UNIVERSIDAD NACIONAL

“SANTIAGO ANTUNEZ DE MAYOLO”

ESCUELA DE POSTGRADO

“MODELO DE ANÁLISIS DE RIESGOS EN CIBERSEGURIDAD

BASADO EN ISO 27032 Y NIST CSF PARA LA OFICINA
GENERAL DE TECNOLOGÍAS DE INFORMACIÓN, SISTEMAS
Y ESTADÍSTICA DE LA UNIVERSIDAD NACIONAL
SANTIAGO ANTÚNEZ DE MAYOLO – 2020”

Tesis para optar el grado de Maestro en

Ciencias e Ingeniería
Mención en Auditoria y Seguridad Informática

JHUNIOR FRANKLIN SALAZAR FERNANDEZ

Asesor: Dr. ALBERTO MARTÍN MEDINA VILLACORTA

Huaraz – Perú

2020

Nº. Registro: …
 ÍNDICE

ÍNDICE ........................................................................................................................ 2
I. PROBLEMA DE INVESTIGACIÓN ............................................................ 1
1.1. Planteamiento y formulación del problema ................................................... 1
1.2. Objetivos ........................................................................................................... 7
1.3. Justificación ...................................................................................................... 7
1.3.1. Justificación Económica ........................................................................... 7
1.3.2. Justificación Científica ............................................................................. 8
1.3.3. Justificación Operacional ......................................................................... 9
1.3.4. Justificación Institucional ........................................................................ 9
1.4. Delimitación ...................................................................................................... 9
1.5. Ética de la Investigación ................................................................................ 10
II. MARCO TEÓRICO ...................................................................................... 11
2.1. Antecedentes ................................................................................................... 11
2.2. Bases teóricas .................................................................................................. 14
2.3. Definición de términos ................................................................................... 21
2.4. Hipótesis .......................................................................................................... 26
2.5. Variables ......................................................................................................... 27
III. METODOLOGIA .......................................................................................... 28
3.1. Tipo de Investigación ..................................................................................... 28
3.2. Diseño de investigación .................................................................................. 28
3.3. Población y muestra ....................................................................................... 29
3.4. Técnicas e Instrumento(s) de recolección de datos ..................................... 29
3.5. Plan de procesamiento y análisis estadístico de datos................................. 30
IV. ADMINISTRATIVO ..................................................................................... 31
4.1. Cronograma .................................................................................................... 31
4.2. Presupuesto ..................................................................................................... 32
V. REFERENCIAS BIBLIOGRÁFICAS ......................................................... 33
VI. ANEXOS ......................................................................................................... 36
I. PROBLEMA DE INVESTIGACIÓN

1.1. Planteamiento y formulación del problema

1.1.1. Planteamiento del Problema

En los últimos años las organizaciones vienen desafiando distintos retos

alineados a los avances de la tecnología, todos ellos con el objetivo de
mejorar sus servicios, mantener competitividad en el mercado y obtener
mayores ingresos. Es así, que la adopción de las Tecnologías de la
Información (en adelante llamado TI) es muy usual, ya que nos brinda una
gran posibilidad de herramientas que nos permiten gestionar con mayor
efectividad los activos de información de toda organización.

Por otro lado, la adopción de TI conlleva a tolerar múltiples riegos y

amenazas, tal es el caso del creciente uso de internet, herramienta muy
ventajosa, pero que paralelamente trae riesgos latentes, pues aparecen los
ciberdelincuentes que aprovechan el ciberespacio para atacar a las
organizaciones con el fin de sustraer información, alterarla, paralizar la
continuidad de los servicios en TI, infectar la red, robos a cuentas
bancarias, robo de contraseñas, entre otros.

Consecuentemente, hoy en día se hace necesario que los líderes y

autoridades de las organizaciones, adopten estrategias de ciberseguridad
para neutralizar y/o minimizar cualquier amenaza que atente contra los
activos digitales de las organizaciones y la continuidad de los servicios en
TI, sin importar el nivel de complejidad de éstas, ya que las consecuencias
que se producen al sufrir diferentes ataques pueden ser graves e
irreparables. Así lo muestra el Instituto Nacional de Ciberseguridad
(INCIBE, Instituto Nacional de Ciberseguridad, 2017), que realizó una
publicación del ranking de los diez principales incidentes de ciberseguridad
producidos en 2016 en todo el mundo: Primero: Robo de 81 millones de

1
dólares al Banco Central de Bangladés, Segundo: Robo de unos 64
millones de dólares en bitcoins a la plataforma de intercambio Bitfinex de
Hong Kong, Tercero: Publicación de datos de 154 millones de votantes de
Estados Unidos, Cuarto: Publicación de datos personales de 93 millones
de ciudadanos de México, debido a la defectuosa configuración de la base
de datos MongoDB utilizada por el Instituto Nacional Electoral de México,
Quinto: Robo de 1.000 millones de cuentas a Yahoo!. Además de fechas
de nacimiento, direcciones de correo electrónico, números de teléfono,
contraseñas en MD5, la información robada también contenía preguntas y
respuestas de seguridad sin cifrar, Sexto: Robo de 500 millones de cuentas
a Yahoo!, ocurrido en a finales de 2014. Entre los datos robados, de nuevo
se encontraban preguntas y respuestas de seguridad sin cifrar, Séptimo:
Robo de 400 millones de cuentas de Friend Finder Network Inc., compañía
que gestiona diferentes páginas de citas, Octavo: Ataque de denegación de
servicio (DDoS) a múltiples servicios de Internet, llegando a afectar a Play
Station, Twitter, entre otros, Noveno: Fallo en la implementación de la pila
TCP en sistemas Linux posteriores a la versión de Kermel 3.6. y por último
Decimo: Fallo en los procesadores Qualcomm que permitía acceder a la
información cifrada sin que se activaran los mecanismos de borrado.

Se puede evidenciar que los incidentes ocurridos en el año 2016 afectaron

de forma trascendental a muchas organizaciones, ocasionando pérdidas
económicas y daños en su reputación, ya que sus clientes se dieron cuenta
que no son de mucha confianza y su información no estaba debidamente
protegida. Además, las actividades empresariales se vieron paralizadas y
afectó la continuidad de las mismas, dañando a la organización, clientes,
proveedores y hasta ciudadanos.

Desde otra perspectiva, el Banco Interamericano de Desarrollo (BID, 2020)

hizo un informe sobre la ciberseguridad en Latinoamérica, basado en el
Modelo de Madurez de la Capacidad de Ciberseguridad (CMM, por sus

2
 siglas en inglés) desarrollado por Centro Global de Capacidad sobre
Seguridad Cibernética (GCSCC) de la universidad de Oxford; el informe
muestra resultados de la situación en la que se encuentra Perú en
Ciberseguridad y nos menciona lo siguiente: Si bien Perú aún no cuenta
con una estrategia nacional de seguridad cibernética, sí ha puesto en
marcha una política nacional de ciberseguridad que, entre otras cosas,
destaca la necesidad de crear una estrategia nacional de ciberseguridad y
un comité nacional de ciberseguridad.

