la
seguridad de la información.]
40 [Los activos de información en formato de medios
electrónicos (por ejemplo, información guardada en
mi disco duro, CD o una tarjeta de memoria) deben
estar protegidos]
41 [Los activos de información en formato de papel /
copia impresa (por ejemplo, contratos e informes
impresos) deben estar protegidos]
42 [Soy consciente de los aspectos de seguridad de
la información relacionados con la función de mi
trabajo (por ejemplo, cómo elegir una contraseña o
manejar información confidencial)]
45 [La seguridad de la información debe ser parte de
mi programa de desarrollo de desempeño (PDD)]
46 [Creo que mi área dedica suficiente tiempo a la
seguridad de la información.]
47 [La seguridad de la información es percibida como
importante por mis colegas.]
51 [La seguridad de la información es percibida como
importante por la alta dirección y funcionarios.]
52 [Creo que la información con la que trabajo está
protegida adecuadamente (por ejem: el control de
acceso a oficinas, el bloqueo de la información
confidencial, el conocimiento de la información que
proporciono a otras personas y las credenciales de
inicio de sesión necesario para el acceso a los sist.
informáticos)]
53 [La seguridad de la información es percibida como
importante por los ejecutivos.]
58 [Creo que hay una necesidad de capacitación
adicional para utilizar los controles de seguridad de la
información con el fin de proteger la información.]
122
59 [Creo que las iniciativas de concientización sobre
seguridad de la información son efectivas.]
60 [Mis colegas se cuidan cuando hablan de
información confidencial en lugares públicos.]
61 [Creo que es importante limitar la recopilación y el
intercambio de información personal sensible.]
62 [Mis colegas se aseguran de que la información
del cliente esté protegida (por ejemplo, encriptada)
cuando se saca del sitio]
65 [Creo que el acceso a los sitios de redes sociales
mejorará mis actividades laborales]
Dimensión: CUMPLIMIENTO
123
23 [Creo que los terceros que tienen acceso a
información confidencial de la UNAS conservan su
confidencialidad]
24 [Los contenidos de la política de seguridad de la
información son fáciles de entender.]
28 [Estoy informado de manera oportuna sobre cómo
me afectarán los cambios en la seguridad de la
información]
29 [Creo que la UNAS mantiene confidencial mi
información privada (por ejemplo, información sobre
el salario o la evaluación de desempeño)]
30 [Creo que la política de seguridad de la
información es práctica.]
36 [Creo que la UNAS me comunica los requisitos
relevantes de seguridad de la información.]
44 [Creo que la UNAS implementa medidas de
seguridad de la información.]
50 [Creo que es necesario que la UNAS supervise el
cumplimiento de la política de seguridad de la
información.]
54 [Se deben tomar medidas (por ejemplo, un
procedimiento disciplinario) contra cualquier persona
que no cumpla con la política de seguridad de la
información (por ejemplo, si comparten contraseñas,
entregan información confidencial o visitan sitios de
Internet prohibidos)]
55 [Mi área describe claramente lo que se espera de
mí con respecto a la seguridad de la información]
56 [Creo que los empleados de la UNAS se adhieren
a la política de seguridad de la información]
57 [Mi área fomenta la adherencia a la política de
seguridad de la información.]
66. [La UNAS tiene directivas claras sobre cómo
proteger la información sensible y confidencial de los
empleados
Dimensión: APROPIACIÓN
124
31 [Creo que es necesario comprometer a las
personas con la seguridad de la información.]
32 [Mis colegas demuestran compromiso con la
seguridad de la información.]
34 [La seguridad de la información no solo es un
problema técnico (involucra a toda la organización)]
39 [Los empleados de TI demuestran compromiso
con la seguridad de la información.]
43 [Estoy preparado para cambiar mis prácticas de
trabajo para garantizar la seguridad de los activos de
información (por ejemplo, sistemas informáticos e
información en papel o en formato electrónico)]
48 [Creo que mi área podrá continuar con sus
operaciones diarias si se produce un desastre que
ocasione la pérdida de sistemas informáticos,
personas y /o locales.]
