Español (pdf)
Articulo en XML
Referencias del artículo
Traducción automática
Enviar articulo por email
Citado por SciELO 
Similares en
SciELO 
Permalink
Introducción
La gestión de la seguridad de la información se ha convertido en un desafío prioritario para las organizaciones, tanto públicas como privadas, debido al incremento de amenazas, vulnerabilidades y riesgos asociados al uso intensivo de las Tecnologías de la Información y la Comunicación (TIC). La protección de los activos informacionales resulta esencial para garantizar la confidencialidad, integridad y disponibilidad de los datos, pilares reconocidos en las normas internacionales de seguridad (International Organization for Standardization, 2015a); (Betancourt, 2016).
En el contexto actual, caracterizado por la acelerada obsolescencia del conocimiento y la transformación digital, las instituciones se ven obligadas a adoptar sistemas formales y estandarizados que fortalezcan sus capacidades de prevención y respuesta frente a incidentes de seguridad (Panaqué Domínguez, Lizárraga Caipo & Mendoza de los Santos, 2022).
La implementación de un Sistema de Gestión de Seguridad de la Información (SGSI), en concordancia con la norma ISO/IEC 27001 (Norma Técnica Peruana (NTP), 2016), permite establecer un marco de mejora continua orientado a identificar, evaluar y mitigar riesgos de manera sistemática (Solano Quincho, Horna Maguiña & Mendoza de los Santos, 2023).
En el ámbito universitario, la integración de prácticas de auditoría y seguridad informática en la formación académica contribuye no solo a fortalecer las competencias profesionales, sino también a generar propuestas de mejora aplicables en entornos reales. Bajo esta perspectiva, la presente investigación plantea el diseño e implementación de un Plan de SGSI con el propósito de evaluar su impacto en la administración de riesgos de seguridad de la información en la Escuela Profesional de Ingeniería de Sistemas de la Universidad Nacional de Ucayali.
La contribución esencial de este estudio consiste en evidenciar, a través de resultados comprobados, la efectividad de un Plan de SGSI aplicado en 12 entidades y procesos organizacionales, demostrando su alcance e impacto más allá del entorno académico. Desde el punto de vista metodológico, al emplear un diseño cuasi experimental con evaluaciones antes y después de la intervención, se refuerza el enfoque de gestión de riesgos de seguridad de la información, en concordancia con los lineamientos establecidos por las normas NTP-ISO/IEC 17799 y NTP-ISO/IEC 27001:2014.
De igual manera, la investigación aporta una alternativa práctica y aplicable, susceptible de ser adoptada por organizaciones públicas o privadas para fortalecer la protección de sus activos informacionales y consolidar una cultura institucional orientada a la seguridad digital.
Desarrollo
Fundamentos de la Seguridad de la Información
Para garantizar que la seguridad de la información es gestionada correctamente se debe identificar inicialmente su ciclo de vida y los aspectos relevantes adoptados para certificar la confidencialidad, integridad y disponibilidad.
La confidencialidad garantiza que la información solo sea accesible o divulgada a personas, procesos o entidades debidamente autorizadas. La integridad implica asegurar la exactitud, consistencia y totalidad de los datos, así como la correcta operación de los mecanismos que los procesan. Por su parte, la disponibilidad asegura que los recursos informáticos y la información estén accesibles y utilizables por los usuarios autorizados en el momento que se requiera.
Con base en el entendimiento del ciclo de vida de cada activo informacional, es esencial implementar un enfoque sistemático, formalizado y difundido en toda la organización para su gestión, priorizando la evaluación y tratamiento de los riesgos inherentes. Este conjunto estructurado de actividades y políticas constituye el Sistema de Gestión de Seguridad de la Información (SGSI), el cual permite proteger los activos de información dentro de un marco de mejora continua (Betancourt, 2016).
El estudio y administración de los riesgos fundamentado en procesos empresariales/servicios de Tecnologías de la Información es un instrumento eficaz para valorar y manejar una organización en relación a los peligros de los sistemas de datos. Así, los procesos comerciales/servicios de Tecnología de la Información (TI) se basan en los activos de las TIC que respaldan los procesos comerciales/servicios de TI.
Esto requiere un estudio y administración de los riesgos en los sistemas de información realista y dirigido a las metas de la organización. Una vez evaluado el riesgo y aplicados los controles apropiados de la Norma Técnica Peruana (NTP), (2016) norma ISO/IEC 27002:2014 o de otras normas, nos queda un riesgo residual que la gerencia de la empresa acepta.