Además, se puede observar en las figuras 01 y 02 los avances que ha tenido

Perú en Ciberseguridad desde el año 2016, basándose en las 5 Dimensiones
del Modelo de Madurez de la Capacidad de Ciberseguridad:

Figura N° 01. Factores que comprenden las dimensiones del modelo de madurez
de Ciberseguridad aplicados al Perú (D1, D2).
Fuente: https://publications.iadb.org/es/reporte-ciberseguridad-2020-riesgos-
avances-y-el-camino-a-seguir-en-america-latina-y-el-caribe

3
Figura N° 02. Factores que comprenden las dimensiones del modelo de madurez de
Ciberseguridad aplicados al Perú (D3, D4, D5).
Fuente: https://publications.iadb.org/es/reporte-ciberseguridad-2020-riesgos-avances-y-el-
camino-a-seguir-en-america-latina-y-el-caribe

4
Se puede observar que nuestro país ah avanzando en distintos factores,
como el aspecto legal, la cultura cibernética y adoptar estándares y buenas
prácticas para desarrollar software de calidad. Pero es necesario la
implementación de estrategias en seguridad cibernética y un comité
nacional de ciberseguridad por parte del estado peruano; de ese modo,
carecemos de un lineamiento que direccione la gestión de riesgos de
Ciberseguridad en el territorio peruano.

En nuestro contexto, para el desarrollo del presente proyecto se ha elegido

a la Universidad Nacional Santiago Antúnez de Mayolo (UNASAM),
específicamente al área responsable en gestionar Tecnologías de la
Información, denominado Oficina General de Tecnologías de Información,
Sistemas y Estadística (OGTISE), dicha oficina es la responsable de
desarrollar y mantener en buen funcionamiento el sistema informático de
la UNASAM, así como generar y difundir la estadística de la universidad,
brindando servicios y asesoría en temas informáticos a todas las
dependencias académicas y administrativas, que facilite el correcto
desarrollo, con un diagnóstico adecuado; también como generar y difundir
las estadísticas del sistema universitario nacional y de la institución.

Ante lo mencionado en el párrafo anterior y después de realizar

constataciones preliminares, se puede precisar que la entidad en estudio
carece de estrategias y/o planes de acción en ciberseguridad; lo cual
permite que exista vulnerabilidad y crece la posibilidad de ser víctima de
la ciberdelincuencia; aparte de ello se puntualizan algunas debilidades
identificadas en la entidad con respecto al manejo de TI, para así, mantener
un panorama más claro de la realidad:

 Aplicaciones Desarrolladas sin considerar la seguridad como uno de los

pilares fundamentales del Software.

5
  Antecedentes de caídas de plataformas que maneja la OGTISE
provocados por ataques cibernéticos.
 Una red informática que se implementó sin tener en cuenta las políticas
de seguridad informática, por lo cual esta propensa a interferencias o
intrusiones que ponen en riesgo la información que se transmite; del
mismo modo no se mantiene un mapeo de red de los equipos
informáticos conectados a la red de la entidad.
 Las computadoras vienen siendo infectadas por programas maliciosos y
generan el uso ilícito de los recursos de los equipos informáticos,
llegando incluso a abrir puertas a intrusos y ponen en riesgo la
información.
 No se cuenta con un plan de contingencia ante posibles ataques
Cibernéticos.
 Los colaboradores de la entidad en su mayoría poseen conocimientos
escasos en ciberseguridad, aparte de ello no se les ha restringido los
permisos correspondientes para usar los recursos informáticos
únicamente para sus labores.

Por tal motivo, la presente investigación mostrará el diseño de un modelo

de análisis de riesgos en Ciberseguridad basado en ISO 27032 Y NIST CSF
para la OGTISE – UNASAM; dicho modelo nos permitirá evidenciar: los
riesgos a los que se encuentra expuesto, detallar las vulnerabilidades que
presenta y finalmente generar planes y estrategias para mejorar la
Ciberseguridad.

1.1.2. Formulación del Problema

¿De qué manera la adopción de un modelo de análisis de riesgos en

ciberseguridad incide en la protección de los activos digitales de la oficina
general de tecnologías de información, sistemas y estadística de la
UNASAM?

6
1.2. Objetivos

1.2.1. Objetivo General:

Diseñar un modelo de análisis de riesgos en ciberseguridad basado

en ISO 27032 y NIST CSF para la oficina general de tecnologías de
información, sistemas y estadística.

1.2.2. Objetivos Específicos:

1. Analizar lo modelos actuales de análisis de riesgos en

ciberseguridad de las organizaciones.

2. Proponer un modelo de análisis de riesgos en ciberseguridad

basado en ISO 27032 y NIST CSF para la oficina general de
tecnologías de información, sistemas y estadística.

3. Aplicar un modelo de análisis de riesgos en ciberseguridad

basado en ISO 27032 y NIST CSF para la oficina general de
tecnologías de información, sistemas y estadística.

4. Generar propuestas de buenas prácticas en ciberseguridad y su

aplicación a futuro.

1.3. Justificación

La presente investigación se va a justificar en distintos aspectos, para

precisar porqué es importante implementar la solución frente a la
problemática mencionada anteriormente.

1.3.1. Justificación Económica

El modelo propuesto en la presente investigación contribuye en

disminuir los costos que involucraría ser víctima de ataques
cibernéticos, además, las pérdidas que se ocasionarían si la

7
 información de la entidad es sustraída y utilizada para fines
desastrosos.

En primer lugar, se presentarán distintos conceptos (egresos) para

diseñar el presente modelo (hardware, herramientas software, etc.)
pero que serán compensados con ingresos (beneficios esperados)
adquiriendo información relevante en cuanto a buenas prácticas en
ciberseguridad para prevenir ataques a futuro.

1.3.2. Justificación Práctica

Esta investigación es importante porque recientes investigaciones

realizadas por empresas especializadas en ciberseguridad señalan que
los ataques cibernéticos están evolucionando, los ciberdelincuentes
vienen desarrollando softwares maliciosos cada vez más sofisticados
con el fin de vulnerar los sistemas de las organizaciones.

Por tal motivo, con el modelo propuesto se destaca la importancia de

elaborar planes de acción y estrategias para minimizar los riesgos y
garantizar la ciberseguridad.

1.3.3. Justificación Científica

La presente investigación mostrará un modelo que será diseñado

mediante la recolección de información de distintos modelos y/o
metodologías de análisis de riesgos en ciberseguridad, de esa manera
plantear una propuesta que permita contribuir y mejorar la
Ciberseguridad de la realidad problemática que se sustentó.

El nuevo modelo también podrá ser utilizado en universidades de

nuestro país que mantienen realidades similares. Además, con el
resultado de la investigación mantendremos una gran fuente de

8
 información para futuras investigaciones y de ese modo contribuir
con el conocimiento científico.

