UNIVERSIDAD NACIONAL DEL CALLAO FACULTAD DE INGENIERIA INDUSTRIAL Y DE SISTEMAS ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS "SEGURIDAD DE LA INFORMACIÓN APLICANDO EL ISO 27001:2013 PARA LA OFICINA DE REGISTROS Y ARCHIVOS ACADÉMICOS DE LA UNIVERSIDAD NACIONAL DEL CALLAO 2017" TESIS PARA OPTAR EL TÍTULO PROFESIONAL DE INGENIERO DE SISTEMAS Q o nema (no go Le' JUAN JOSÉ MENACHO APOLITANO pe„ É- ,--/e(zres° Callao, Enero, 2018 ilv;frempt PERÚ DEDICATORIA A Dios quien guía cada paso que doy en mi vida; A mis padres Amerita Apolitano Portilla y Juan Menacho García, por ser parte de lo que hasta ahora he conseguido; por su apoyo incondicional en este camino, con sus consejos, generosidad y perseverancia supieron encaminarme en la vida para ser un hombre de bien. III AGRADECIMIENTO Un especial reconocimiento a mi alma nnater: Unive-sidad Nacional del Callao, a la plana docente de la Escuela Profesionál de Ingeniería de Sistemas por sus sabias enseñanzas depositadas y darnos las herramientas con las cuales podemos forjar un futuro mejor. ÍNDICE GENERAL DEDICATORIA AGRADECIMIENTO ÍNDICE GENERAL 1 ÍNDICE DE FIGURAS 4 ÍNDICE DE TABLAS 5 RESUMEN 7 ABSTRACT 8 INTRODUCCIÓN 9 PLANTEAMIENTO DE LA INVESTIGACIÓN 10 1.1. Identificación del problema 10 1.2. Formulación de problemas 12 1.2.1. Problema General 12 1.2.2. Problemas específicos 12 1.3. Objetivos de la investigación 13 1.3.1. Objetivo General 13 1.3.2. Objetivos específicos 13 1.4. Justificación 13 1.4.1. Justificación tecnológica 13 1.4.2. Justificación legal 14 1.4.3. Justificación institucional 14 1.5. Limitaciones y alcances 14 1.5.1. Limitaciones 14 1.5.2. Alcances 15 MARCO TEÓRICO CONCEPTUAL 16 2.1. Antecedentes del estudio 16 ANTECEDENTES NACIONALES 16 ANTECEDENTES INTERNACIONALES 19 2.2. Marco conceptual 20 2.2.1. Seguridad 20 2.2.2. Seguridad de la información 21 2.2.3. Seguridad Física 22 2.2.4. Seguridad Lógica 23 1 2.2.5. Controles 23 2.2.6. Amenazas 25 2.2.7. Ataques 25 2.2.8. Riesgo 26 2.2.9. Proceso de Capacitación 26 2.3. Definiciones de términos básicos 28 2.3.1. ISO. 28 2.3.2. ISO/IEC/27001 28 2.3.3. SCSI 28 2.3.4. PDCA 28 2.3.5. ISO/IEC 27002 29 2.3.6. Confidencialidad 29 2.3.7. Integridad 30 2.3.8. Disponibilidad 30 2.3.9. Backup 30 2.3.10. UNAC 30 2.3.11. ORAA 30 2.3.12 Capacitación. 31 VARIABLES E HIPÓTESIS 32 3.1. Variables de la investigación 32 3.1.1. Variable independiente 32 3.1.2. Variable dependiente 32 3.2. Operacionalización de las variables 32 3.3. Hipótesis general e hipótesis específicas 33 3.3.1. Hipótesis general 33 3.3.2. Hipótesis específicas 33 METODOLOGíA 34 4.1. Tipo de Investigación 34 4.2. Población, muestra y muestreo 34 4.3. Instrumentos de recolección de datos 35 4.3.1. Técnicas de recolección de datos 35 4.3.2. Instrumentos de recolección de datos 36 4.4 Procedimiento de recolección de datos 36 4.5. Plan de análisis estadístico de datos 38 4.5.1. Hipótesis general 38 2 4.5.2. Hipótesis específica 39 4.5.3. Nivel de significancia 41 4.5.4. Estadístico de prueba 42 4.5.5. Región del rechazo 42 RESULTADOS 44 5.1. Resultados parciales 44 5.2. Resultados finales 45 DISCUSIÓN DE RESULTADOS 47 6.1. Contrastación de hipótesis con los resultados 47 6.1.1. Análisis de confiabilidad 47 6.1.2. Pruebas de normalidad 52 6.1.3. Pruebas de hipótesis 57 6.1.4. Discusión 61 6.2. Contrastación de resultados con otros estudios similares 62 CONCLUSIONES 64 RECOMENDACIONES 65 REFERENCIAS BIBLIOGRÁFICAS 66 ANEXOS 68 ANEXO "A": DESCRIPCIÓN DEL FORMATO DE ORDEN DE TRABAJO - CRONOLOGIA 69 ANEXO "B": DESCRIPCIÓN DEL FORMATO DE SOLICITUD DE PERMISO PARA OBTENER INFORMACIÓN PARA PROYECTO DE INVESTIGACIÓN 70 ANEXO "C": DESCRIPCIÓN DEL FORMATO DE ENCUESTA DE LA ISO 27001:2013 APLICADAS A ORAA 71 ANEXO "D": "MANUAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA LA OFICINA DE REGISTROS Y ARCHIVOS ACADÉMICOS DE LA UNIVERSIDAD NACIONAL DEL CALLAO 2017" 77 MATRIZ DE CONSISTENCIA 91 3 ÍNDICE DE FIGURAS FIGURA N° 1 Gráfico de Nivel de Confidencialidad de Información de ORAA. 11 FIGURA N° 2 Gráfico de Nivel de Disponibilidad de Información de ORAA 11 FIGURA N° 3 Gráfico de Nivel de Integridad de Información de ORAA 12 FIGURA N° 4 Gráfico de Población de ORAA 35 FIGURA N° 5 Indicadores para contrastación de hipótesis Distribución Normal 43 FIGURA N° 6 Nivel de cumplimiento 45 FIGURA N° 7 Confidencialidad 58 FIGURA N° 8 Disponibilidad 59 FIGURA N° 9 Integridad 60 FIGURA N° 10 Relación entre variables. 61 4 ÍNDICE DE TABLAS Tabla 1: Operacionalización de las variables 32 Tabla 2: Relación entre la ISO 27001:2013 y la seguridad de la información de la oficina de registros y archivos académicos. 38 Tabla 3: Nivel de cumplimiento de la ISO 27001:2013 44 Tabla 4: Análisis de regresión 46 Tabla 5: Nivel de confiabilidad de Cronbach 47 Tabla 6: Disponibilidad (PRE-TEST) 48 Tabla 7: Disponibilidad (POST-TEST) 49 Tabla 8: Confidencialidad (PRE-TEST) 50 Tabla 9: Confidencialidad (POST-TEST) 50 Tabla 10: Integridad (PRE-TEST) 51 Tabla 11: Integridad (POST-TEST) 52 Tabla 12: Prueba de SHAPIRO-WILK para el indicador Disponibilidad (PRE-TEST) 53 Tabla 13: Prueba de SHAPIRO-WILK para el indicador Disponibilidad (POST-TEST) 54 Tabla 14: Prueba de SHAPIRO-WILK para el indicador Confidencialidad (PRE-TEST) 54 Tabla 15: Prueba de SHAPIRO-WILK para el indicador Confidencialidad (POST-TEST) 55 Tabla 16: Prueba de SHAPIRO-WILK para el indicador Integridad (PRE- TEST) 56 Tabla 17: Prueba de SHAPIRO-WILK para el indicador Integridad (POST- TEST) 56 5 Tabla 18: Cruce de dimensiones de variables 61 Tabla 19: Matriz de Consistencia 91 6 RESUMEN "SEGURIDAD DE LA INFORMACIÓN APLICANDO EL ISO 27001:2013 PARA LA OFICINA DE REGISTROS Y ARCHIVOS ACADÉMICOS DE LA UNIVERSIDAD NACIONAL DEL CALLAO: 2017" En la Oficina de Registros y Archivos Académicos, debido a escasez de recursos y tecnología se optó por aplicar, desarrollar, implementar recursos y capacitar al personal trabajador para que de una mejor manera se resguarde la información que se maneja dentro de este centro de información. En el primer capítulo, se identificó el problema y se estableció los objetivos. En el segundo capítulo, se estableció el marco teórico, lo cual abarca antecedentes del estudio, marco conceptual, entre otros. En el tercer capítulo, se indicó las variables de estudio y la hipótesis planteada, mientras que en el cuarto capítulo se indicó la metodología de investigación. En el quinto y sexto capítulo se muestra los resultados obtenidos y la discusión de estos, respectivamente. La implementación de la ISO 27001:2013 Seguridad de la información como propuesta de solución al nivel de seguridad en la Oficina de Registros y Archivos Académicos mejoró el nivel de confidencialidad, del 67% al 97%; disponibilidad, del 28% a 95%; e integridad, del 17% al 95%. PALABRAS CLAVES: ISO 27001:2013, SISTEMAS DE INFORMACIÓN, CONFIDENCIALIDAD, DISPONIBILIDAD, INTEGRIDAD, UNAC. 7 ABSTRACT "SECURITY OF INFORMATION APPLYING ISO 27001: 2013 FOR THE OFFICE OF RECORDS AND ACADEMIC ARCHIVES OF THE NATIONAL UNIVERSITY OF CALLAO: 2017" In the Office of Academic Records and Archives, due to shortage of resources and technology, it was decided to apply, develop, implement resources and train the working personnel so that a better way to protect the information that is handled within this administrative center. In the first chapter, the problem was identified and the objectives were established. In the second chapter, the theoretical framework was established, which includes