49 [Soy consciente de las consecuencias negativas
de infringir la política de seguridad de la información
de la UNAS]
63 [Me sentiría cómodo si la UNAS monitoreara lo
que publiqué en las redes sociales]
64 [Es aceptable para mí si los empleados fueron
disciplinados si publicaron comentarios inapropiados
sobre la UNAS en los sitios de redes sociales]
125
Anexo 2. Bases de Datos – Cultura de Seguridad de Información
a. Base de datos de Concienciación
1 SI No No No SI No SI No 5 5 5 5 5 5 5 5 5 3 5 1 1 1 1 1 5 3 1 5 1 3
2 SI No No No No No No No 3 5 5 4 1 5 1 5 5 5 4 1 1 4 2 2 4 1 2 5 3 3
3 SI No No No SI No SI SI 4 4 5 5 4 4 5 4 4 4 4 3 3 4 4 3 5 4 4 4 3 3
4 No No No No No No No No 5 4 4 3 3 2 2 4 4 4 4 2 2 2 4 2 4 3 2 2 2 2
5 SI No No No SI No SI SI 2 2 2 5 3 3 2 2 2 2 3 1 2 3 3 2 2 2 5 3 2 3
6 SI No No No No SI SI No 5 4 5 4 4 4 4 5 5 4 4 2 2 3 2 2 4 2 2 4 2 4
7 SI No SI No SI No SI SI 4 3 4 5 4 4 5 5 3 3 4 3 3 3 3 3 5 5 3 3 4 3
8 SI No SI No SI SI SI SI 3 3 3 4 3 3 3 3 3 3 3 3 3 3 3 4 3 3 3 3 3 4
9 SI SI No No SI SI SI SI 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 3 5 5 5 5
10 SI No SI No SI SI SI No 4 4 4 3 4 4 4 4 4 4 5 2 3 2 2 3 4 3 2 4 2 2
11 SI No SI SI No SI SI No 4 4 5 5 4 5 5 5 5 5 5 1 2 1 1 1 1 1 1 5 1 4
12 SI SI SI SI No No SI No 4 4 4 4 3 4 4 4 4 4 4 4 4 3 3 4 4 4 2 3 3 4
13 No No No No No No No No 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 5 4 3 4 3 3
14 SI SI SI SI SI SI SI No 3 4 3 4 4 4 5 4 4 3 3 3 3 2 2 2 3 2 2 3 3 2
15 No No No No SI No No No 1 4 5 5 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
16 SI No No No No No SI SI 4 4 4 4 4 4 2 4 4 4 4 3 4 4 4 4 4 4 4 4 4 4
17 SI No No No SI No SI SI 4 5 5 5 2 5 5 5 4 4 5 1 4 2 2 3 5 1 4 5 2 5
18 SI No SI SI No No SI No 3 3 4 5 5 5 5 5 5 5 4 1 1 1 1 1 1 2 1 4 1 3
19 SI SI SI No SI SI SI SI 3 4 4 4 4 3 4 4 4 4 4 3 4 3 4 4 4 4 4 4 4 4
20 SI SI No No SI No SI SI 3 4 5 4 5 4 5 5 5 4 5 3 4 4 3 4 5 3 3 4 3 4
21 SI No No No No SI SI No 5 5 5 5 1 5 5 5 5 5 5 5 5 5 5 5 5 2 5 5 5 5
22 SI No No SI No No SI No 4 5 4 4 4 4 4 5 5 4 4 4 4 3 4 3 4 3 4 4 3 3
23 SI No No No SI SI SI SI 2 4 4 4 4 4 4 4 4 4 4 2 3 2 2 2 5 2 2 4 2 5
24 SI No No No No No SI No 4 5 5 3 4 4 4 5 3 4 4 2 2 2 2 2 4 2 3 3 1 4
25 SI No No No SI SI SI No 4 4 4 4 4 4 4 4 4 3 4 2 2 4 4 4 4 3 2 3 2 2