1.3.4. Justificación Operacional

La presente investigación mostrará un modelo de análisis de riesgos

en ciberseguridad, el cual nos permitirá identificar y analizar
detalladamente las vulnerabilidades, amenazas y riesgos de la entidad
en estudio. Todo ello con el objetivo de generar planes y estrategias
para mejorar la ciberseguridad en la UNASAM; además, como
resultado del modelo se elaborará un informe final con una serie de
recomendaciones, donde se detallarán propuestas de buenas prácticas
y estrategias en ciberseguridad, para que la institución logre proteger
sus activos digitales de manera efectiva.

1.3.5. Justificación Institucional

La presente investigación será de gran aporte para la entidad de

estudio, ya que mediante el modelo planteado las autoridades tendrán
información valiosa a su alcance que será de vital importancia para
la toma de decisiones; dicha información permitirá mejorar la
ciberseguridad de la entidad, estableciendo recomendaciones y
buenas prácticas para neutralizar los ataques cibernéticos, de esa
manera se mantendrá un entorno seguro y generará confianza a la
comunidad Santiaguina, finalmente la Oficina General de
Tecnologías de Información, Sistemas y Estadística de la UNASAM
estará protegiendo uno de los activos más importantes: la
información.

1.4. Delimitación

El presente proyecto de investigación se va a desarrollar durante el año 2020

en la ciudad de Huaraz, específicamente va a involucrar la investigación a la

9
 Universidad Nacional Santiago Antúnez de Mayolo (Oficina General de
Tecnologías de Información, Sistemas y Estadística).

Alcance: los resultados que se pretenden obtener con el desarrollo del

proyecto serán de utilidad a diversas organizaciones con realidades similares
en las que se gestiona TI, ya que todas ellas se ven en la necesidad y
obligación de brindar aspectos o criterios de ciberseguridad a su principal
activo: “La Información”. Para ello con el modelo propuesto acerca de la
importancia de elaborar planes de acción y estrategias para minimizar los
riesgos, las organizaciones tendrán el enfoque necesario para establecer
mejores directrices de gobierno que garanticen la ciberseguridad.

1.5. Ética de la Investigación

Tabla N° 01
Criterios Éticos de la Investigación
Criterios Características éticas del criterio

Confidencialidad Garantizar la discreción de identidades, datos personales e

información confidencial de la entidad.

Objetividad En cuanto al análisis de la problemática se utilizará

herramientas y técnicas acreditadas para el conocimiento
de la realidad.

Originalidad Citar correctamente los aportes científicos añadidos a la

presente investigación, para evitar en su totalidad el
plagio.

Veracidad La información presentada en el informe de tesis será real

y objetiva, obtenida directamente de la entidad en estudio
y procesada por el autor de la presente investigación.

10
II. MARCO TEÓRICO

2.1. Antecedentes

2.1.1. Antecedentes Internacionales

(Rubio, 2015) en su tesis Doctoral: “Un Marco para el Análisis de Riesgos

en Ciberseguridad” tiene como objetivo introducir un marco integrado para
el análisis de riesgos en ciberseguridad que facilite la toma de decisiones
respecto a la seguridad de los sistemas.

Menciona que el principal problema que debe resolverse en el ámbito de la

seguridad de la información es la inexistencia de modelos de control y
análisis de riesgos sofisticados, que estén a la altura de las circunstancias.
Para ello, la metodología de trabajo que llevó a cabo ha constado de una fase
de observación y análisis de los marcos y metodologías existentes en la
actualidad, así como su implantación y uso en entidades privadas y
administraciones públicas. Posteriormente, analizó los resultados
observados, viendo las deficiencias encontradas en dichas implantaciones en
casos reales y las sugerencias trasladadas por los propios afectados.
Siguiendo a esa fase hubo una labor de documentación y trabajo de campo,
a fin de encontrar posibles soluciones a las carencias actuales, diseñando las
propuestas que en su tesis se desarrollan. Finalmente, dichas propuestas se
implantaron en casos reales, analizando sus ventajas sobre los anteriores
modelos usados.

(Aguirre, 2017) en su tesis de Maestría: “Ciberseguridad en Infraestructuras

Críticas de Información” menciona el notable incremento del uso de
diversas tecnologías de la información para la provisión de servicios vitales
de un país con la escasez de controles de ciberseguridad en las
infraestructuras que soportan dichos servicios. En efecto, servicios
esenciales tales como las telecomunicaciones o la energía, están utilizando

11
 masivamente tecnologías de la información debido a los grandes beneficios
que esto acarrea, pero la gestión de la ciberseguridad es una debilidad, a la
que se presta poca atención. Se propone en consiguiente, profundizar el
estudio de la ciberseguridad, enfocándose en la identificación de servicios
críticos y en la protección de las infraestructuras de información que
contribuyen a su provisión.

De esa manera, se plantea como objetivo definir los mecanismos y controles

de seguridad más relevantes que los responsables o proveedores de servicios
críticos deben implementar en las infraestructuras críticas, para protegerlas
de las amenazas que pudieran afectarlas.

2.1.2. Antecedentes Nacionales

(Sanchez, 2017) en su tesis “Adopción de Estrategias de Ciberseguridad en

la Protección de la Información en la Oficina de Economía del Ejército, San
Borja (2017)” menciona que es preocupante la inoperancia y poca voluntad
por parte del Estado en limitar las partidas presupuestarias para la
implementación de una Estrategia Nacional de Ciberseguridad, las
autoridades deberían comprender que en la actualidad el ciberespacio e
Internet juegan un papel muy importante en distintas áreas de la economía,
e invertir en ciberseguridad permite mejorar su fiabilidad y estabilidad. En
sectores como la banca, las empresas de comunicaciones, la optimización
del uso de la energía y las redes de distribución inteligentes puede utilizar la
tecnología de la información para ahorrar recursos en otras áreas. En
conclusión, las autoridades de turno no le están dando la relevancia que se
debe al tema de ciberseguridad, lo cual representa un error muy grave puesto
que se encuentran comprometidos muchos de los sectores del Estado (puesto
que se encuentran provistos de infraestructuras críticas) y si se ven
vulneradas una de estas, se puede ver muy comprometida la estabilidad
económica y social de nuestro país, por ello no se debe escatimar esfuerzos

12
al invertir en este tipo de tecnología, que nos permita contar con información
segura frente a las múltiples amenazas que hoy se encuentran en el
ciberespacio.

De ese modo plantea como objetivo determinar de qué manera la adopción

de estrategias de ciberseguridad incide en la protección de la información en
la Oficina de Economía del Ejército.