the background of the study, conceptual framework, among others. In the third chapter, the study variables and the proposed hypothesis were indicated, while in the fourth chapter the research methodology was indicated. The results obtained and the discussion of these, respectively, are shown in the fifth and sixth chapters. The implementation of ISO 27001: 2013 Information security as a solution proposal to the security level in the Office of Academic Records and File improved the level of confidentiality, from 67% to 97%; availability, from 28% to 95%; and integrity, from 17% to 95%. KEYWORDS: !SO 27001:2013, INFORMATION SYSTEMS, CONFIDENTIALITY, AVAILABILITY, INTEGRITY, UNAC. 8 INTRODUCCIÓN La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de datos y de la misma. La Universidad Nacional del Callao cuenta con una oficina de registros y archivos académicos (ORAA); ORAA que se encarga de la administración y resguardo de la información de los alumnos y egresados. Es aquí donde parte nuestra investigación, preocupados por si cuentan con estándares de seguridad de la información. Por ello se utilizará la ISO•27001, norma estándar que nos permite saber si la ORAA cuenta con los lineamientos básicos que le permitan el resguardo de la información del alumno. Así también se podrá mejorar los lineamientos de seguridad y de prevención antes pérdida de información y ataques externos. 9 I. PLANTEAMIENTO DE LA INVESTIGACIÓN 1.1. Identificación del problema La Universidad Nacional del Callao tiene cargo la Unidad de Archivo General, tiene como misión, organizar, administrar y conservar el fondo documental de la UNAC, como un Sistema Institucional de Archivos de las 11 Facultades que conforman la Institución, siguiendo los actuales procedimientos técnicos-archivísticos que trabaja conjuntamente con la Oficina de Registros y Archivos Académicos y la Unidad de Archivo General de la Universidad Nacional del Callao, para cumplir su misión, dirigida a la comunidad universitaria, tiene la finalidad que se dedica al buen funcionamiento del fondo documental de Archivo General de la UNAC, lo cual muestra un reducido control de ello. En este punto es donde radica el mayor problema de este caso, ya que con respecto a la seguridad de estos fondos documentales es inseguro, no encontramos las medidas preventivas y reactivas de la Oficina de Registros y Archivos Académicos y de los sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la integridad y disponibilidad de datos y de la misma; ya que se ha evidenciado posibles atacantes que aprovechan para acceder al sistema y poder adulterar la información que maneja esta entidad. Se realizó la entrevista al director de ORAA en fecha 14 de Junio de 2017 y se evidenció mediante un cuestionario la problemática de la confidencialidad, integridad y disponibilidad. 10 FIGURA N° 1 Gráfico de Nivel de Confidencialidad de Información de ORAA. Nivel según 150 27001:2013 , 50 45 40 35 30 25 20 15 10 5 o 20 Confidencialidad Fuente: Elaboración propia. FIGURA N° 2 Gráfico de Nivel de Disponibilidad de Información de ORAA Nivel según ISO 27001:2013 50 45 40 35 30 25 20 15 rr 10 o Disponibilidad Fuente: Elaboración propia. 11 FIGURA N° 3 Gráfico de Nivel de Integridad de Información de ORAA Nivel según ISO 27001:2013 7 Integridad Fuente: Elaboración propia. 1.2. Formulación de problemas De lo anteriormente planteado, se obtiene los siguientes problemas: 1.2.1. Problema General PG: ¿De qué manera mejora la seguridad de la información de la Oficina de Registros y Archivos Académicos aplicando la ISO 27001:2013? 1.2.2. Problemas específicos ¿De qué manera influye la confidencialidad de la seguridad de la información de la Oficina de Registros y Archivos Académicos aplicando la ISO 27001:2013? ¿De qué manera mejora la disponibilidad de la seguridad de la información de la Oficina de Registros y Archivos Académicos aplicando la ISO 27001:2013? ¿De qué manera se relaciona la integridad de la seguridad de la 12 información de la Oficina de Registros y Archivos Académicos aplicando la ISO 27001:2013? 1.3. Objetivos de la investigación 1.3.1. Objetivo General OG: Conocer de qué manera se mejora la seguridad de la información de la Oficina de Registros y Archivos Académicos aplicando la 130 27001:2013. 1.3.2. Objetivos Específicos Conocer de qué manera influye la confidencialidad de la seguridad de la información de la Oficina de Registros y Archivos Académicos aplicando la 130 27001:2013. Conocer de qué manera se mejora la disponibilidad de la seguridad de la información de la Oficina de Registros y Archivos Académicos aplicando la ISO 27001:2013. Conocer de qué manera se relaciona la integridad de la seguridad de la información, de la Oficina de Registros y Archivos Académicos aplicando la ISO 27001:2013. 1.4. Justificación 1.4.1. Justificación tecnológica Según Kenneth (2004, p4), en la actualidad se reconoce ampliamente que el conocimiento de seguridad de información es esencial para los usuarios por que la mayoría de las organizaciones necesita información segura, 13 confiable y confidencial para sobrevivir y prosperar. 1.4.2. Justificación legal De acuerdo al Decreto Supremo N°030-2002-PCM de Modernización de la Gestión Pública y a la Ley N°27658 Ley de Modernización de la Gestión del Estado, la modernización de la gestión pública comprende la seguridad de la información'. 1.4.3. Justificación institucional La visión de la UNAC es ser una universidad acreditada y con liderazgo a nivel nacional e internacional, con docentes altamente competitivos calificados con infraestructura moderna, que se desarrolla en alianzas estratégicas con instituciones públicas y privadas. Por ende, acorde a la visión de la Universidad Nacional del Callao, se debe modernizar, siendo la seguridad de la información de la Oficina de Registros y Archivos Académicos un objetivo fundamental para nuestra institución. 1.5. Limitaciones y Alcances 1.5.1. Limitaciones Las limitaciones de esta investigación nos comprendieron las restricciones que se tuvo para ejecutarla: La presente investigación en el tiempo sólo alcanza o comprende, tantas años como las ISO 27001:2013 cambie a futuro a otras versiones. 14 El presupuesto se limita a según el ambiente a analizar y a lo ausente en invertir. El personal se limita a una cantidad finita de 21 trabajadores en el área afectada. Los investigadores sólo pueden dedicar 10 horas a la semana a la investigación por temas laborales, académicos/profesionales, entre otros. Los investigadores sólo tienen acceso a la información web de 9:00am — 6:00pm (horario de oficina) a tal centros de información ORAA y solo se obtuvo acceso presencial por 2 horas por temas confidenciales y permisos de accesos de parte de jefatura de ORAA. Existen limitaciones como la infraestructura tecnológica y centro de equipo. 1.5.2. Alcances Se obtuvo la aprobación de parte del director de ORAA en cuestión de días lo cual hablando de una institución pública pudo demorar semanas. 15 II. MARCO TEÓRICO CONCEPTUAL La elaboración de este marco teórico tiene como finalidad poder estructurar elementos e instrumentos que permitan orientar la investigación, la cual se emprende en busca de explicaciones e interpretaciones relacionadas con la seguridad de la información en Oficina de Registros y Archivos Académicos de la Universidad Nacional dél Callao. 2.1. Antecedentes del estudio A.