26 SI No SI No SI No SI No 5 5 5 5 4 4 3 5 5 5 5 3 5 3 3 3 5 3 3 4 3 4
126
BASE DE DATOS ISCA - CONCIENCIACIÓN
Preguntas dicotómicas Enunciados con alternativa Likert
27 SI No SI SI SI SI SI SI 4 4 4 4 4 4 4 4 4 4 4 3 3 3 3 3 4 4 4 3 3 2
28 No No SI No SI No SI SI 3 5 5 3 5 5 5 5 5 4 4 3 2 4 4 5 5 2 3 5 4 5
29 No No SI No SI No No No 3 3 3 3 3 3 3 3 3 4 3 4 4 4 4 3 4 4 3 3 3 3
30 SI SI SI SI SI SI SI SI 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3
31 SI No SI SI No SI SI No 5 5 5 5 5 4 5 4 4 5 5 4 2 1 3 1 5 5 2 4 3 2
32 SI SI SI No No No SI SI 5 4 4 5 3 3 4 4 4 4 4 4 4 4 4 5 5 5 4 4 4 4
33 SI No No SI SI SI SI SI 5 4 5 5 3 4 5 5 5 4 4 2 3 2 2 2 5 2 2 4 2 3
34 SI No SI No SI No SI No 5 5 5 5 5 5 5 5 5 5 5 4 5 3 3 5 5 3 5 5 3 1
35 SI No No No SI SI SI No 4 4 4 4 4 4 4 4 4 4 4 3 3 4 3 3 4 4 3 4 4 4
36 SI No SI No No No SI SI 3 5 5 5 5 4 5 5 5 5 3 3 4 3 3 3 5 2 5 5 3 3
37 SI No SI SI No SI SI No 5 5 5 4 4 4 5 4 4 4 4 4 2 1 4 1 5 5 3 5 1 1
38 SI No SI SI SI SI SI SI 1 1 1 1 1 1 1 1 2 1 1 2 2 2 1 2 1 1 2 1 2 2
39 SI SI SI No No SI SI No 4 4 4 4 4 4 4 4 4 4 4 4 2 4 4 4 3 3 3 3 3 3
40 SI No SI No No SI SI No 4 4 4 4 5 3 3 5 5 4 4 2 3 3 4 3 4 3 3 4 3 1
41 SI SI No No SI No SI SI 2 3 3 4 4 4 4 4 4 4 4 3 3 2 2 2 2 2 2 2 2 2
42 SI No No No SI No SI No 3 3 4 3 1 2 3 3 4 3 3 2 3 1 3 2 3 2 4 4 3 3
43 SI No No No SI No SI SI 2 2 2 5 3 3 2 2 2 2 3 1 2 3 3 2 2 2 5 3 2 3
44 SI No No No No SI SI No 5 4 5 4 4 4 4 5 5 4 4 2 2 3 2 2 4 2 2 4 2 4
45 SI No SI No SI No SI SI 4 4 4 5 4 4 5 5 3 3 4 3 3 3 3 3 5 5 3 3 4 3
46 SI No SI No SI SI SI SI 3 3 3 4 3 3 3 3 3 3 3 3 3 3 3 4 3 3 3 3 3 4
47 SI SI No No No SI SI SI 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5
48 SI No SI No SI SI SI No 4 4 4 3 4 4 4 4 4 4 5 2 3 2 2 3 4 4 2 4 2 2
49 SI No SI SI No SI SI No 4 5 5 5 4 5 5 5 5 5 5 1 2 1 1 1 1 1 1 5 1 4
50 SI SI SI SI No No SI No 4 4 4 4 3 4 4 4 4 4 4 4 4 3 3 4 4 4 2 3 3 1
51 No No No No SI No No No 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 5 4 3 4 3 3
52 SI SI SI SI No SI SI No 4 4 3 4 4 4 5 4 4 3 3 3 3 2 2 2 3 2 2 3 3 2
53 No No No No SI No No No 1 5 5 5 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
54 SI No No No No SI SI No 4 4 4 4 4 4 4 4 4 3 4 2 2 4 4 4 4 4 2 3 2 2
55 SI No SI No SI No SI No 5 5 5 5 4 4 3 5 5 5 5 3 5 3 3 3 5 3 3 4 3 3