(Vilcarromero & Vilchez, 2018) en su tesis de Maestría: “Propuesta de

implementación de un modelo de gestión de ciberseguridad para el centro
de operaciones de seguridad (SOC) de una empresa de telecomunicaciones”
menciona que cuando se plantea la implementación de un nuevo modelo de
Gestión de Ciberseguridad para el área de servicios de seguridad de una
empresa Telco, se propone con la finalidad de alinear los objetivos
estratégicos de la organización, definiendo: funciones, procesos, roles, y
responsabilidades que aseguren las actividades del modelo con el fin de
generar un valor agregado a la empresa. La gestión de la ciberseguridad tiene
recién pocos años de investigación, pero con una evolución exponencial, ya
que la facilidad de acceso al internet y su fácil uso trae muchos beneficios y
a la vez riesgos los cuales hay que estar preparados, en la actualidad existe
aportes de investigadores donde realizan investigación de modelos de
ciberseguridad que se pueden aplicar a la organización, la cual contempla las
áreas de Seguridad de Datos, seguridad de Software, Seguridad de
componentes, Seguridad de Conexión, Seguridad de Sistemas, Seguridad de
personas, Seguridad Organizacional y Seguridad Social.

Definiendo como objetivo principal Proveer al área del SOC un marco de

ciberseguridad para generar una solución que le permita implantar, operar,
monitorear, revisar y mejorar los controles de Ciberseguridad, con el fin de
ser un SOC de referencia y llegar a ser competitivo en el mercado

13
 (Alvarado, 2017) en su tesis de Maestría “Análisis de las Vulnerabilidades
mediante el uso de Phishing para mejorar la Seguridad Informática de los
equipos de cómputo y redes de la Municipalidad Distrital de Independencia,
2017” tiene como objetivo principal aplicar técnicas de Phishing para el
análisis de las vulnerabilidades a fin de mejorar la seguridad informática de
los equipos de cómputo y redes de la entidad, donde se autorizó a 20 usuarios
debido a la información y funciones que manejan, se aplicaron en dos
sesiones con el objetivo de no saturar de preguntas al usuario de información
y de esta manera no sea tedioso debido a sus ocupaciones. Se presenta
detalladamente el procesamiento y análisis de los datos utilizando pruebas
de concepto para valorar el riesgo. Como discusión final del resultado de las
dos categorías de riesgos analizadas, se puede observar que la organización
carece de medidas de seguridad adecuadas y que le falta conciencia del tema
de la seguridad a nivel organizacional, de esa maneta concluye que las
personas en la ciudad de Huaraz y especialmente los trabajadores de la
Municipalidad Distrital de Independencia no tienen una conciencia real de
lo que implica un ataque de este tipo, no saben cuál es el valor real de la
información y peor aún, no están conscientes de que todas las personas
pueden ser consideradas un blanco de ataque para un ingeniero social.
También indica que la Municipalidad Distrital de Independencia puede
contar con la mayor tecnología, con los últimos equipos del mercado y el
mejor software de seguridad, pero si no se crea una conciencia real y no se
educa a todos los empleados en el ámbito de seguridades informáticas no se
va a mitigar el riesgo de caer en un ataque de Phishing o de ingeniería social.

2.2. Bases teóricas

2.2.1. Marco de Ciberseguridad de NIST CSF

(NIST, 2018) Como resultado de la creciente cantidad de ataques informáticos

a sistemas de infraestructuras críticas y al impacto que dichos ataques

14
pudieran tener en el contexto de la seguridad nacional de Estados Unidos, el
12 de febrero de 2013 el Presidente Barack Obama redactó la Orden Ejecutiva
(EO) de Mejora de Ciberseguridad de Infraestructuras Críticas (Executive
Order 13636 - Improving Critical Infrastructure Cybersecurity) en donde se
delegaba en el NIST (National Institute of Standards and Technology) el
desarrollo de un marco de trabajo para la reducción de riesgos asociados con
este tipo de entornos, con el soporte del Gobierno, la industria y los usuarios.

El Instituto Nacional de Normas y Tecnología (NIST), una agencia

perteneciente al Departamento de Comercio de los Estados Unidos, desarrolló
este marco voluntario de manera coherente con su misión de promover la
innovación y la competitividad en el país. El Framework de Ciberseguridad
del NIST utiliza un lenguaje común para guiar a las compañías de todos los
tamaños a gestionar y reducir los riesgos de ciberseguridad y proteger su
información.

Este marco no provee nuevas funciones o categorías de ciberseguridad, sino

recopila las mejores prácticas (ISO, ITU, CIS, NIST, entre otros) y las agrupa
según afinidad. Se centra en el uso de impulsores de negocio para guiar las
actividades de ciberseguridad y considerar los riesgos cibernéticos como parte
de los procesos de gestión de riesgos de la organización. El framework consta
de tres partes: el marco básico, el perfil del marco y los niveles de
implementación.

Marco básico (Framework Core)

Es un conjunto de actividades de ciberseguridad. Resultados esperados y

referencias aplicables que son comunes a los sectores de infraestructuras
críticas, en términos de estándares de la industria, directrices y prácticas que
permiten la comunicación de actividades de ciberseguridad y sus resultados a
lo largo de la organización, desde el nivel ejecutivo hasta el nivel ejecutivo
hasta el nivel de implementación/operación.

15
 El framework Core consta de cinco funciones simultaneas y continuas:

 Identificar (Identify): Permite determinar los sistemas, activos, datos y

competencias de la organización, su contexto de negocio, los recursos que
soportan las funciones críticas y los riesgos de ciberseguridad que afectan
este entorno.
 Proteger (Protect): Permite desarrollar e implementar las contramedidas
y salvaguardas necesarias para limitar o contener el impacto de un evento
potencial de ciberseguridad.
 Detectar (Detect): Permite desarrollar e implementar las actividades
apropiadas para identificar la ocurrencia de un evento de ciberseguridad a
través de la monitorización continua.
 Responder (Respond): Permite la definición y despliegue de actividades
para reaccionar frente a un evento de ciberseguridad identificado y mitigar
su impacto.
 Recuperar (Recover): Permite el despliegue de actividades para la
gestión de resiliencia y el retorno a la operación normal después de un
incidente.

Figura N° 03: Núcleo del marco

Fuente: https://www.esan.edu.pe/conexion/actualidad/2019/04/30/que-es-el-
cybersecurity-framework-de-nist-de-los-estados-unidos/

16
 Niveles de implementación del marco (Framework Implementation
Tiers)

Los niveles de Implementación le permiten a la organización catalogarse en

un umbral predefinido en función de las practicas actuales de gestión de
riesgo, el entorno de amenazas, los requerimientos legales y regulatorios, los
objetivos y misión del negocio y las restricciones de la propia empresa.

Tabla N° 02
Niveles de implementación del marco

Nivel Descripción
Nivel 1: Parcial En este nivel las prácticas de gestión de riesgos de ciberseguridad
no están formalizadas (ad-hoc) y actúan por lo general de forma
reactiva. La priorización de actividades no se encuentra alineada
con los objetivos de riesgo organizacionales, el entorno de
amenazas ni con los requerimientos de negocio. Se cuenta con una
mínima participación externa en términos de colaboración y
compartición de información.