Análisis y Gestión de Riesgos
El análisis de riesgos en seguridad de la información se entiende como el proceso sistemático de identificar amenazas, vulnerabilidades y el nivel de exposición de los activos organizacionales, a fin de estimar la probabilidad e impacto de incidentes (International Organization for Standardization, 2015a). Este análisis permite fundamentar decisiones sobre las medidas de protección más adecuadas, asegurando que la información crítica esté resguardada de manera proporcional a su valor y nivel de riesgo.
La gestión de riesgos, por su parte, implica la selección e implementación de controles técnicos, administrativos y organizativos orientados a prevenir, reducir o contener los riesgos detectados. Su finalidad es mantener los niveles de riesgo dentro de parámetros aceptables definidos por la organización, garantizando la confidencialidad, integridad y disponibilidad de la información (Solano Quincho, Horna Maguiña & Mendoza de los Santos, 2023).
Ambos procesos conforman un ciclo continuo: primero, el análisis permite identificar y evaluar los riesgos; posteriormente, la gestión define e implementa las estrategias de tratamiento, que pueden incluir mitigación, transferencia, aceptación o eliminación del riesgo. Este enfoque, alineado a la (Norma Técnica Peruana (NTP), 2016) norma ISO/IEC 27001, asegura que la administración de riesgos de seguridad de la información no sea una acción aislada, sino parte de una estrategia integral de mejora continua (Panaqué Domínguez, Lizárraga Caipo & Mendoza de los Santos, 2022) (Ver Figura 1).
ISO 27001
La norma técnica peruana NTP-ISO/IEC 17799, al igual que el estándar internacional ISO/IEC 27001, establece directrices orientadas a garantizar la protección adecuada de los activos de información dentro de una organización. Para ello, todos los activos deben ser debidamente inventariados y contar con un responsable formalmente designado. Es imprescindible identificar a los encargados de cada activo crítico, quienes asumirán la responsabilidad de asegurar la implementación y mantenimiento de los controles de seguridad correspondientes.
Si bien las tareas operativas relacionadas con la aplicación de dichos controles pueden ser delegadas, la responsabilidad final sobre la seguridad del activo recae en su propietario designado, quien deberá velar por la integridad y eficacia de las medidas adoptadas (International Organization for Standardization, 2015a).
Inventario De Activos
De acuerdo con la norma ISO/IEC 27001, todos los activos de información deben ser claramente identificados, manteniendo un inventario actualizado que registre aquellos elementos que resulten críticos para la operación de la organización. Este inventario debe clasificar y documentar los activos en función de su relevancia para el negocio, incluyendo aspectos clave como tipo, formato, ubicación física o digital, copias de respaldo, licenciamiento y su valor estratégico.
La administración de este inventario debe evitar redundancias innecesarias; sin embargo, es fundamental asegurar su coherencia con otros registros de activos existentes dentro de la organización. Este control contribuye directamente a los procesos de recuperación ante desastres y a la gestión integral de la seguridad de la información (International Organization for Standardization, 2015a).
Métodos
Diseño de la Investigación
La investigación fue de tipo aplicada, con un nivel descriptivo, empleando un diseño cuasi-experimental pre test - post test con un solo grupo. Este diseño permitió evaluar los cambios en la variable dependiente (administración de riesgos) antes y después de la implementación del Plan de SGSI, comparando los resultados obtenidos en ambas mediciones (Hernández & Mendoza, 2018).
Técnicas e Instrumentos
La técnica principal de recolección de datos fue la encuesta estructurada, diseñada con base en las dimensiones: confidencialidad, integridad, disponibilidad, identificación y tasación de activos, y análisis de riesgos. El cuestionario estuvo conformado por 15 ítems en escala Likert (1 a 5), elaborados a partir de criterios de la norma NTP-ISO/IEC 27001:2014.
Confiabilidad del Instrumento
La consistencia interna del cuestionario se verificó mediante el coeficiente alfa de Cronbach, alcanzando un valor superior a 0.80. Según Ruiz Bolívar, (2010), este rango corresponde a un nivel alto de confiabilidad, lo que indica homogeneidad en los ítems y estabilidad de las mediciones.
Procedimiento
Aplicación del pre test para medir la percepción inicial de la administración de riesgos.
Implementación del Plan de SGSI en cada equipo, incluyendo identificación de activos, análisis de amenazas y vulnerabilidades, y diseño de controles de seguridad.
Aplicación del post test, con el mismo cuestionario, para medir los cambios tras la implementación.
Análisis estadístico mediante la prueba t de muestras relacionadas, con un nivel de significancia de 0.05, para determinar diferencias significativas entre pre y post test.