- ANTECEDENTES NACIONALES En el año 2011, Ampuero Chang, Carlos Enrique, en la tesis titulada "Diseño de un sistema de gestión de seguridad de información para una compañía de seguros" para obtener el Título de Ingeniero Informático, sustentada y aprobada en la Pontificia Universidad Católica del Perú; incluyó implementar la norma ISO/IEC 27001:2005 que contiene los requisitos básicos que debe obtener todo sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma sobre la cual se certifican, por auditores externos, los SGSI de las organizaciones. A pesar de no ser obligatoria la implementación de todos los controles, se debe argumentar la no aplicabilidad de los controles no implementados. Recomienda el uso del Ciclo Plan - DO - Check - Act para el diseño de un SGSI. En el año 2005, Romero Echevarría, Luis Miguel, en la tesis "Marco conceptual de los Delitos Informáticos" para obtener el Grado Académico de Magíster en Computación e Informática, sustentada y aprobada en la Universidad Nacional Mayor de San Marcos del Perú; nos 16 dice que si se tiene en cuenta que los sistemas informáticos, pueden entregar datos e informaciones sobre miles de personas, naturales y jurídicas, en aspectos tan fundamentales para el normal desarrollo y funcionamiento de diversas actividades como bancarias, financieras, tributarias, previsionales y de identificación de las personas. Y si a ello se agrega que existen Bancos de Datos, empresas o entidad dedicadas a proporcionar, si se desea, cualquier información, sea de carácter personal o sobre materias de las más diversas disciplinas a in Estado o particulares; se comprenderá que está en juego o podrían ha llegar a estarlo de modo dramático, algunos valores colectivos y los consiguientes bienes jurídicos que el ordenamiento jurídico-institucional debe proteger. En su trabajo de investigación nos habla también que los Delitos Informáticos en el Perú están tipificados; pero que existen normas que indirectamente sancionan las conductas en las que se intervenga con hardware o software, como por ejemplo, la Ley de Derechos de Autor, regulada por el Decreto Legislativo N° 822, el que sanciona a los que copien, usen o adquieran un programa sin permiso del autor, sin mencionar en ningún momento que esto sería un Delito Informático; en segundo lugar tenemos la Resolución Ministerial N° 622-96MTC/15.17, con la que se aprueba la Directiva N° 002-96-MTC/15.17 referida a los Procedimiento de Inspección y requerimiento de información relacionados al Secreto de las Telecomunicaciones y Protección de Datos, ordenándose con ella a las empresas de telecomunicaciones a mantener en secreto la información de sus abonados o usuarios, sancionándose a la empresa si la información es entregada o la obtiene terceros mas no así a estos terceros. 17 En el año 2011, Aliaga Flores, Luis Carlos, en la tesis titulada "Diseño de un sistema de gestión de seguridad de información para un instituto educativo" para obtener el Título de Ingeniero Informático, sustentada y aprobada en la Pontificia Universidad Católica del Perú; Como resultado del incremento de la dependencia de las organizaciones respecto a la tecnología para el manejo de su información y del incremento de interconectividad en el ambiente comercial, la información cada vez está más expuesta a una variedad más amplia y sofisticada de amenazas y vulnerabilidades. Estas amenazas pueden ser internas, externas, premeditadas, accidentales, etc. En la mayoría de los casos mencionados, se generan diversas pérdidas dentro de la organización, siendo las reputacionales las más difíciles de contrarrestar. Por tanto, deberían aplicarse marcos y políticas de control implementadas dentro de una organización para minimizar los riesgos y asegurar la continuidad del negocio. En algunos sectores de Ja industria, existen entes reguladores que establecen normas obligatorias y recomendadas con respecto a dichos marcos y políticas de la seguridad de información. Sin embargo, en el sector educativo no existen leyes o normas establecidas por parte del Ministerio de Educación que regulen la seguridad de información dentro de las organizaciones bajo su jurisdicción. En consecuencia, se genera una falta de conocimiento e interés de dicho tema en las instituciones educativas En muchos casos, la razón por la cual estas instituciones educativas no han implementado estas políticas de seguridad de información es porque aún no han tenido algún incidente de seguridad relativamente grave, lo cual comprueba que las entidades peruanas siguen 18 siendo reaccionarias y no preventivas. B.- ANTECEDENTES INTERNACIONALES En el año 2011, Guerra Valdivia, Alicia Rubí, en la tesis titulada "Delitos Informáticos — Caso de Estudio" para obtener el Grado Académico de Magister en Ingeniería en Seguridad y Tecnologías de la Información, sustentada y aprobada en el Instituto Politécnico Nacional de Ecuador; concluyó que los sistemas de información no deben ser descalificados, tampoco pretende dementar las innumerables ventajas que su utilización puede conllevar para el beneficio social. Por lo contrario, se trata de centrar la mirada en aquellos sujetos que hacen mal uso de estos recursos, con la finalidad de obtener beneficios personales, a costa del bienestar particular o común de otros individuos. En el año 2010, Rosendo A. Mendoza Prado, en la tesis titulada "Sistema De Gestión Para La Seguridad De La Información Caso: Centro De Tecnología De Información Y Comunicación Del Decanato De Ciencias Y Tecnología - Ucla" para optar al grado de Magíster Scientiarum en Ciencias de la Computación, sustentada y aprobada en el Instituto Politécnico Nacional de Ecuador, El presente trabajo propone un Sistema de Gestión para la Seguridad de la Información (SGSI) en el Centro de Tecnología de Información y Comunicación (CTIC) del Decanato de Ciencias y Tecnología de acuerdo al estándar internacional ISO/IEC 27001:2005, debido a que las medidas actuales de control para satisfacer los requisitos mínimos en seguridad han sido efectivas sólo parcialmente. 19 Previamente se debió: (a) Diagnosticar la situación actual del CTIC en materia de seguridad de la información; y (b) Determinar la factibilidad de la propuesta presentada. Posteriormente se diseñó el SGSI, basado en la fase de planeación de la norma ISO/IEC 27001:2005 y en los controles de la norma ISOIIEC 27002:2005. Como metodología de Análisis de Gestión del Riesgo (AGR) se empleó MAGERIT versión 2.0, y la herramienta 15027K de la IS027001 Security Home. El estudio está enmarcado en la modalidad de "Proyecto Factible" apoyado en la investigación monográfica documental y de campo. En esta investigación científica se determinó que el Nivel de Madurez del SGSI actual dél CTIC es del 42.69%, con la existencia de 22 amenazas importantes, de las cuales se estima reducir su riesgo hasta un nivel aceptable al implantar los controles que se proponen como correctivo. Vale destacar que la adopción de una metodología sólida para la gestión del riesgo permite descubrir los puntos vulnerables de un sistema de información lo que permite tomar los correctivos necesarios para su tratamiento. 