Nivel 2: Riesgo En este nivel las prácticas de gestión de riesgo están aprobadas por
Informado
la Dirección, pero pueden no estar establecidas como una política
global. Se cuenta con procedimientos y procesos definidos e
implementados y con personal cualificado. La participación
externa se realiza de manera informal.

Nivel 3: Repetible En este nivel las prácticas formales de gestión de riesgo son
actualizadas regularmente como parte de la aplicación de análisis
en cambios en requerimientos de negocio, amenazas o tecnologías.
Se ha establecido un marco de colaboración formal con terceros

17
Nivel 4: Adaptativo Las prácticas de ciberseguridad están basadas en lecciones
aprendidas e indicadores predictivos derivados de actividades
previas y actuales de ciberseguridad, a través de un proceso de
mejora continua de adaptación a los cambios. Estas tareas hacen
parte de la cultura organizacional. Se colabora de forma activa con
terceros, compartiendo información de eventos de ciberseguridad.

Fuente: https://www.deacosta.com/guia-rapida-para-entender-el-marco-de-trabajo-de-
ciberseguridad-del-nist/

Perfiles del Marco

Los perfiles se emplean para describir el estado actual (Current profile) de

determinadas actividades de ciberseguridad. El análisis diferencial entre
perfiles permite la identificación de brechas que deberían ser gestionadas para
cumplir con los objetivos de gestión de riesgos.

De acuerdo con las descripciones anteriores, la arquitectura global del marco

de trabajo de ciberseguridad quedaría de la siguiente manera:

Figura N° 04: Arquitectura del marco de trabajo de ciberseguridad del NIST (CSF).
Fuente: https://www.deacosta.com/guia-rapida-para-entender-el-marco-de-trabajo-
de-ciberseguridad-del-nist/

18
 2.2.2. ISO / IEC 27032: 2012

(Gómez, 2017) En la actualidad es muy común oír el término

"Ciberseguridad" en el mundo laboral y académico, término que ayuda a
entender la importancia de la Seguridad y el debido resguardo de la
información e infraestructuras en el ciberespacio. Pero este aspecto de la
seguridad no es un tema nuevo, esta arista se encuentra inmersa en el campo
de la seguridad informática y, en un ámbito más amplio, en la Seguridad de la
Información.

La norma ISO/IEC 27032:2012 "Tecnología de la información - Técnicas de

seguridad - Directrices para la Ciberseguridad" (publicada en julio del 2012)
proporciona un marco de orientación para mejorar el estado de la
Ciberseguridad, usando para ello los aspectos estratégicos y técnicos
relevantes para esa actividad, y sus dependencias con otros dominios de
seguridad en particular.

Figura N° 05: Estructura de la Norma.

Fuente: https://www.linkedin.com/pulse/gestión-de-la-ciberseguridad-según-el-isoiec-
gianncarlo-gómez-morales/

19
Para la norma, la ciberseguridad se refiere a las acciones que las partes
interesadas tanto personas como organizaciones deben tomar para establecer
y mantener la seguridad en el ciberespacio, previniendo y respondiendo de
manera eficaz al uso indebido y ataques criminales. La Ciberseguridad se
relaciona con otros entornos de seguridad que se convierten en bloques de
construcción fundamentales, tales como:

1. Seguridad de la información: Corresponde a la protección de la

confidencialidad, la integridad y la disponibilidad de la información de
los usuarios.

2. Seguridad en redes: Corresponde al diseño, la implementación y el

funcionamiento de la protección de las redes para lograr los propósitos de
la seguridad de informática.
3. Seguridad en Internet: Se ocupa de la protección de los servicios
relacionados con Internet y los sistemas y redes de las TI, garantizando la
fiabilidad y disponibilidad de los servicios de Internet.

4. Protección de la Información de la Infraestructura Crítica: Se refiere

a la protección de los sistemas que operan infraestructura crítica, tales
como departamentos de energía, centro de datos y telecomunicaciones,
asegurando que estos sistemas y redes estén protegidos contra los riesgos
de seguridad de la información, los riesgos de seguridad de la red, los
riesgos de seguridad de Internet, así como los riesgos de ciberseguridad.

La naturaleza de la Ciberseguridad

La siguiente figura explica la relación entre la Ciberseguridad con otros

ámbitos de seguridad, como la Seguridad de la Información, Seguridad de
Red, Seguridad en aplicaciones, etc.

20
Figura N° 06: Relación de la Ciberseguridad con otros dominios de la seguridad.
Fuente: https://www.linkedin.com/pulse/gestión-de-la-ciberseguridad-según-el-isoiec-
gianncarlo-gómez-morales/

Partes interesadas en el Ciberespacio

El Ciberespacio no pertenece a ninguna persona o empresa, todo el mundo

participa y tiene participación en él, para los fines del ISO 27032, las partes
interesadas en el Ciberespacio se clasifican en los siguientes grupos:

 Los consumidores, incluyendo personas; y organizaciones privadas y

públicas.
 Los proveedores, incluyendo, pero sin limitarse a los proveedores de
servicios de Internet, y los proveedores de servicio de aplicaciones.

Controles de Ciberseguridad:

 Controles a nivel de aplicación.

 Controles de protección de servidores.
 Controles de usuario final.
 Controles para Ingeniería Social.

21
 2.2.3. Activos en el Ciberespacio

(Gómez, 2017) Define un activo como algo que tiene valor para la
organización. Hay muchos tipos de activos, incluyendo los siguientes:

1. La información.
2. Software, como un programa o Software desarrollado a medida;
3. Hardware, tal como un computador.
4. Servicios, como la electricidad.
5. Las personas, sus habilidades y experiencia, y
6. Los activos intangibles, como la reputación y la imagen ante los clientes.

2.3. Definición de términos

 Activo Digital

Los activos digitales son recursos como imágenes, textos, presentaciones,

videos, códigos de software, sitios web, blogs, perfiles de redes sociales
etc. Todo ese stock digital es intangible. Es diferente de los activos físicos
o tangibles, como inmuebles, máquinas, equipamientos, materiales de
escritorio, entre otros. O sea, los activos digitales pueden ser tanto
archivos creados para llevar adelante la comunicación de la empresa
como canales y estrategias de marketing para promover la marca y
relacionarse con clientes.

Por estar almacenados en forma de datos, acaban exigiendo una gestión

más organizada para no dejar ese material disperso en un mar de
información. Y por ser intangibles, muchas veces no reciben la
importancia que ameritan. (VISTO, 2017)

 Amenaza

Toda acción que aprovecha una vulnerabilidad para atentar contra la

seguridad de un sistema de información. Es decir, que podría tener un

22
 potencial efecto negativo sobre algún elemento de nuestros sistemas. Las
amenazas pueden proceder de ataques (fraude, robo, virus), sucesos
físicos (incendios, inundaciones) o negligencia y decisiones
institucionales (mal manejo de contraseñas, no usar cifrado). Desde el
punto de vista de una organización pueden ser tanto internas como
externas. (INCIBE, Amenaza vs Vulnerabilidad, 2017)

 Análisis

Examen minucioso y pormenorizado de un asunto para conocer su

naturaleza, sus características, su estado y los factores que intervienen en
todo ello. (Significados, 2020)

 Ataque Cibernético

Un ataque cibernético es una acción delictiva y malintencionada que se

realiza para acceder a información privada, bien para apropiarse de ella o
bien para inutilizarla y pedir dinero a cambio de liberarla.