56 SI No SI SI SI SI SI SI 4 4 4 4 4 4 4 4 4 4 4 3 3 3 3 3 4 4 4 3 3 4
57 No No SI No SI No SI SI 3 5 5 3 5 5 5 5 5 4 4 3 2 4 4 5 5 4 3 5 4 5
58 No No SI No No No No No 3 3 3 3 3 3 3 3 3 4 3 4 4 4 4 3 4 4 3 3 3 1
127
BASE DE DATOS ISCA - CONCIENCIACIÓN
Preguntas dicotómicas Enunciados con alternativa Likert
59 SI SI SI SI SI SI SI SI 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3
60 SI No SI SI SI SI SI No 5 5 5 5 5 4 5 4 4 5 5 4 2 1 3 1 5 5 2 4 3 2
61 SI SI SI No SI No SI SI 5 4 4 5 3 3 4 4 4 4 4 4 4 4 4 5 5 5 4 4 4 4
62 SI No No SI SI SI SI SI 5 2 3 5 3 4 5 5 5 4 4 2 3 2 2 2 5 2 2 4 2 3
63 SI No SI No SI No SI No 5 5 5 5 5 5 5 5 5 5 5 4 5 3 3 5 5 3 5 5 3 1
64 SI No No No SI SI SI No 4 4 4 4 4 4 4 4 4 4 4 3 3 4 3 3 4 4 3 4 4 3
65 SI No SI No SI No SI SI 3 5 5 5 5 4 5 5 5 5 3 3 4 3 3 3 5 2 5 5 3 3
66 SI No SI SI SI SI SI No 5 5 5 4 4 4 5 4 4 4 4 4 2 1 4 1 5 5 3 5 1 1
67 SI No SI SI SI SI SI SI 1 1 1 1 1 1 1 1 2 1 1 2 2 2 1 2 1 1 2 1 2 2
68 SI SI SI No No SI SI No 4 4 4 4 4 4 4 4 4 4 4 4 2 4 4 4 3 3 3 3 3 3
69 SI No SI No No SI SI No 4 4 4 4 5 3 3 5 5 4 4 2 3 3 4 3 4 3 3 4 3 3
70 SI SI No No SI No SI SI 2 3 3 4 4 4 4 4 4 4 4 3 3 2 2 2 2 2 2 2 2 2
71 SI No No No SI No SI No 3 3 3 3 1 2 3 3 4 3 3 2 3 1 3 2 3 4 4 4 3 3
72 SI No No No SI No SI SI 2 2 2 5 3 3 2 2 2 2 3 1 2 3 3 2 2 2 5 3 2 3
73 SI No No No No SI SI No 5 4 5 4 4 4 4 5 5 4 4 2 2 3 2 2 4 2 2 4 2 4
74 SI No SI No SI No SI SI 4 4 3 5 4 4 5 5 3 3 4 3 3 3 3 3 5 5 3 3 4 3
75 SI No No No SI SI SI No 5 4 3 4 4 4 4 5 5 4 4 2 2 3 2 2 4 2 2 4 2 4
76 SI No SI No SI No SI SI 4 4 4 5 4 4 5 5 3 3 4 3 3 3 3 3 5 2 3 3 4 3
77 SI No SI No No SI SI SI 3 3 3 4 3 3 3 3 3 3 3 3 3 3 3 4 3 3 3 3 3 3
78 SI SI No No SI SI SI SI 5 5 3 5 5 5 5 5 5 5 5 5 5 5 5 5 5 2 5 5 5 4
79 SI No SI No SI SI SI No 4 4 3 3 4 4 4 4 4 4 5 2 3 2 2 3 4 4 2 4 2 2
128
b. Base de datos de Cumplimiento
129
29 No No No No 3 4 2 2 2 3 4 3 3 3 4 4 4 4 3 3
30 SI SI SI SI 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3
31 No No No No 4 4 1 2 3 4 3 3 1 3 5 4 5 2 3 2
32 SI SI SI SI 5 1 4 4 4 5 5 5 4 4 4 5 5 4 2 4
33 No No No No 5 4 2 1 3 2 2 3 2 2 5 4 2 2 2 3
34 No No SI No 1 3 1 3 3 1 3 1 1 3 5 5 5 3 4 2
35 No No No No 3 4 4 4 4 4 3 2 3 4 4 4 4 4 4 4
36 No No No No 3 4 3 4 3 3 4 4 3 5 5 5 5 3 4 3