2.2. Marco conceptual 2.2.1. Seguridad La seguridad es una forma de gestión empresarial inteligente, para prevenir de las tres amenazas de la era digital: las responsabilidades, los pleitos y las pérdidas. En este mismo orden de ideas, la seguridad es un medio para conseguir un fin, y ese fin es la confianza, donde es una parte esencial de proposición de valor, como en la banca, la seguridad se convierte en un 20 factor facilitador crítico según lo expresado por MCCarthy, M., y Campbells., (2002). Mientras que Cheswick, W., y Bellovin, S., (1994) señala que "Hablando ampliamente, la seg2uridad es evitar que alguien haga cosas que no quieres, que haga con o desde tu ordenador o alguno de sus periféricos" para estos expertos la seguridad es mantener el control. Asimismo, Schneier, B., (2002) expresa que "La seguridad es un proceso, no un producto", es decir, la seguridad no es lo mismo que el conjunto de medidas de seguridad. La seguridad considerada en esta investigación, es la de crear medidas de control para protegerse de algunos riesgos que se expone las organizaciones, en este caso las universidades. 2.2.2. Seguridad de la información Gómez, A., (2006) define la seguridad de la información como una medida que impida la ejecución de operaciones no autorizadas sobre un sistema o red informática, cuyos efectos puedan conllevar daños sobre• la información, comprometer su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios al sistema. De igual manera, INFOSEC Glossary (2000) define la Seguridad Informática y mencionada por Aceituno, V., (2004) como "Las medidas y controles que aseguran la confidencialidad, integridad y disponibilidad de los activos de los Sistemas de Información, incluyendo hardware, software, 21 firmware y aquella información que procesan, almacenan y comunican". Asimismo, La seguridad de la información es un proceso en que involucra gran número de elementos, como: aspectos tecnológicos, de gestión organizacionales, de recursos humanos, de índole económica, de negocios, de tipo legal, de cumplimiento, etc.; abarcando no solo aspectos informáticos y telecomunicaciones sino también aspectos físicos, medioambientales, humanos, etc. (Areitio, 2008) La Seguridad de la Información se logra con la implantación de un conjunto adecuado de controles y medidas, que pueden ser políticas, prácticas, procedimientos, estructuras organizativas y funciones de software. Estos controles deberían establecerse para asegurar que se cumplen los objetivos específicos de seguridad de la organización, minimizar los daños de esta, maximizar el entorno de las inversiones y las oportunidades de negocio. Para la presente investigación sería la Oficina de Registros y Archivos Académicos de la Universidad Nacional del Callao. 2.2.3. Seguridad Física La seguridad física según Álvarez, G., y Pérez, P., (2004), se logra al impedir el acceso a las áreas críticas de personal no autorizado. Estas zonas habrán de estar delimitadas, pero no de forma visible sino de una manera formal, con un perímetro permanentemente controlado. Se pueden definir varios tipos de zonas seguras dependiendo del tipo Existe algún archivo de tipo Log donde guarde información Referida a las operaciones que realiza la Base de datosde sistema informático que contengan y de su grado de criticidad y, por lo tanto, las medidas de seguridad serán acordes 22 a dicho grado. Este va ser uno de puntos esenciales en la seguridad de la información, porque permite crear medidas de prevención y controles ante posibles amenazas. 2.2.4. Seguridad Lógica Según Carracedo, J., (2004), se refiere a: La seguridad en el uso de software y los sistemas, la protección de los datos, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a la información. La "seguridad lógica" involucra todas aquellas medidas establecidas por la administración -usuarios y administradores de recursos de tecnología de información- para minimizar los riesgos de seguridad asociados con sus operaciones cotidianas llevadas a cabo utilizando la tecnología de información. (pp.31) En esta investigación la seguridad lógica permite al igLal que la seguridad física a crear barreras y procedimientos para el acceso a la información a través de administración de cuentas de usuario, permisos, entre otros. 2.2.5. Controles Con la finalidad de poder mitigar los efectos de las series de amenazas que enfrenta los sistemas como es desastres naturales, errores, las fallas en los sistemas y la seguridad, los delitos y fraudes por computadora, se hace necesario el diseño e implementación de políticas y procedimientos 23 adecuados. Los controles según Laudon, K., y Laudon, J., (2002) "consisten en todos los métodos, políticas, y procedimientos para asegurar la protección de los archivos de la institución, la precisión y la confiabilidad de sus registros contables y la adherencia operativa a las normas de administración" pp.45. Asimismo, los citados autores dicen que los sistemas de información computarizados se deben controlar con una combinación de controles: generales y de aplicación. Los controles de seguridad generales según Álvarez, G., y Pérez, P., (2004) van dirigidos al diseño y utilización del software, la seguridad de los archivos y la base de datos de la empresa. Además, de una combinación de software y procedimientos manuales; por tanto, son globales y se aplican en todas las áreas. Los controles generales incluyen los de proceso de implantación del sistema, para software, los físicos para el hardware, los de operaciones de cómputo, los de seguridad de datos y las disciplinas, normas y procedimientos administrativos. Los controles de aplicación señalan Eterovic, J., y Pomar, P., (s.f) son específicos de cada sistema de información, programa o aplicación computarizada. Se aplican en procedimientos ya programados o en un área funcional específica de usuarios de un sistema en particular. Se enfocan en los objetivos de integridad del ingreso y la actualización, la validez y el mantenimiento. Estos controles incluyen los de entrada o acceso, de proceso o de procesamiento y de salida. 24 2.2.6. Amenazas Las amenazas según Stallings, W., (2004), son "una posibilidad de violación de la seguridad, que existe cuando se da una circunstancia, capacidad, acción o evento que pudiera romper la seguridad y causar perjuicio. Es decir, una amenaza es un peligro posible que podría explotar una vulnerabilidad". En este mismo orden de ideas, MCCarthy, M., y Campbell S., (2002) dividen la amenaza en interna y externa. Las externas incluyen hackers aficionados, la competencia, extorsionadores y ladrones. Mientras que las amenazas internas, incluyen trabajadores descontentos, antiguos trabajadores que guardan algún tipo de rencor, empleados modelo que han contraído enormes deudas en el juego y empleados que planean dejar la empresa y trabajar para la competencia. 2.2.7. Ataques Los ataques según Stallings, W., (2004), vienen dados por: Un asalto a la seguridad del sistema derivado de una amenaza inteligente; es decir, un acto inteligente y deliberado (especialmente en el sentido de un método o técnica) para eludir los servicios de seguridad y violar la política de seguridad del sistema. (pp.56) También el ataque según Eterovic, J., y Pomar, P., (s.f), es cualquier acción que comprometa la seguridad de la información de una organización. Por otra parte, señala MCCarthy, M., y Campbell S., (2002), que los ataques se 25 distinguen entre pasivos y activos: el ataque pasivo trata de saber o de usar la información del sistema, sin afectar los recursos del mismo. El ataque activo, en cambio, trata de cambiar los recursos del sistema o de afectar a su funcionamiento. El modelo diseñado es una guía que contribuirá a reducir las amenazas y ataques que son desarrollados para las universidades de la región capital y concientizar a sus trabajadores de la importancia de respetar y resguardar los activos informáticos. 