Operacionalización de Variables
Sistema de Gestión de Seguridad de la Información (SGSI).
a. Definición Conceptual
Un Sistema de Gestión de Seguridad de Información (SGSI) es un sistema gerencial general basado en un enfoque de riesgos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información.
b. Definición Operacional
Dimensiones
Administración de Riesgo.
a. Definición Conceptual
Es reconocer, medir y gestionar los riesgos vinculados a la seguridad de la información para cumplir con las metas empresariales a través de una serie de actividades que demandan el conocimiento del gerente de seguridad de la información acerca del método esencial de administración de riesgos.
b. Definición Operacional
Para efectuar la Operacionalización de esta variable se ha elaborado un cuestionario basado en las dimensiones:
Población y Muestra de la Investigación
El experimento se ha desarrollado en la Carrera Profesional de Ingeniería de Sistemas de la Universidad Nacional de Ucayali, Semestre Académico 2022-II, y consideramos como población, a todos los alumnos matriculados Asignatura: Auditoria y Seguridad en Informática, X Ciclo, que en total son 49 alumnos que integran los 12 equipos distribuidos en “Entidades/Procesos”.
El tamaño de muestra utilizando es el Tipo No Probabilístico que según Hernández & Mendoza, (2018) “Subgrupo de la población en la que la elección de los elementos no depende de la probabilidad sino de las características de la investigación” bajo el diseño de muestreo intencional o de conveniencia El caso más frecuente de este procedimiento el utilizar como muestra los individuos a los que se tiene fácil acceso (los docentes de universidad emplean con mucha frecuencia a sus propios alumnos), donde se tomará a los 49 alumnos que integran los 12 equipos distribuidos en “Entidades/Procesos” de investigación de la Escuela Profesional de Ingeniería de Sistemas.
Técnicas e Instrumentos de la Recolección de Datos
La técnica que se aplicará es:
La validez del instrumento se realizará mediante el análisis de Alfa de Cronbach.
Dicho coeficiente determina la consistencia interna de una prueba, analizando la correlación media de una variable con todas las demás que la integran. Por lo general, toma valores dentro del intervalo [0,1], donde un valor próximo al límite inferior indica una consistencia escasa, es decir, con una gran variabilidad de los temas tratados, y, por el contrario, un valor próximo a la unidad conllevaría a un alto de grado de consistencia. No obstante, pudiera tomar valores negativos, lo que indicaría que en el cuestionario hay preguntas que recogen temas opuestos al resto (Hernández & Mendoza, 2018).
Como criterio general, Ruiz Bolívar, (2010, p.39) sugiere las recomendaciones siguientes para evaluar los coeficientes de Alfa de Cronbach:
Tabla 1 Escala de Alfa de Cronbach
|
|---|
Fuente: Construcción de Instrumentos de Medición en Ciencias Sociales
Formulario de encuestas para alumnos
La fuente primaria, se obtiene de la información por contacto directo con el sujeto de estudio, documental, percepción de los implicados, alumnos y la técnica cuantitativa: tales como encuestas.
Resultados
El diagnóstico inicial permitió identificar 220 activos de información, de los cuales 204 fueron valorados y gestionados según la norma NTP-ISO/IEC 17799. En la fase de análisis de riesgos se evaluaron 141 activos críticos, identificándose 594 amenazas y un número equivalente de 594 vulnerabilidades. Estos hallazgos muestran la amplitud de factores de riesgo presentes en los procesos evaluados, evidenciando la necesidad de contar con un SGSI que sistematice la identificación, clasificación y priorización de riesgos.
Los resultados del diseño pre test - post test confirmaron que la implementación del Plan de SGSI produjo mejoras significativas en la administración de riesgos, con un promedio de diferencia 𝐷̅ = 1.4967, validado mediante prueba t (Tc = 13.576 > Tt = 1.761; p < 0.05) y un nivel de confianza del 95%. Estas mejoras se distribuyeron en las dimensiones de confidencialidad (𝐷̅ = 1.6100), integridad (𝐷̅ = 1.2860) y disponibilidad (𝐷̅ = 1.5940), lo que refleja un impacto positivo tanto en la protección de los datos como en la continuidad de los procesos organizacionales.
El análisis estadístico no solo confirma la efectividad del plan, sino que también revela la existencia de áreas críticas que requieren atención prioritaria. La alta cantidad de amenazas y vulnerabilidades identificadas indica que las organizaciones evaluadas se encuentran en escenarios de riesgo considerable, donde la ausencia de controles sistemáticos podría comprometer la operación. En este sentido, los resultados coinciden con estudios previos que destacan la utilidad del SGSI como marco para reducir la exposición y garantizar la seguridad de la información (Merino, 2021; Gómez Ángeles, 2024) (Ver Figura 2).
