Lima- 2017repositorio.icte.ejercito.mil.pe/bitstream/ICTE/32/1... · 2018-04-26 · ciberdefensa y...
Transcript of Lima- 2017repositorio.icte.ejercito.mil.pe/bitstream/ICTE/32/1... · 2018-04-26 · ciberdefensa y...
INSTITUTO CIENTÍFICO Y TECNOLÓGICO DEL EJÉRCITO
ESCUELA DE POS GRADO
“GRAL DIV EDGARDO MERCADO JARRÍN”
TESIS
CIBERDEFENSA Y SU INCIDENCIA EN LA PROTECCIÓN DE LA
INFORMACIÓN DEL EJÉRCITO DEL PERÚ. CASO: COPERE 2013 - 2014
PARA OPTAR EL GRADO ACADÉMICO DE
MAGISTER EN INGENIERÍA DE SISTEMA DE ARMAS
Presentado por:
Bach. ZÚÑIGA FIGUEROA, JESÚS ROLANDO
Lima- 2017
i
TITULO DE LA TESIS
“CIBERDEFENSA Y SU INCIDENCIA EN LA PROTECCIÓN DE LA
INFORMACIÓN DEL EJÉRCITO DEL PERÚ. CASO: COPERE 2013 – 2014”
ii
DEDICATORIA
A Dios por haberme permitido llegar hasta
este punto y haberme dado salud para
lograr mis objetivos, además de su infinita
bondad y amor.
A mis padres por ser el pilar fundamental
en todo lo que soy, en toda mi educación,
tanto académica, como de la vida, por su
incondicional apoyo perfectamente
mantenido a través del tiempo.
A mi Querida y Amada Esposa Maritza y
mi adorada hija María Fernanda por su
apoyo, cariño y tiempo que deje de estar
con ellos durante el desarrollo de esta
tesis.
A Mis queridos hermanos, Yeda, Winder y
Dayssi, por estar conmigo y apoyarme
siempre, los quiero mucho.
iii
AGRADECIMIENTOS
Agradezco a Dios por haber guiado mi
camino hasta ahora; y darme la
oportunidad de superarme
profesionalmente.
Agradezco a los señores catedráticos que
han contribuido a mi formación profesional
en el desarrollo de la maestría.
Agradezco a todas aquellas personas que,
de alguna forma, son parte de su
culminación.
iv
ÍNDICE
Páginas
TITULO I
DEDICATORIA II
AGRADECIMIENTO III
INDICE IV
RESUMEN VI
ABSTRACT VII
LISTA DE TABLAS VIII
LISTA DE CUADROS VIII
LISTA DE FIGURAS X
LISTA DE GRAFICOS XI
INTRODUCCION XIV
CAPÍTULO I: PLANTEAMIENTO DEL ESTUDIO
1.1 Descripción de la realidad problemática 1
1.2 Formulación del problema 4
1.2.1 Problema general 4
1.2.2 Problemas específicos 4
1.3 Objetivos 5
1.3.1 Objetivo general 5
1.3.2 Objetivos específicos 5
1.4 Justificación e Importancia del proyecto 6
1.5 Delimitación de la investigación 7
1.5.1 Delimitación espacial 7
1.5.2 Delimitación temporal 8
1.5.3 Delimitación social 8
1.5.4 Delimitación conceptual 8
1.6 Limitaciones 8
CAPÍTULO II: MARCO TEÓRICO
2.1 Antecedentes de la investigación 9
2.2 Bases teóricas o teoría sustantiva 15
v
2.3 Glosario de términos 77
2.4 Formulación de las Hipótesis 81
2.4.1 Hipótesis General 81
2.4.2 Hipótesis Especificas 81
2.5 Clasificación e Identificación de las Variables 82
2.6 Operacionalización de las Variables 88
CAPÍTULO III: METODOLOGÍA DE LA INVESTIGACIÓN
3.1 Tipo, Diseño y Nivel de Investigación 89
3.2 Población y Muestra 90
3.2.1 Población 90
3.2.1 Muestra 91
3.3 Técnicas e Instrumentos de recolección de datos 91
3.4 Procesamiento de datos 93
CAPÍTULO IV: ANALISIS Y PRESENTACION DE RESULTADOS
4.1 Presentación, análisis e interpretación de resultados 97
4.2 Contrastación de hipótesis 150
4.3 Discusión de resultados 182
CAPÍTULO IV: CONCLUSIONES Y RECOMENDACIONES
5.1 Conclusiones 185
5.2 Recomendaciones 201
REFERENCIA 209
ANEXOS
Anexo Nº 01: Identificación de la problemática, priorización provisional,
selección e integración del problema
220
Anexo Nº 02: Matriz de consistencia 221
Anexo Nº 03: Instrumento de recolección de datos 223
Anexo Nº 04: Confiabilidad y Viabilidad del Instrumento 232
vi
RESUMEN
En esta investigación se planteó como objetivo principal, determinar las
dificultades que impiden el mejoramiento de la Ciberdefensa que inciden en la
protección de la información del Ejército del Perú. Caso: COPERE 2013 - 2014