Detrás de estos ataques cibernéticos están delincuentes informáticos,

hackers, organizaciones criminales, etc., cuyo objetivo es apropiarse de
la información o extorsionar a la empresa o persona atacada.
(GLOBALFINANZ, 2020)

 Ciberespacio

Entorno complejo resultante de la interacción de personas, software y

servicios en Internet mediante dispositivos tecnológicos y redes
conectadas a él, que no existe en ninguna forma física. (ISO/IEC-27032,
2012)

23
 Ciberdelincuencia

(UNIR, 2020) La ciberdelincuencia consiste en la comisión de

actividades delictivas que se llevan a cabo a través de medios
tecnológicos. Los ciberdelincuentes atacan a personas, empresas,
entidades de distintos tipos y gobiernos con diferentes objetivos:

 Destruir o dañar sus sistemas informáticos y conexiones:

normalmente para realizar un uso fraudulento de esos medios
tecnológicos y acceder a las carteras de datos personales o
confidenciales, incluso realizar una estafa económica.

 Llevar a cabo delitos comunes a través de estos medios para atacar a

las personas directamente y para cometer multitud de delitos a través
del espacio virtual.

 Ciberseguridad

La ciberseguridad es la práctica de proteger sistemas, redes y programas

de ataques digitales. Por lo general, estos ciberataques apuntan a acceder,
modificar o destruir la información confidencial; Extorsionar a los
usuarios o los usuarios o interrumpir la continuidad del negocio. (CISCO,
2020)

 Ingeniería Social

La ingeniería social es una táctica que los adversarios usan para engañarlo
a fin de que revele su información confidencial. Pueden solicitarle un
pago monetario u obtener acceso a sus datos confidenciales. La ingeniería
social puede combinarse con cualquiera de las amenazas(CISCO, 2020)

24
 Malware

El malware es un tipo de software diseñado para obtener acceso no

autorizado o causar daños en una computadora. (CISCO, 2020)

 Modelo

Representación de procesos, modelos o sistemas que conforman un

conglomerado mayor o supra-sistema, que pretende el análisis de
interacción de ellos, a fin de mantener una relación flexible que les
permita cumplir su función particular y coadyuvar para cumplir la función
del supra-sistema. (WIKIPEDIA, 2020)

 Riesgo

Los Riesgos de seguridad no son más que las probabilidades de que una
amenaza informática se convierta en un evento real que resulte en una
pérdida para la empresa.

Normalmente asociamos los riesgos de seguridad con ataques de virus u

otros elementos maliciosos, sin embargo, esta es una percepción bastante
limitada de lo que puede llegar a representar un “riesgo” para un sistema.

Es correcto decir que una empresa está expuesta a un riesgo de seguridad

cuando se encuentra vulnerable a ataques que pueden afectar los activos
de la organización. (GB ADVISORS, 2019)

 Seguridad informática

Podemos definir la seguridad informática como el proceso de prevenir y

detectar el uso no autorizado de un sistema informático. Implica el
proceso de proteger contra intrusos el uso de nuestros recursos
informáticos con intenciones maliciosas o con intención de obtener
ganancias, o incluso la posibilidad de acceder a ellos por accidente.

25
 La seguridad informática es en realidad una rama de un término más
genérico que es la seguridad de la información, aunque en la práctica se
suelen utilizar de forma indistinta ambos términos.

La seguridad informática abarca una serie de medidas de seguridad, tales

como programas de software de antivirus, firewalls, y otras medidas que
dependen del usuario, tales como la activación de la desactivación de
ciertas funciones de software, como scripts de Java, ActiveX, cuidar del
uso adecuado de la computadora, los recursos de red o de Internet.
(Universidad Internacional de Valencia, 2016)

 Vulnerabilidad

Es una debilidad o fallo en un sistema de información que pone en riesgo

la seguridad de la información pudiendo permitir que un atacante pueda
comprometer la integridad, disponibilidad o confidencialidad de la
misma, por lo que es necesario encontrarlas y eliminarlas lo antes posible.

Estos «agujeros» pueden tener distintos orígenes, por ejemplo: fallos de

diseño, errores de configuración o carencias de procedimientos. (INCIBE,
Amenaza vs Vulnerabilidad, 2017)

2.4. Hipótesis

Con el modelo de análisis de riesgos en ciberseguridad se mejorará la

seguridad de los activos digitales gestionados por la oficina general de
tecnologías de información, sistemas y estadística - UNASAM.

26
2.5. Variables

a. Variable Independiente:

Modelo de Análisis de riesgos en ciberseguridad, es un modelo con una

representación estructurada de procesos que nos permitirá realizar el
análisis controlado de riesgos de ciberseguridad en los sistemas
informáticos y recursos tecnológicos de la oficina general de Tecnologías
de Información, Sistemas y Estadística, de esa manera generar planes y
estrategias para mejorar la ciberseguridad y mantener un entorno seguro.

b. Variable Dependiente:

Seguridad de los Activos Digitales, es la protección de la información

digital de la institución, que nos permite mantener los distintos activos
como aplicaciones, bases de datos, servidores y demás equipos
informáticos que almacenan información, salvaguardados ante posibles
ataques cibernéticos, de ese modo garantizar la confidencialidad,
integridad y disponibilidad de la información.

27
III. METODOLOGIA

3.1. Tipo de Investigación

a) De acuerdo a la orientación:

Calificada como Aplicada, porque nuestra investigación está orientada a

solucionar problemas de una realidad concreta como es la Ciberseguridad.

b) De acuerdo a la técnica de contrastación:

La presente investigación se considera un estudio Explicativo, ya que

pretende identificar la relación causal, siendo la variable independiente
(modelo propuesto) la que permitirá mejorar la ciberseguridad.

3.2. Diseño de investigación

El diseño de la investigación es Pre Experimental, específicamente un diseño

de PRE–TEST, POST–TEST con un solo grupo, donde se evaluará cómo se
gestiona la ciberseguridad (PRE–TEST) antes de plantear el modelo, luego se
evaluará lo mismo, pero con el modelo propuesto (POST–TEST) para
comprobar la solución planteada.

Se detalla de la siguiente manera:

 Realizar una medición anticipada de la variable dependiente. (PRE–

TEST).
 La aplicación de la variable independiente al objeto de estudio.
 Realizar una medición nueva de la variable dependiente en la
investigación (POST–TEST).

P1 X P2

Figura N° 07. Diseño de estudio

28
 Dónde:
 P1: Ciberseguridad antes de aplicar el modelo de la presente investigación.
 X: Modelo de Análisis de Riesgos en Ciberseguridad.
 P2: Ciberseguridad después de aplicar estrategias y planes generadas por
el modelo propuesto.