Tabla 2 Resumen de Administración de Riesgos del SGSI
| Numero de Análisis de Riesgos | ||||||||
|---|---|---|---|---|---|---|---|---|
| EQUIPO | ENTIDAD/PROCESO | COMPRENDE | Número de Identificación Activos | Numero de Tasación de Activos | Numero de Activos Analizados | Numero de Amenazas | Numero de Vulnerabilidad | FUENTE DE INFORMACION |
| 1 | PROCESO DE ALMACENAMIENTO EN LA EMPRESA OTIFARMA S.A.C | Comprende:
|
11 | 11 | 5 | 21 | 21 | Administración de Riesgos de Seguridad de Información Proceso de GESTION DE ALMACEN EN LA EMPRESA OTIFARMA S.A.C |
| 2 | SISTEMA COMERCIAL DE “GRUPO YUCRA” | Comprende:
|
14 | 8 | 8 | 32 | 32 | Administración de Riesgos de Seguridad de Información Proceso debe ser el Establecidos en el Plan de Implementación |
| 3 | ÁREA DE LOGÍSTICA DE LA EMPRESA “CREDIVARGAS” | Comprende:
|
11 | 11 | 9 | 35 | 35 | Administración de Riesgos de Seguridad de Información Gestión Logística de la Empresa CrediVargas |
| 4 | EMPRESA DE FACTURACIÓN ELECTRÓNICA LORITO SOFT | Comprende:
|
15 | 5 | 5 | 21 | 21 | Administración de Riesgos de Seguridad de Información Proceso debe ser el SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN LA EMPRESA DE FACTURACIÓN ELECTRÓNICA LORITO SOFT |
| 5 | PARA LA COMUNICACIÓN SERVIDOR - COMPUTADORA EN EL ÁREA DE SERVIDORES EN LA MUNICIPALIDAD PROVINCIAL DE CORONEL PORTILLO | Comprende:
|
19 | 19 | 9 | 51 | 51 | Administración de Riesgos de Seguridad de Información Proceso debe ser la COMUNICACIÓN SERVIDOR - COMPUTADORA EN EL ÁREA DE SERVIDORES EN LA MUNICIPALIDAD PROVINCIAL DE CORONEL PORTILLO |
| 6 | EMPRESA MOLINO EL IMPERIO SAC | Comprende:
|
25 | 25 | 21 | 131 | 131 | Administración de Riesgos de Seguridad de Información Proceso debe ser el SISTEMA DE LA EMPRESA MOLINO EL IMPERIO SAC |
| 7 | “Vista Cinema” de Cineplanet Pucallpa | Comprende: 1. Entrada y salida de productos e inventario 2. Generar reportes diarios por ventas | 9 | 9 | 8 | 32 | 32 | Administración de Riesgos de Seguridad de Información Proceso de "VISTA CINEMA" de CINEPLANET - PUCALLPA |
| 8 | RESERVAS DEL HOSPEDAJE AEROPUERTO | Comprende:
|
7 | 7 | 7 | 27 | 27 | Administración de Riesgos de Seguridad de Información Proceso debe ser el SISTEMA DE RESERVAS DEL HOSPEDAJE AEROPUERTO |
| 9 | DEL AREA DE SOPORTE TECNICO - UNU | Comprende:
|
17 | 17 | 13 | 52 | 52 | Administración de Riesgos de Seguridad de Información Proceso debe ser el Establecidos en el Plan de Implementación |
| 10 | INNOVACIÓN TECNOLOGICA DE LA EMPRESA LEX & IUS. | Comprende:
|
56 | 56 | 23 | 92 | 92 | Administración de Riesgos de Seguridad de Información Proceso de la GERENCIA DE INNOVACIÓN TECNOLOGICA DE LA EMPRESA LEX & IUS |
| 11 | PROCESO DE SISTEMAS WEB PARA LA EMPRESA CAOTEC E.I.R.L | Comprende:
|
27 | 27 | 24 | 64 | 64 | Administración de Riesgos de Seguridad de Información Proceso debe ser el Establecidos en el Plan de Implementación |
| 12 | ÁREA DE PRESUPUESTO Y ADMINISTRACIÓN EN LA EMPRESA INMOBILIARIA JOSUE E.I.R.L | Comprende:
|
9 | 9 | 9 | 36 | 36 | Administración de Riesgos de Seguridad de Información Proceso debe ser EMPRESA INMOBILIARIA JOSUE E.I.R.L. |
| TOTAL | 220 | 204 | 141 | 594 | 594 | |||
Fuente: Elaboración Propia
Hipótesis General
Planteo De Hipótesis
Ho: Un Plan de Sistema de Gestión de Seguridad de la Información no mejora de manera significativa la Administración de Riesgo.