37 No No No SI 1 2 3 1 3 4 3 3 3 4 4 5 5 2 4 2
38 No No No No 2 1 2 2 1 1 2 1 2 1 1 1 1 1 1 2
39 No No No No 4 4 4 4 4 4 4 4 4 4 4 4 4 4 3 3
40 No No SI No 4 4 3 4 3 3 3 3 3 4 4 5 3 3 3 4
41 No No No No 2 2 2 2 2 2 4 4 3 3 2 2 2 2 2 2
42 No No No No 3 1 1 1 2 1 3 3 2 3 3 4 2 3 3 3
43 No SI No No 1 1 3 2 1 3 2 1 1 3 2 3 2 2 2 3
44 No No No No 3 1 1 1 3 1 2 3 1 4 4 4 2 2 2 1
45 No No No No 3 2 1 2 3 3 3 2 3 3 4 4 3 4 3 1
46 No No No SI 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3
47 No No No No 5 3 1 5 5 5 5 5 5 5 5 5 5 5 5 5
48 No No SI SI 4 3 2 3 4 4 2 4 3 3 2 5 3 3 3 2
49 No No SI No 2 2 1 4 4 1 1 4 1 2 5 5 2 1 1 3
50 SI No SI SI 4 4 4 2 3 2 3 3 3 2 4 4 4 4 3 4
51 No No No No 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3
52 No No SI SI 4 3 4 3 3 4 2 4 4 3 3 4 3 2 3 2
53 No No No No 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 2
54 No No SI No 4 2 2 2 4 4 2 3 4 2 4 4 2 2 2 2
55 No No No No 3 3 3 3 3 3 3 3 3 4 4 4 3 3 3 3
56 No No No No 3 4 3 3 4 4 3 3 4 4 4 4 4 3 4 4
57 No No No No 3 2 2 4 4 3 3 3 3 4 3 4 3 4 4 5
58 No No No No 3 4 2 2 2 3 4 3 3 3 4 4 4 4 3 3
59 SI SI SI SI 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3
60 No No No No 4 2 1 2 3 4 3 3 1 3 5 4 5 2 3 2
130
61 SI SI SI SI 5 2 4 4 4 5 5 5 4 4 4 5 5 4 2 3
62 No No No No 5 4 2 1 3 2 2 3 2 2 5 4 2 2 2 3
63 No No SI No 1 3 5 3 3 1 3 1 1 3 5 5 5 3 4 3
64 No No No No 3 4 4 4 4 4 3 2 3 4 4 4 4 4 4 4
65 No No No No 3 4 3 4 3 3 4 4 3 5 5 5 5 3 4 1
66 No No No SI 1 4 3 1 3 4 3 3 3 4 4 5 5 2 4 1
67 No No No No 2 1 2 2 1 1 2 1 2 1 1 1 1 1 1 2
68 No No No No 4 5 4 4 4 4 4 4 4 4 4 4 4 4 3 1
69 No No SI No 4 2 3 4 3 3 3 3 3 4 4 5 3 3 3 4
70 No No No No 2 2 2 2 2 2 4 4 3 3 2 2 2 2 2 2
71 No No No No 3 1 1 1 2 1 3 3 2 3 3 4 2 3 3 3
72 No SI No No 1 1 1 2 1 3 2 1 1 3 2 3 2 2 2 1
73 No No No No 3 1 1 1 3 1 2 3 1 4 4 4 2 2 2 4
74 No No No No 3 2 4 2 3 3 3 2 3 3 4 4 3 4 3 3
75 No No No No 3 1 1 1 3 1 2 3 1 4 4 4 2 2 2 4
76 No No No No 3 2 4 2 3 3 3 2 3 3 4 4 3 4 3 3
77 No No No SI 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 4
78 No No No No 5 3 5 5 5 5 5 5 5 5 5 5 5 5 5 5
79 No No SI SI 4 3 2 3 4 4 2 4 3 3 2 5 3 3 3 2
131
c. Base de datos de Apropiación
BASE DE DATOS ISCA - APROPIACIÓN
Preguntas dicotómicas Enunciados con alternativa Likert