3.3. Población y muestra

3.3.1. Población: Universidad Nacional Santiago Antúnez de Mayolo.

3.3.2. Muestra: La muestra es un subconjunto de la población. El estudio

abarcará al personal que labora en la Oficina General de Tecnologías de
Información, Sistemas y Estadística de la entidad mencionada. No se
aplicará ninguna fórmula para la selección de unidades de estudio de la
muestra, ya que la cantidad trabajadores es mínima y se trabajará con
todos ellos (8 Trabajadores).

3.4. Técnicas e Instrumento(s) de recolección de datos

A. Fuentes Primarias

3.4.1. Encuesta:

Se va a elaborar un cuestionario de preguntas, el cual nos va permitir

comprobar nuestra hipótesis, y será dirigido al personal de la oficina
general de Tecnologías de Información, Sistemas y Estadística.

3.4.2. Entrevista:

Se va a recopilar la información en base a una serie de preguntas

estructuradas hechas por el autor de la presente investigación hacia el
personal de la oficina general de Tecnologías de Información, Sistemas y
Estadística (entrevistados), quienes son las personas que poseen la
información requerida.

29
 3.4.3. Observación Directa:

Se va a observar los procesos y actividades cotidianas que se realizan en

la oficina general de Tecnologías de Información, Sistemas y Estadística.

B. Fuentes Secundarias

Se utilizará como fuente secundaria libros, documentos, revistas, internet e

informes de tesis, con información relacionada a la realidad problemática
mencionada en el capítulo I.

3.5. Plan de procesamiento y análisis estadístico de datos

3.5.1. Plan de procesamiento de datos

Matriz de Información

La Matriz de información es una herramienta que nos permite presentar

nuestra información detallada de procesos y/o elementos. Son útiles
para relacionar y mostrar fácilmente procesos, sistemas, archivos,
responsables, problemas, causas, métodos, objetivos y en general
conjuntos de datos. En nuestra investigación nos permitirá analizar los
distintos modelos de análisis de riesgos detalladamente y su influencia
en la ciberseguridad, aparte de ello registraremos los resultados
obtenidos en las distintas pruebas que se realizarán en la investigación.

3.5.2. Análisis estadístico de datos

Para el análisis de los datos obtenidos en las encuestas, pruebas

realizadas de ataques, promedios de respuesta, ataques permitidos, entre
otros; se va a utilizar la herramienta estadística IBM - SPSS Statistics
V. 25 y posterior a ello en el análisis de resultados se realizará la prueba
χ² de Pearson.

30
IV. ADMINISTRATIVO

4.1. Cronograma

ACTIVIDADES M E S E S / A Ñ O (2020-2021)

Revisión Bibliográfica

 Búsqueda y adquisición de
X
Bibliografía.

Elaboración del Proyecto

 Antecedentes y formulación del
X
Problema.
 Elaboración del instrumento X
 Presentación y sustentación del
X
proyecto

Ejecución del Proyecto

Captación de datos
* Aplicación del instrumento de
X X X
recolección de la información
Procesamiento y Análisis
 Procesamiento de los datos X
 Análisis e interpretación X
 Discusión de los resultados X
Elaboración del Informe Final
 Revisión general de los resultados X
 Preparación del informe final X
Publicación X
 Presentación y sustentación del
X
informe final

31
 4.2. Presupuesto

4.2.1. Personal

Valor Sub Total

Código Caracterización Unidad Cantidad
Unitario (S/.) (S/)
1.1 Tesista Unidad 0 1 0.00
1.2 Asesor Unidad Ad honorem. 1 0.00
SUB TOTAL 0.00

4.2.2. Bienes y servicios

Valor Sub Total

Código Caracterización Unidad Cantidad
Unitario (S/.) (S/)
2.1 Toner Cartucho 250.00 2 500.00
2.2 Papel Millar 45.00 3 135.00
2.3 Fotocopias Unidad 0.10 1000 100.00
2.4 Movilidad local Unidad 15.00 10 150.00
2.5 Equipo de cómputo Unidad 3,500.00 1 3,500.00
2.6 Software libre Unidad 0.00 3 0.00
2.7 Refrigerio Unidad 10.00 50 500.00
2.8 Anillados Unidad 10.00 3 30.00
2.9 Empastado Unidad 5.00 20 100.00
SUB TOTAL 5,015.00

4.2.3. Resumen

Caracterización Monto ( S/ )
Personal 0.00
Bienes y Servicios 5,015.00

Subtotal 5,015.00

TOTAL 5,015.00

32
V. REFERENCIAS BIBLIOGRÁFICAS

Aguirre, A. A. (2017). Ciberseguridad en Infraestructuras Críticas. Tesis de Maestría.

Universidad de Buenos Aires, Buenos Aires.

Alvarado, J. D. (2017). ANÁLISIS DE LAS VULNERABILIDADES MEDIANTE

EL USO DE PHISHING PARA MEJORAR LA SEGURIDAD
INFORMÁTICA DE LOS EQUIPOS DE CÓMPUTO Y REDES DE LA
MUNICIPALIDAD DISTRITAL DE INDEPENDENCIA. Tesis de Maestría.
UNIVERSIDAD NACIONAL SANTIAGO ANTÚNEZ DE MAYOLO,
Huaraz.

BID. (01 de Julio de 2020). Banco Interamericano de Desarrollo. Recuperado el 15

de Noviembre de 2020, de https://publications.iadb.org/es/reporte-
ciberseguridad-2020-riesgos-avances-y-el-camino-a-seguir-en-america-latina-
y-el-caribe

CISCO. (01 de Enero de 2020). ¿Qué es la Ciberseguridad? Recuperado el 16 de

Noviembre de 2020, de
https://www.cisco.com/c/es_mx/products/security/what-is-cybersecurity.html

GB ADVISORS. (24 de Mayo de 2019). Riesgos de seguridad. Recuperado el 25 de

Noviembre de 2020, de https://www.gb-advisors.com/es/riesgos-de-
seguridad-que-factores-ponen-en-peligro-tu-entorno-de-ti/

GLOBALFINANZ. (01 de Enero de 2020). Consultoría de Riesgos y Correduría de

Seguros. Recuperado el 20 de Noviembre de 2020, de
https://www.responsabilidadconsejerosydirectivos.com/que-son-los-ataques-
ciberneticos/#:~:text=Detrás%20de%20estos%20ataques%20cibernéticos,enc
uentra%20expuesta%20a%20un%20ciberataque.