con el propósito de identificar las causas que la generan y tener base para
proponer el uso de nuevos conocimientos, que contribuyan a mejorar la protección
de la información; las hipótesis planteadas expresan que pueden solucionar las
deficiencias en los programas de capacitación, carencias en los recursos
disponibles para ciberdefensa, desconocimiento o aplicación inadecuada de los
procedimientos de seguridad informática e incumplimientos normativos
relacionados con ciberdefensa, que dificultan el mejoramiento de la Ciberdefensa
que inciden en la protección de la información del Ejército del Perú.
Metodológicamente, la presente investigación es de tipo Aplicada, de nivel
Explicativo. La técnica empleada para obtener los datos fueron la técnica del
análisis documental, la encuesta y la entrevista; se realizó encuestas a 48 personas
entre autoridades, Personal Militar y Civil que labora en los departamentos y
secciones de telemática del Comando de Personal del Ejercito del Perú y que tienen
la responsabilidad de administrar y controlar las diferentes infraestructuras de TI;
así mismo, incluye al Personal responsable de brindar seguridad de las redes y
sistemas de información de las instalaciones del CGE; y, se realizó entrevistas
solamente a los jefes de Departamentos y Sub Direcciones.
El procesamiento de los datos se hizo incorporando dichos datos al Excel y
al SPSS, para obtener tablas y gráficos. La forma de análisis de las apreciaciones
correspondientes a informaciones del dominio de las variables consistió en
cruzarlas para ser usadas como premisas para contrastarlas en cada una de las
hipótesis especificas planteadas.
Los resultados obtenidos fueron analizados en el nivel descriptivo con el
análisis No Paramétrico de la prueba estadística Binomial; y la asociación de
indicadores se utilizo prueba estadística No Paramétrica Chi Cuadrado a fin de
probar si existía o no asociación; en tal sentido, cada hipótesis especificas sirvió
como base para formular conclusiones. Dichas conclusiones sirvieron como
premisas para realizar las recomendaciones.
Palabras clave: Ciberdefensa - Protección de Información.
vii
ABSTRACT
In this investigation the main objective arises: determine the difficulties that
impede the improvement of the Cyberdefense that affect the protection of the
information of the Army of Peru. Case: COPERE 2013 - 2014, with the purpose of
to identify the causes that generate it and to have base to propose the use of new
knowledge that contribute to improving the protection of information; The
hypotheses put forward express that they can solve deficiencies in training
programs, shortcomings in the resources available for Cyberdefense, ignorance or
inadequate application of computer security procedures and Regulatory breaches
related to cyberdefense, that difficult the improvement of the Cyberdefense that
affect in the protection of the information of the Army of Peru
Methodologically, the present investigation is of the Applied type, of
Explanatory level. The technique used to obtain the data was the technique of
documentary analysis, the survey and the interview; 48 people were interviewed
between authorities, Military and Civil Personnel working in the departments and
telematic sections of the Personnel Command of the Army of Peru and that have
the responsibility to administer and control the different IT infrastructures; It also
includes the Personnel responsible for providing security of the networks and
information systems of the CGE facilities; And, interviews were conducted only to
the bosses of Departments and Sub-Directorates.