2.2.8. Riesgo Según Gómez, L., Farías-Elinos, M., Mendoza, M., (2003) señalan que el riesgo "es la posibilidad de sufrir algún daño o pérdida". Asimismo, Carracedo, J., (2004) opina que los riesgos de la información son: pérdida, mal uso no intencional y deliberado, exposición o daño que sufre la información cuando esta resguardada en dispositivos tecnológicos. Por lo anterior, es necesario que para estudiar y valorar los riesgos a los que está expuesta la información que se resguarda en las universidades, debe hacerse un análisis de las amenazas, vulnerabilidades y ataques de los activos informáticos. 2.2.9. Proceso de Capacitación Se puede decir que la capacitación es un proceso continuo, porque aun cuando al personal de nuevo ingreso se le da la inducción en forma adecuada, con frecuencia es preciso entrenarlos o capacitarlos en las labores para las que fueron contratados y/o proporcionales nuevos 26 conocimientos necesarios para el desempeño de un puesto, al igual que los empleados con experiencia que son ubicados en nuevos puestos, pueden requerir capacitación para desempeñar adecuadamente su trabajo. Es posible que aún los candidatos internos no posean las habilidades o que también tengan hábitos incorrectos que requieran corregirse. También, siempre será necesario mantener un equilibrio entre las aptitudes y actitudes de los trabajadores y los requerimientos del puesto. Los beneficios que aporta la capacitación son: ayuda a mejorar las aptitudes y las actitudes. eleva los conocimientos de los ocupantes de los puestos en todos los niveles organizacionales. mejora la moral y la satisfacción de la fuerza de trabajo. guía al personal a identificarse con los objetivos de la organización. crea una mejor imagen tanto del personal como de la organización. mejora las relaciones entre jefes y subordinados. ayuda a sistematizar el trabajo. fluyen mejor la toma de decisiones y la solución de problemas, 9) propicia el desarrollo y las promociones. es la mejor herramienta para incrementar la productividad y la calidad. contribuye a mantener bajos los costos de operación en muchas áreas. contribuye positivamente en el manejo de conflictos y tensiones. permite el establecimiento y logro de metas individuales. (werther, y, y davis 1998, p. 209). 27 2.3. Definiciones de términos básicos 2.3.1. ISO: International Organization for Standardization. Fundada en 1946, es una federación internacional que unifica normas en unos cien países. Una de ellas es la norma OSI, modelo de referencia universal para protocolos de comunicación. 2.3.2. ISO/IEC/27001 Es un estándar para la seguridad de la información (Information technology - Security techniques - Information security management systems - Requirements) aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission. 2.3.3. SGSI Un sistema de gestión de la seguridad de la información (SGSI) (en inglés: information security management system, ISMS) es, como el nombre lo sugiere, un conjunto de políticas de administración de la información. El término es utilizado principalmente por la ISO/IEC 27001, aunque no es la única normativa que utiliza este término 0iconcepto. 2.3.4. PDCA La ISO/IEC 27001 por lo tanto incorpora el típico Plan-Do-Check-Act (PDCA) que significa "Planificar-Hacer-Controlar-Actuar" siendo este un 28 enfoque de mejora continua: Plan (planificar): es una fase de diseño del SGSI, realizando la evaluación de riesgos de seguridad de la información y la selección de controles adecuados. Do (hacer): es una fase que envuelve la implantación y operación de los controles. Check (controlar): es una fase que tiene como objetivo revisar y evaluar el desempeño (eficiencia y eficacia) del SGSI. Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar de vuelta el SGSI a máximo rendimiento. 2.3.5. ISO/IEC 27002 (Anteriormente denominada ISO 17799) es un estándar para la seguridad de la información publicado por la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional. La versión más reciente es la ISO/IEC 27002:2013. 2.3.6. Confidencialidad La confidencialidad es la propiedad que impide la divulgación de información a individuos, entidades o procesos no autorizados. A grandes rasgos, asegura el acceso a la información únicamente a aquellas personas que cuenten con la debida autorización. 29 2.3.7. Integridad Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No es igual a integridad referencial en bases de datos.) Grosso modo, la integridad es mantener con exactitud la información tal cual fue generada, sin ser manipulada ni alterada por personas o procesos no autorizados. 2.3.8. Disponibilidad La disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. Grosso modo, la disponibilidad es el acceso a la información y a los sistemas por personas autorizadas en el momento que así lo requieran. 2.3.9. Backup Copia de seguridad. Se hace para prevenir una posible pérdida de información. 2.3.10. UNAC Es una universidad pública ubicada en el distrito de Bellavista, en la Provincia Constitucional del Callao, Perú. Fue creada mediante Ley N° 16225, el :2 de septiembre de 1966. 2.3.11. ORAA La Oficina de Registros y Archivos Académicos y la Unidad de Archivo 30 General de la Universidad Nacional del Callao, para cumplir su misión, dirigida a la comunidad universitaria, tiene la finalidad que se dedica al buen funcionamiento del fondo documental de Archivo General de la UNAC. 2.3.12 Capacitación: Es una actividad que debe ser sistémica, planeada, continua y permanente que tiene el objetivo de proporcionar el conocimiento necesario y desarrollar las habilidades (aptitudes y actitudes) necesarias para que las personas que ocupan un puesto en las organizaciones, puedan desarrollar sus funciones y cumplir con sus responsabilidades de manera eficiente y efectiva, esto es, en tiempo y en forma. 31 III. VARIABLES E HIPÓTESIS 3.1. Variables de la investigación 3.1.1. Variable independiente ISO 27001:2013 3.1.2. Variable dependiente Seguridad de la Información de la Oficina de Registros y Archivos Académicos. 3.2. Operacionalización de las variables Tabla 1: Operacionalización de las variables VARIABLES DIMENSIONES INDICADORES VARIABLE Legal Porcentaje de conformidad de INDEPENDIENTE: requisitos Legales Estratégica Porcentaje de conformidad de ISO 27001:2013 políticas estratégicas Técnica Promedio de implementación técnica VARIABLE DEPENDIENTE: Confidencialidad Promedio de información confidencial Seguridad de la Información de la Disponibilidad Tiempo de respuesta de Oficina de continuidad Registros y Archivos Integridad Porcentaje de información Académicos. validada 32 3.3. Hipótesis General e Hipótesis Específicas 3.3.1. Hipótesis General HG: La ISO 27001:2013 Mejora significativamente la Seguridad de la Información de la ORA A — UNAC 3.3/. Hipótesis Específicas 121: La ISO 27001:2013 influye significativamente en la confidencialidad de la seguridad de la información de la Oficina de Registros y Archivos Académicos. La ISO 27001:2013 mejora significativamente en la disponibilidad en la seguridad de la información de la Oficina de Registros y Archivos Académicos. La ISO 27001:2013 se relaciona significativamente con la integridad de la seguridad de la información de la Oficina de Registros y Archivos Académicos. 