Gómez, G. (10 de Marzo de 2017). Gestión de la Ciberseguridad según la ISO/IEC

27032:2012. Recuperado el 15 de Setiembre de 2020, de

33
 https://www.linkedin.com/pulse/gestión-de-la-ciberseguridad-según-el-isoiec-
gianncarlo-gómez-morales/

INCIBE. (20 de Marzo de 2017). Amenaza vs Vulnerabilidad. Recuperado el 10 de

Octubre de 2020, de https://www.incibe.es/protege-tu-empresa/blog/amenaza-
vs-vulnerabilidad-sabes-se-diferencian

INCIBE. (13 de Febrero de 2017). Instituto Nacional de Ciberseguridad. Recuperado

el 10 de Octubre de 2020, de https://www.incibe.es/sala-prensa/notas-
prensa/incibe-publica-el-ranking-los-10-principales-incidentes-ciberseguridad

ISO/IEC-27032. (01 de Julio de 2012). ISO - International Organization for

Standardization. Obtenido de https://www.iso.org/obp/ui/#iso:std:iso-
iec:27032:ed-1:v1:en

NIST. (16 de Abril de 2018). National Institute of Standards and Technology.

Recuperado el 20 de Octubre de 2020, de
https://www.nist.gov/system/files/documents/2018/12/10/frameworkesmellrev
_20181102mn_clean.pdf

Rubio, J. A. (2015). Un Marco para el Analisis de Riesgos en Ciberseguridad. Tesis

Doctoral. Universidad Rey Juan Carlos, Madrid.

Sanchez, J. J. (2017). ADOPCIÓN DE ESTRATEGIAS DE CIBERSEGURIDAD

EN LA PROTECCIÓN DE LA INFORMACIÓN EN LA OFICINA DE
ECONOMÍA DEL EJÉRCITO, SAN BORJA- 2017. Tesis de Maestría.
INSTITUTO CIENTÍFICO TECNOLÓGICO DEL EJÉRCITO, Lima.

UNIR. (01 de Enero de 2020). Universidad en Internet. Recuperado el 30 de

Setiembre de 2020, de https://www.unir.net/derecho/revista/que-es-
ciberdelincuencia/

Universidad Internacional de Valencia. (09 de Setiembre de 2016). Universidad

Internacional de Valencia: ¿Qué es la seguridad informática y cómo puede
ayudarme? Recuperado el 11 de Octubre de 2020, de

34
 https://www.universidadviu.com/co/actualidad/nuestros-expertos/que-es-la-
seguridad-informatica-y-como-puede-ayudarme

Vilcarromero, L. L., & Vilchez, E. (2018). Propuesta de implementación de un

modelo de gestión de ciberseguridad para el centro de operaciones de
seguridad (SOC) de una empresa de telecomunicaciones. Tesis de Maestría.
UNIVERSIDAD PERUANA DE CIENCIAS APLICADAS, Lima.

VISTO. (30 de Marzo de 2017). TECNOLOGIA QUE FAZ O MARKETING FLUIR.

Recuperado el 30 de Octubre de 2020, de
https://www.visto.global/blog/es/activos-digitales-que-son-y-cual-es-la-
importancia-de-cuidarlos/

WIKIPEDIA. (13 de Mayo de 2020). Modelo. Recuperado el 14 de Setiembre de

2020, de https://es.wikipedia.org/wiki/Modelo

35
VI. ANEXOS

6.1. Matriz de consistencia

6.2. Matriz de Operacionalización de Variables

36
 Matriz de Consistencia

Problema de Variables de Diseño de

Objetivos Hipótesis
investigación Investigación Investigación
General: General: Variable Por su Orientación:
Independiente:
¿De qué manera la
Diseñar un modelo de análisis de riesgos Con el modelo de análisis de riesgos en Aplicada
adopción de un modelo de Modelo de Análisis de
en ciberseguridad basado en ISO 27032 y ciberseguridad se mejorará la seguridad
análisis de riesgos en riesgos en
NIST CSF para la oficina general de de los activos digitales gestionados por la Por la técnica de
ciberseguridad incide en ciberseguridad. contrastación:
tecnologías de información, sistemas y oficina general de tecnologías de
la protección de los
estadística. información, sistemas y estadística - Explicativa
activos digitales de la
UNASAM.
oficina general de
Específicos: Específicos: Población:
tecnologías de
1. Analizar lo modelos actuales de 1. Con el análisis de modelos actuales de Universidad Nacional
información, sistemas y
Santiago Antúnez de
análisis de riesgos en ciberseguridad análisis de riesgos se logrará Variable
estadística de la Mayolo
Dependiente:
de las organizaciones. identificar los activos de información.
UNASAM?
2. Proponer un modelo de análisis de 2. Con la propuesta de un modelo de Seguridad de los
Muestra:
riesgos en ciberseguridad basado en análisis de riesgos se estructurará el Activos Digitales.
Personal de la Oficina
ISO 27032 y NIST CSF para la oficina procedimiento para identificar los
General de
general de tecnologías de información. riesgos cibernéticos. Tecnologías de la
Información, Sistemas
3. Aplicar un modelo de análisis de 3. Mediante la aplicación de un modelo
y Estadística
riesgos en ciberseguridad basado en de análisis de riesgos se logrará
ISO 27032 y NIST CSF para la oficina identificar y analizar las
Instrumento:
general de tecnologías de información. vulnerabilidades cibernéticas de la
 Encuesta.
4. Generar propuestas de buenas OGTISE
 Entrevista.
prácticas en ciberseguridad y su 4. Con las generación de propuestas de  Observación
prevención a futuro. buenas prácticas se mejorará la Directa.

ciberseguridad sobre los ataques y su

prevención a futuro.

37
 Operacionalización de Variables

DIMENSIONES DEFINICIÓN
VARIABLE CONCEPTO INDICADORES ESCALA
(SUB VARIABLES) OPERACIONAL
Independiente Es un modelo con una
representación estructurada de
Modelo de
procesos que nos permitirá
Análisis de realizar el análisis controlado de
Componentes Entrevistas y encuestas Nivel de Satisfacción
riesgos de ciberseguridad en los Ordinal
riesgos en Estructurales sobre el modelo planteado (Juicio de Expertos)
sistemas informáticos y recursos
ciberseguridad tecnológicos de la oficina general
de Tecnologías de Información,
Sistemas y Estadística.
Dependiente % de ataques prevenidos,
Razón
detectados y penetrados
Nivel de Protección ante
Confidencialidad Nivel de validación de
ataques cibernéticos
usuarios y gestión de Ordinal
Seguridad de los Es la protección de la información
contraseñas
digital de la institución, que nos
Activos Digitales. % de inyecciones
permite mantener los distintos
activos como aplicaciones, bases Nivel de Salvaguardo ante prevenidos, detectados y Razón
de datos, servidores y equipos incidentes de sustracción, penetrados
Integridad
informáticos que almacenan perdida o alteración de
información Cantidad de incidentes de
información, salvaguardados ante Razón
pérdida de información
posibles ataques cibernéticos.
Tiempo promedio de
restauración de Sistemas y/o Razón
Backups ante incidentes
Nivel de Resguardo ante Nivel de gestión de
Disponibilidad Ordinal
ataques cibernéticos Backups
% de disponibilidad de los
Razón
servicios en TI

38