Ha: Un Plan de Sistema de Gestión de Seguridad de la Información mejora de manera significativa la Administración de Riesgo.
Regla de Decisión Estadística
Si el Valor Sig. ≥ 0.05, se acepta Ho. Si el valor Sig. < 0.05, se acepta Ha.
Determinación Del Valor Crítico (𝑻t)
Para el cálculo del valor critico se ha empleado la tabla de distribución normal
𝑇𝑡 (1−𝛼) (𝑛−1)
𝑇𝑡 (1−0.05) (15−1)
𝑇𝑡 (0.95) (14) = 1.761
Cálculo de la Función Prueba (𝑻𝒄)
Se ha utilizado el programa estadístico para calcular la función de prueba, SPPS, insertando los valores promedios de los resultados del cuestionario aplicado (Ver Tabla 3).
A continuación, se presenta la fórmula para el estadístico de prueba:
Toma de Decisiones
Como 𝑻𝒄=13.576 es mayor 𝑇𝑡=1.7610, se rechaza la Ho y se acepta la Ha. Luego de ejecutar el diseño de investigación y aplicar cálculos estadísticos, se determina que un Plan de Sistema de Gestión de Seguridad de la Información mejora de manera significativa la Administración de Riesgo, con un nivel de confianza del 95%.
Discusión
Los resultados obtenidos confirman que la implementación de un Plan de SGSI produce mejoras significativas en la administración de riesgos, con evidencias estadísticas que respaldan avances en confidencialidad, integridad y disponibilidad de la información. Este hallazgo concuerda con lo reportado por Merino (2021), quien mostró beneficios similares al aplicar la norma ISO/IEC 27001 en una empresa comercial, y con Gómez Ángeles (2024), quien evidenció mejoras sustanciales en una municipalidad limeña. Sin embargo, a diferencia de estos estudios centrados en organizaciones consolidadas, el presente trabajo se aplicó en un contexto académico, lo que amplía la comprensión del SGSI como herramienta tanto de formación como de gestión.
El análisis de riesgos permitió identificar 594 amenazas y 594 vulnerabilidades en el total de procesos evaluados, lo que refleja un panorama de riesgo considerable. Este resultado coincide con lo señalado por Solano Quincho, Horna Maguiña & Mendoza de los Santos (2023), quienes destacan la necesidad de integrar la seguridad informática en la estrategia global de gestión de servicios. Sin embargo, el hecho de que este volumen de riesgos se detecte incluso en procesos académicos y administrativos universitarios problematiza la idea de que las instituciones educativas enfrentan una exposición menor frente al sector privado o gubernamental.
El aporte innovador de este estudio radica en la aplicación práctica del SGSI en un entorno académico real, sustentada con un diseño cuasi-experimental que demuestra de manera cuantitativa su efectividad. Esto no solo fortalece la formación profesional de los estudiantes, sino que también ofrece un modelo replicable en organizaciones que carecen de políticas estructuradas de seguridad.
En conclusión, los hallazgos confirman que el SGSI constituye un marco estratégico adaptable a distintos contextos, capaz de reducir vulnerabilidades, priorizar riesgos y garantizar la continuidad de los procesos en entornos organizacionales diversos.
Conclusiones
Los resultados del diseño pre test - post test confirmaron que la implementación del Plan de SGSI mejora de manera estadísticamente significativa la administración de riesgos (𝑫̅ = 1.4967; Tc = 13.576 > Tt = 1.761; p < 0.05), con un nivel de confianza del 95%. Este hallazgo demuestra avances en las dimensiones de confidencialidad (𝑫̅ = 1.6100), integridad (𝑫̅ = 1.2860) y disponibilidad (𝑫̅ = 1.5940).
La identificación de 220 activos, de los cuales 204 fueron gestionados, evidencia que el Plan de SGSI facilita la clasificación y control de activos informacionales críticos. Este resultado confirma el segundo objetivo, mostrando que el SGSI es una herramienta estratégica para proteger los recursos más sensibles de la organización y garantizar la continuidad de los procesos.
De acuerdo con el resumen de administración de riesgos del SGSI, se gestionaron 141 activos, identificándose 594 amenazas y 594 vulnerabilidades en el total de procesos evaluados, conforme a la norma NTP ISO/IEC 27001:2014. Este hallazgo evidencia la magnitud de los riesgos presentes y confirma que el SGSI constituye un marco eficaz para su identificación, priorización y tratamiento, contribuyendo a reducir la exposición de la organización y fortaleciendo la seguridad de la información.