33 IV. METODOLOGÍA 4.1. Tipo de Investigación El tipo de investigación de la presente tesis fue de tipo aplicada ya que pretendemos resolver la presente problemática que encontramos en este departamento acerca de los incidentes de seguridad que estén ocasionando la perdida, desorden y repetición de información aplicando la normativa internacional ISO 27001:2013 contribuyendo a que exista los requisitos de confiabilidad, disponibilidad e integridad de información en la Oficina de Registros y Archivos Académicos. 4.2. Población, muestra y muestreo La presente investigación, fue pre-experimental porque se administra un estímulo o tratamiento a un grupo personas y un contexto después aplicamos una medición para observar sus efectos sobre la variable dependiente. Debemos tener en cuenta que en este punto solo deberíamos hablar de solo población, y ya no de un posible muestreo y esto es debido a la cantidad reducida y exacta de personal especializado en la Oficina de Registros y Archivos Académicos. Según nuestro estudio realizado mediante encuesta a la población en general de la Oficina de Registros y Archivos Académicos podemos encontrar desde la planta directiva hasta el practicante de área un total de 25 personas que laboran allí. 34 FIGURA N° 4 Gráfico de Población de ORAA Población ORAA Directores • Ejecutivos wi Administradores • Practicante Fuente: Elaboración propia. 4.3. Instrumentos de recolección de datos 4.3.1. Técnicas de recolección de datos Observación "La observación consiste en el registro sistemático, válido y confiable de comportamiento o conducta manifiesta. Puede utilizarse como instrumento de medición en diversas circunstancias." (Hernández 1998 p. 309) Esta técnica que permite observar los fenómenos que se investiga, definida en los indicadores que se visualizan para conocer la realidad de la situación en la seguridad de la información de la Oficina de Registros y Archivos Académicos de la Universidad Nacional del Callao. Observando y analizando la confidencialidad, la disponibilidad y la integridad de la información. Entrevista La entrevista es una forma oral de comunicación interpersonal, que tiene como finalidad obtener información en relación con un objetivo. Es por ello 35 que la comunicación debe ser propiciada a través de un adecuado manejo del juego existente entre causa y efecto en base al patrón de la conducta humana (Acevedo 1998, p. 10-11). Revisión bibliográfica e internet Esta técnica que se utiliza en la búsqueda de información en la red de redes. 4.3.2. Instrumentos de recolección de datos Fichas Instrumento para recolectar datos similares al análisis de contenido. De hecho, es una forma de observación del contenido de comunicaciones. (Hernández 1998, p. 310) Cuestionarios Se presenta como un formulario, listando las preguntas sobre la seguridad de la información para realizar nuestra investigación y medir los indicadores de las variables con sus dimensiones. Es el instrumento más utilizado para recolectar los datos es el cuestionario. Un cuestionario consiste en un conjunto de preguntas respecto a una o más variables a medir. (Hernández 1998, p. 276) 4.4 Procedimiento de recolección, de datos Para la presente investigación se utilizó la distribución normal Z, mediante la cual se realiza el análisis y contrastación de los datos que se realizó mediante la estadística inferencial, este es el caso de los indicadores 36 Promedio de información confidencial, Tiempo de respuesta de continuidad, Porcentaje de información validada. Se realizó los cálculos necesarios para realizar la Distribución Normal: Validación de datos Se usó el coeficiente Alfa de Cronbach como modelo de consistencia interna, basado en el promedio de las correlaciones entre los ítems. Si el resultado del análisis se encuentra entre O y 1, es considerado con mayor validez del instrumento, es decir el instrumento es más confiable. Se tomó como valor crítico 0.8. K-1 E Vt Donde: cc = Alfa de Cronbach K = Número de ítems (elementos para el cálculo de indicador) Vi =Varianza de cada ítems Vt = Varianza de la suma de cada ítems, (Varianza de suma total). Test de Normalidad: Identificamos que los datos tengan o no una distribución normal, lo que nos permitió aplicar la prueba correcta. Como nuestra población es menor a 50, se aplicó la prueba de normalidad de "método Shapiro Will", en este test se debe cumplir lo siguiente: sig 0.05 adopta una distribución no normal. sig 0.05 adopta una distribución normal. En caso de que los datos tengan una distribución normal se puede aplicar para la contratación de hipótesis: 37 Si la población es mayor a 30 Z Si la población es menor a 30 T 4.5. Plan de análisis estadístico de datos 4.5.1. Hipótesis general La ISO 27001:2013 Mejora significativamente la Seguridad de la Información de la Oficina de Registros y Archivos Académicos de la Universidad Nacional del Callao. Tabla 2: Relación entre la ISO 27001:2013 y la seguridad de la información de la oficina de registros y archivos académicos. Modelo R R cuadrado 1 .832 0.692 Fuente: Elaboración propia. Corno se puede observar en la TABLA N° 2, el valor de r calculado (0.83) es positivo, entonces la relación entre la ISO 27001:2013 y la seguridad de la información de la oficina de registros y archivos académicos es directa, es decir, que cuando se implementa el ISO 27001:2013IS0 27001:2013, se mejora la entidad mencionada la oficina de registros y archivos académicos. También, como el valor de r (0.89) se acerca al valor +1, significa que hay una relación muy estrecha entre la implementación del ISO 27001:2013 y el control de la entidad mencionada la oficina de registros y archivos académicos. 38 4.5.2. Hipótesis específica Hipótesis específica 1: La ISO 27001:2013 influye significativamente en la confidencialidad de la seguridad de la información de la Oficina de Registros y Archivos Académicos. Variables: lal: La confidencialidad de la seguridad dé la información de la Oficina de Registros y Archivos Académicos antes de la implementación de la ISO 27001:2013. la,: La confidencialidad de la seguridad dé la información de la Oficina de Registros y Archivos Académicos después de la implementación de la ISO 27001:2013. Hipótesis Nula (Ha): La ISO 27001:2013 no influye s gnificativamente en la confidencialidad de la seguridad de la información de la Oficina de Registros y Archivos Académicos H0:1,1 — O Hipótesis Alternativa (Ha): La 180 27001:2013 influye significativamente en la confidencialidad de la seguridad de la información de la Oficina de Registros y Archivos Académicos Ha: Iai — < O 39 Hipótesis específica 2: La ISO 27001:2013 mejora significativamente en la disponibilidad en la seguridad de la información de la Oficina de Registros y Archivos Académicos. Variables: 1a2: la disponibilidad en la seguridad de la información de la Oficina de Registros y Archivos Académicos antes de la aplicación ISO 27001:2013. la: la disponibilidad en la seguridad de la información de la Oficina de Registros y Archivos Académicos después de la aplicación ISO 27001:2013. Hipótesis Nula (I-10): La ISO 27001:2013 no mejora significativamente en la disponibilidad en la seguridad de la información de la Oficina de Registros y Archivos Académicos. Ho: 1d2 1d2 O Hipótesis Alternativa (Ha): La ISO 27001:2013 mejora significativamente en la disponibilidad en la seguridad de la información de la Oficina de Registros y Archivos Académicos. 