Item [6] [20] [27] [31] [32] [34] [39] [43] [48] [49] [63] [64]
1 No 2 3 4 1 3 3 3 1 1 1 5
2 SI 1 3 4 1 2 1 5 1 4 1 1
3 No 3 3 4 2 3 4 3 3 4 5 5
4 No 4 4 4 3 3 2 2 3 3 2 3
5 No 1 2 2 3 2 1 2 2 3 2 1
6 No 2 3 5 3 2 3 4 2 3 3 2
7 No 2 5 4 3 3 3 5 3 4 4 2
8 SI 3 3 3 3 3 3 3 3 3 3 3
9 No 5 3 3 5 5 5 3 5 5 5 5
10 No 3 3 4 3 4 3 3 2 2 3 5
11 SI 1 5 5 2 2 5 5 1 3 3 4
12 SI 1 2 3 3 4 4 3 3 4 4 4
13 No 3 3 3 3 3 3 3 3 3 1 1
14 SI 3 3 4 4 3 4 3 2 3 2 3
15 No 1 5 1 1 1 1 1 1 1 1 1
16 No 4 4 4 2 4 4 4 3 4 4 3
17 No 3 1 5 3 2 2 2 1 2 4 1
18 No 1 4 5 2 3 1 2 2 4 1 5
19 SI 3 4 4 4 4 4 4 3 3 4 4
20 No 3 4 5 2 4 3 5 4 3 2 1
21 No 3 5 5 3 3 3 3 5 3 2 5
22 No 3 4 4 4 3 4 4 2 4 4 4
23 No 2 2 3 2 4 2 4 4 4 5 5
24 No 3 5 3 3 1 2 3 2 2 1 1
25 SI 4 3 3 2 3 4 3 2 2 3 2
26 SI 3 5 3 3 4 3 5 3 4 3 3
27 No 3 4 4 3 4 4 4 4 4 3 3
28 No 3 5 5 3 3 5 4 2 3 4 5
29 No 3 3 3 3 3 3 4 3 4 3 3
30 SI 3 3 3 3 3 3 3 3 3 3 3
31 SI 1 5 4 3 3 4 3 2 3 2 1
32 SI 2 4 5 5 2 4 4 5 5 5 5
33 No 3 5 5 2 2 3 3 2 2 1 2
34 SI 5 5 5 5 3 4 3 4 3 5 5
35 No 3 4 4 3 4 4 3 3 4 4 2
36 SI 5 4 4 4 5 4 5 4 4 5 1
37 SI 1 4 5 2 2 4 4 4 3 1 3
38 SI 2 1 1 2 2 2 1 2 1 2 1
39 SI 4 4 4 4 4 4 4 4 3 3 3
40 No 4 5 4 3 4 4 4 3 4 2 4
41 No 2 3 3 3 4 3 4 3 2 3 3
42 SI 1 3 4 2 5 3 3 3 3 1 4
43 No 1 2 3 3 2 2 2 2 3 2 1
44 No 2 3 5 1 2 3 4 2 3 3 2
45 No 2 5 4 1 3 3 5 3 4 4 2
46 SI 3 3 3 3 3 3 3 3 3 3 3
47 No 5 5 5 2 5 5 3 5 5 5 5
48 No 3 4 4 3 4 3 3 2 2 3 5
132
49 SI 1 5 5 2 2 5 2 1 3 3 4
50 SI 1 4 4 3 4 4 3 3 4 4 4
51 No 2 3 3 3 3 3 3 3 3 1 1
52 SI 3 3 4 4 3 4 3 2 3 2 3
53 No 1 5 1 1 1 2 1 1 1 1 1
54 SI 2 4 4 2 3 4 3 2 2 3 2
55 SI 3 5 5 3 3 3 5 3 4 3 3
56 No 3 4 4 3 3 4 3 4 2 3 3
57 No 3 5 5 3 3 5 3 2 4 4 5
58 No 3 3 3 3 3 3 2 3 2 3 3
59 SI 3 3 3 3 3 3 2 3 2 3 3
60 SI 1 5 4 3 1 4 5 2 3 2 1
61 SI 5 4 5 2 2 1 1 3 4 5 5
62 No 3 5 5 2 2 3 1 2 2 1 2
63 SI 5 5 5 1 3 4 1 4 2 5 5
64 No 3 4 4 1 4 1 3 3 2 4 2
65 SI 5 4 4 4 5 4 3 4 4 5 1
66 SI 1 4 5 2 2 4 4 4 3 1 3
67 SI 2 1 1 2 2 2 1 2 1 2 1
68 SI 4 4 4 4 4 4 4 4 3 3 3
69 No 4 5 4 3 4 4 3 3 4 2 4
70 No 2 3 3 3 4 3 1 3 2 3 3
71 SI 1 3 4 2 5 1 3 3 2 1 4
72 No 1 2 3 3 2 1 2 2 2 2 1
73 No 2 3 3 3 2 3 2 2 3 3 2
74 No 2 5 4 3 3 3 2 3 4 4 2
75 No 2 3 5 3 2 3 1 2 3 3 2
76 No 2 5 4 3 2 3 2 3 3 4 2
77 SI 3 3 3 3 3 3 3 3 3 3 3
78 No 5 5 3 5 2 5 1 5 3 5 5
79 No 3 4 4 3 4 3 1 2 2 3 5
133
134