1a2 — 1d2 < O Hipótesis específica 3: 40 La ISO 27001:2013 se relaciona significativamente con la integridad de la seguridad de la información de la Oficina de Registros y Archivos Académicos Variables: 1a3: la integridad en la seguridad de la información de la Oficina de Registros y Archivos Académicos antes de la aplicación ISO 27001:2013. Ici3: la integridad en la seguridad de la información de la Oficina de Registros y Archivos Académicos después de la aplicación ISO 27001:2013. Hipótesis Nula (F10): La ISO 27001:2013 no se relaciona significativamente con la integridad de la seguridad de la información de la Oficina de Registros .y Archivos Académicos. Ho: 1a2 — 1d2 o Hipótesis Alternativa (Ha): La ISO 27001:2013 se relaciona significativamente con la integridad de la seguridad de la información de la Oficina de Registros y Archivos Académicos. H1:1,2 — 1d2 < O 4.5.3. Nivel de significancia Nivel de significancia (a): 0.05 Nivel dé confianza (y = 1-a): 0.95 41 4.5.4. Estadístico de prueba Según Martínez (2005, p. 452), cuando se conoce la varianza muestral y el tamaño de la muestra fue menor que 30, la fórmula para calcular Z en la diferencia de medias, que es el caso del indicador disponibilidad, es: Tp - Ta el, 2" P \I j a n \ a P / Donde: Ta: Indicador en el proceso actual. Tp: Indicador con el sistema propuesto. ca: Varianza con el proceso actual. ap: Varianza con el sistema propuesto. qa: Muestra para el pre test. np: Muestra para el post test. 4.5.5. Región del rechazo Debido a que se ha establecido a = 0.05, entonces según la tabla de distribución normal Z, el punto crítico Zx es 1.645. (Ortega, 2009, p182-184). Tal como se aprecia en la FIGURA N°5, la región de rechazo (RR) será cuando el valor de Zc calculado sea mayor que el valor de Zx crítico que es 1.645. 42 FIGURA N° 5 Indicadores para contrastación de hipótesis. Distribución Normal. Fuente: Elaboración propia. La tabulación, análisis y la interpretaciónide los datos recopilados fueron realizados a través del programa SPSS para Windows. 43 V. RESULTADOS 5.1. Resultados parciales En el presente capítulo se procedió a describir los resultados que se obtuvieron en la tesis en la fase de análisis de datos, haciendo uso de los indicadores se observó si la implementación de la ISO 27001:2013 Mejora significativamente la Seguridad de la Información de la ORAA — UNAC. Dos meses después de la implementación de la ISO 27001:2013, se observó que el nivel de cumplimiento influía la confidencialidad, disponibilidad e integridad. Tabla 3: Nivel de cumplimiento de la ISO 27001:2013 NIVEL DE CUMPLIMIENTO ISO 27001:2013 INDICADORES DE SEGURIDAD DE LA INFORMACIÓN PRE TEST % POST TEST % CONFIDENCIALIDAD 20 67% 29 97% DISPONIBILIDAD 11 28% 37 95% INTEGRIDAD 7 17% 40 95% Fuente: Elaboración propia. 44 Nivel de cumplimiento 10 O PRE TEST INTEGRIDAD DISPONIBILIDAD CONFIDENCIALIDAD 40 30 20 POST TEST CONFIDENCIALIDAD ÍDISPONIBILIDAD n INTEGRIDAD FIGURA N° 6 Nivel de cumplimiento Fuente: Elaboración propia. En dicha gráfica podemos apreciar que al implementar la ISO 27001:2013 influye significativamente en la confidencialidad; mejora significativamente en la disponibilidad y se relaciona significativamente con la integridad de la seguridad de la información de la Oficina de Registros y Archivos Académicos. 5.2. Resultados finales En la TABLA N° 4, se puede apreciar la relación entre las variables: ISO 27001 Y SEGURIDAD DE LA INFORMACION EN ORAA. 45 Tabla 4: Análisis de regresión Estadísticas de la regresión Coeficiente de correlación múltiple 0.998046096 Coeficiente de determinación RA2 0.996096009 RA2 ajustado 0.992192019 Fuente: Elaboración propia. Como el r calculado es r=0.99, es positivo nos indica que las variables son directamente proporcional. A mayor cumplimiento de la ISO 27001:2013 mayor es la seguridad de la información. Asimismo como el r calculado es r=0.99, se aproxima a 1, nos indica que la relación entre las variables, implementación de ISO 27001:2013 y la Seguridad de la información en ORAA, es estrecha o fuerte. Finalmente como el coeficiente de determinación es 0.996, se indica que la variación de la seguridad de la información depende en 99.6% de la implementación de la ISO 27001:2013. 46 VI. DISCUSIÓN DE RESULTADOS 6.1. Contrastación de hipótesis con los resultados 6.1.1. Análisis de confiabilidad Para realizar el análisis de confiabilidad de cada indicador se utilizó se utilizó método del Alfa de Cronbach, cuyaifórmula es: IV a de Cronbach = (1 — N-1 VT Donde: N: N° de ítems. Vi: Varianza de cada ítem. VT: Varianza total El Método de confiabilidad señalado indica 5 niveles de clasificación según los resultados que se obtengan al determinar el p - valor de contraste (sig.), como se muestra en la TABLA N° 5 Tabla 5: Nivel de confiabilidad de Cronbach Escala Nivel t 0.00 < sig <0.20 Muy bajo 0.20 < sig <0.40 Bajo 0.40 < sig <0.60 Regular 0.60 < sig <0.80 Aceptable 0.80< sig <1.00 Elevado Fuente: Nivel de confiabilidad de Cronbach 47 Para esta investigación, se considera un valor óptimo si los resultados que se obtengan estén en la escala de 0.80 a 1.00, siendo este un nivel elevado de aceptación lo cual indica que el instrumento a medir es invariable y confiable. Se realizaron las pruebas de confiabilidad con los 3 indicadores: Confidencialidad, Disponibilidad e Integridad. 6.1.1.1. Indicador: Disponibilidad Disponibilidad (Pre-Test) A continuación, la TABLA N°6, muestra el análisis de confiabilidad realizado al indicador Disponibilidad, tomados sin la implementación del ISO 27001:2013. Tabla 6: Disponibilidad (PRE-TEST) Estadísticos de fiabilidad Alfa de Cronbach N° de elementos 0.745 25 Fuente: Elaboración propia. Se aprecia que el valor resultante de la prueba de corrfiabilidad aplicada a los datos del pre-test, para el indicador Disponibilidad es de 0.745, este valor es mayor a valor crítico planteado, por lo que se considera que el instrumento para este grupo de datos es confiable. 48 Disponibilidad (Post-Test) A continuación, la TABLA N°7, muestra el análisis de confiabilidad realizado al indicador de Disponibilidad, tomados con la implementación del ISO 27001:2013. Tabla 7: Dispcinibilidad (POST-TEST) Estadísticos de fiabilidad Alfa de Cronbach N° de elementos 0.721 25 Fuente: Elaboración propia. Se aprecia que el valor resultante de la prueba aplicada a los datos del post- test para el indicador Disponibilidad es de 0.721, este valor es mayor al valor crítico planteado, por lo que se considera que el instrumento para este grupo de datos es confiable. 6.1.1.2. Indicador: Confidencialidad Confidencialidad (Pre-Test) A continuación la TABLA N°8, muestra el análisis de confiabilidad realizado al indicador Confidencialidad, tomados sin la implementación del ISO 27001:2013. 49 Tabla 8: Confidencialidad (PRE-TEST) Estadísticos de fiabilidad Alfa de Cronbach N° de elementos 0.715 25 Fuente: Elaboración propia. Se aprecia que el valor resultante de la prueba de confiabilidad aplicada a los datos del pre-test, para el indicador Confidencialidad es de 0.715, este valor es mayor a valor crítico planteado, por lo que se considera que el instrumento para este grupo de datos es confiable. Confidencialidad (Post-Test) A continuación, la TABLA N°9, muestra el análisis de confiabilidad realizado al indicador Confidencialidad, tomados con la implementación del ISO 27001:2013. Tabla 9: Confidencialidad (POST-TEST) Estadísticos de fiabilidad Alfa de Cronbach N° de elementos 0.756 25 Fuente: Elaboración propia. 50 Se aprecia que el valor resultante de la prueba aplicada a los datos del post- test para el indicador Confidencialidad, es de 0.756, este valor es mayor al valor crítico planteado, por lo que se considera que el instrumento para este grupo de datos es confiable. 6.1.1.3. Indicador: Integridad Integridad (Pre-Test) A continuación la TABLA N°10, muestra el análisis de confiabilidad realizado al indicador Integridad, tomados sin la implementación del ISO 27001:2013. Tabla 10: Integridad (PRE-TEST) Estadísticos de fiabilidad Alfa de Cronbach N° de elementos 0.722 25 Fuente: Elaboración propia. Se aprecia que el valor resultante de la prueba de confiabilidad aplicada a los datos del pre-test, para el indicador Integridad es de 0.715, este valor es mayor a valor crítico planteado, por lo que se considera que el instrumento para este grupo de datos es confiable. 51 Integridad (Post-Test) A continuación, la TABLA N°11, muestra el análisis de confiabilidad realizado al indicador Integridad, tomados con la implementación del ISO 27001:2013. Tabla 11: Integridad (POST-TEST) Estadísticos de fiabilidad Alfa de Cronbach N° de elementos 0.781 25 Fuente: Elaboración propia. Se aprecia que el valor resultante de la prueba aplicada a los datos del post- test para el indicador Integridad, es de 0.756, este valor es mayor al valor crítico planteado, por lo que se considera que el instrumento para este grupo de datos es confiable. 6.1.2. Pruebas de normalidad Se realizó la prueba de normalidad para los indicadores a través del método Shapiro-Wilk, debido a que el tamaño de la muestra es menor a 50. Dicha prueba se realizó introduciendo los datos de cada indicador en el software estadístico SPSS 22.0, para un nivel de confiabilidad del 95%, bajo las siguientes condiciones: Si: sig <0.05 adopta una distribución no normal. 52 sig k 0.05 adopta una distribución normal. Dónde: sig. : P-valor o nivel crítico del contraste. Los resultados fueron los siguientes: 6.1.2.1. Indicador: Disponibilidad Disponibilidad (Pre-Test) A continuación la TABLA N° 12, muestra el resultado de la prueba de normalidad de datos del pre-test, para el indicador Disponibilidad. Tabla 12: Prueba de SHAPIRO-WILK para el indicador Disponibilidad (PRE-TEST) Shapiro-Wilk Estadístico gl Sig. 0.961 30 0.066 Fuente: Elaboración propia. Se puede observar que el valor sig. es dei0.066 > 0.05, por lo tanto adopta una distribución normal. Disponibilidad (Post-Test) A continuación en la TABLA N°13, se muestra el resultado de la prueba de normalidad aplicado a los datos del post test para el indicador Disponibilidad. 53 Tabla 13: Prueba de SHAPIRO-WILK para el indicador Disponibilidad (POST-TEST) Shapiro-Wilk Estadístico gl Sig. 0.945 30 0.132 Fuente: Elaboración Propia. Se puede apreciar que el valor del sig. es de 0.132 > 0.05, por lo tanto adopta una distribución normal. 6.1.2.2. Indicador: Confidencialidad Confidencialidad (Pre-Test) En la TABLA N° 14, se muestra el resultado de la prueba de normalidad de datos del pre-test, para el indicador Confidencialidad. Tabla 14: Prueba de SHAPIRO-WILK para el indicador Confidencialidad (PRE-TEST) Shapiro-Wilk Estadístico 'gl Sig. 0.912 30 0.059 Fuente: Elaboración propia. 54 Se puede observar que el valor sig es de 0.059 > 0.05, por lo tanto adopta una distribución normal. Confidencialidad (Post-Test) En la TABLA N°15, se muestra el resultado de la prueba de normalidad de datos del grupo experimental para el indicador confidencialidad. Tabla 15: Prueba de SHAPIRO-WILK para el indicador Confidencialidad (POST-TEST) Shapiro-Wilk Estadístico gl Sig. 0.912 30 0.109 Fuente: Elaboración Propia Se puede apreciar que el valor del sig es de 0.109 > 0.05, por lo tanto adopta una distribución normal. 6.1.2.3. Indicador: Integridad Integridad (Pre-Test) En la TABLA N° 16, se muestra el resultado de la prueba de normalidad de datos del pre-test, para el indicador Integridad. 55 Tabla 16: Prueba de SHAPIRO-WILK para el indicador Integridad (PRE- TEST) Shapiro-Wilk Estadístico gl Sig. 0.891 30 0.071 Fuente: Elaboración propia. Se puede observar que el valor sig es de 0.071 > 0.05, por lo tanto adopta una distribución normal. Integridad (Post-Test) En la TABLA N°17, se muestra el resultado de la prueba de normalidad de datos del grupo experimental para el indicador integridad. Tabla 17: Prueba de SHAPIRO-WILK para el indicador Integridad (POST- TEST) Shapiro-Wilk Estadístico gl Sig. 0.813 30 0.091 Fuente: Elaboración Propia Se puede apreciar que el valor del sig es de 0.09 > 0.05, por lo tanto adopta una distribución normal. 56 6.1.3. Pruebas de hipótesis Prueba de Hipótesis (H1): La ISO 27001:2013 influye significativamente en la confidencialidad de la seguridad de la información de la Oficina de Registros y Archivos Académicos. Hipótesis Nula (H0): La ISO 27001:2013 no influye significativamente en la confidencialidad de la seguridad de la información de la Oficina de Registros y Archivos Académicos. Ho: — O Hipótesis Alternativa (Ha): La ISO 27001:2013 influye significativamente en la confidencialidad de la seguridad de la información de la Oficina de Registros y Archivos Académicos. Ha: — len < O Donde: !al: nivel confidencialidad antes de la implementación de un ISO 27001:2013 nivel de confidencialidad después de la implementación de un ISO 27001:2013 Como se puede observar en la FIGURA N°7, existe un aumento de la confidencialidad. 57 o PRE TEST II POST TEST Fuente: Elaboración propia. CONFIDENCIALIDAD FIGURA N° 7 Confidencialidad Prueba de Hipótesis (H2): La ISO 27001:2013 mejora significativamente en la disponibilidad en la seguridad de la información de la Oficina de Registros y Archivos Académicos. Hipótesis Nula (H0): La ISO 27001:2013 no mejora significativamente en la disponibilidad en la seguridad de la información de la Oficina de Registros y Archivos Académicos. H0 : ia2 — O Hipótesis Alternativa (Ha): La ISO 27001:2013 mejora significativamente en la disponibilidad en la seguridad de la información de la Oficina de Registros y Archivos Académicos. 58 H1: la2 — 1d2 < O Donde: 1a2: nivel de disponibilidad antes de la aplicación de ur ISO 27001:2013 Id2: nivel de disponibilidad después de la aplicación de un ISO 27001:2013 FIGURA N° 8 Disponibilidad DISPONIBILIDAD POST TEST PRE TEST O 10 20 30 40 Fuente: Elaboración propia. Prueba de Hipótesis (H3): La ISO 27001:2013 se relaciona significativamente con la integridad de la seguridad de la información de la Oficina de Registros y Archivos Académicos. Hipótesis Nula (H0): La ISO 27001:2013 no se relaciona significativamente con la integridad de la seguridad de la información de la Oficina de Registros y Archivos Académicos. HO: Ia2 1d2 O 59 Hipótesis Alternativa (Ha): La ISO 27001:2013 se relaciona significativamente con la integridad de la seguridad de la información de la Oficina de Registros y Archivos Académicos. Hl: la2 1d2 < O Donde: 1a2: nivel de integridad antes de la aplicación de un ISO 27001:2013. Id2: nivel de integridad después de la aplicación de un ISO 27001:2013. FIGURA N° 9 Integridad Fuente: Elaboración propia. 60 6.1.4. Discusión Tabla 18: Cruce de dimensiones de variables ISOISEGURIDAD LEGAL PRE LEGAL POS ESTRATEGICO PRE ESTRATEGICO POS TECNICA PRE TECNICA POS CONFIDENCIALIDAD 6 8 7 11 7 10 DISPONIBILIDAD 4 12 4 11 , 3 14 INTEGRIDAD 2 12 2 15 3 13 Fuente: Elaboración propia. Se realizó el cruce de datos entre las dimensiones de ambas variables para entender mejor cuales son las relaciones. Lo que nos indica en primer lugar es que la ORAA contaba con un nivel aceptable de confidencialidad, pero los niveles de los indicadores disponibilidad e integridad son muy bajos. FIGURA N° 10 Relación entre variables. Relación entre variables 0 INTEGRIDAD DISPONIBILIDAD e CONFIDENCIALIDAD .. ~~ oQ