Data processing was done by incorporating such data into Excel and SPSS,
to obtain tables and graphs. The form of analysis of the information corresponding
to information of the domain of the variables consisted of crossing them to be used
as premises to test them in each one of the specific hypotheses proposed.
The results were analyzed at the descriptive level with the nonparametric
analysis of the Binomial statistical test; And the association of indicators was used
statistical test No Parametric Chi Square in order to test whether or not there was
association; In this sense, each specific hypothesis served as a basis for formulating
conclusions. These conclusions served as a basis for making recommendations
Keywords: Cyberdefense - Protection of information
viii
LISTA DE TABLAS, CUADROS, FIGURAS Y GRAFICOS
Tablas:
Tabla Nº 01: Estrategia Nacional de Ciberseguridad 37
Tabla Nº 02: Niveles de Formación de Profesionales de Ciberguerra 70
Tabla Nº 03: Naciones con capacidad de formar profesionales en
ciberguerra
70
Tabla Nº 04: Infraestructura Básica de Ciberdefensa 77
Cuadros:
Cuadro N° 01: Clasificación de las Variables. 82
Cuadro N° 02: Operacionalización de las variables. 88
Cuadro N° 03: Capacidades de ciberdefensa que ha sido capacitado el Personal Militar y Civil.
98
Cuadro N° 04: Nivel de Capacitación en Ciberdefensa. 100
Cuadro N° 05: Causas o Razones porque el personal no está capacitado en
capacidades de Ciberdefensa.
101
Cuadro N° 06: Conceptos que deben conocerse y aplicarse en la gestión de la
seguridad de las informaciones y que se encuentran plasmados en
la Norma Técnica Peruana NTP/ISO/IEC 17799.
102
Cuadro N° 07: Nivel de conocimiento de la Norma Técnica Peruana NTP/ISO/IEC 17799 – “Código de buenas prácticas para la gestión de la seguridad de la información.
104
Cuadro N° 08: Razones o causas de no conocer o aplicar la Norma Técnica
Peruana NTP/ISO/IEC 17799 – “Código de buenas prácticas para la
gestión de la seguridad de la información.
105
Cuadro N° 09: Nivel de los programas de capacitación relacionados con la
ciberdefensa y su incidencia en la protección de la información del
Ejército del Perú.
107
Cuadro N° 10: Causas o razones que Ud. considera por qué no se da sumamente
satisfecho con los programas de capacitación en relación a la
ciberdefensa y su incidencia en la protección de la información del
Ejército del Perú.
108
Cuadro N° 11: Maneras o formas que conoce para obtener asignación
presupuestal para mejorar de la ciberdefensa en la protección de la
información del Ejército del Perú.
109
Cuadro N° 12: Nivel de asignación Presupuestal asignado al uso de Ciberdefensa
para proteger la información del Ejército del Perú.
111
Cuadro N° 13: Causas o Razones por las que Ud. considera que las autoridades
no asignan presupuestos para ciberdefensa en favor de la
protección de la información del Ejército del Perú.
112
Cuadro N° 14: Infraestructuras Estratégicas que ud. conoce y administra para la
Seguridad de las Informaciones.
113
Cuadro N° 15: Nivel de funcionalidad de las infraestructuras estratégicas para el
uso de ciberdefensa.
115
ix
Cuadro N° 16: Razones o causas que ud considera por qué no se dispone de un
nivel adecuado de funcionalidad en infraestructuras estratégicas
para su uso en ciberdefensa.
116
Cuadro N° 17: Nivel de recursos disponibles relacionados con la Ciberdefensa y su
incidencia en la protección de la información del Ejército del Perú.
117
Cuadro N° 18: Razones o Causas de No contar con suficientes recursos
disponibles relacionados con la ciberdefensa y su incidencia en la
protección de la información del Ejército del Perú.
119
Cuadro N° 19: Conceptos básicos que conoce y aplica adecuadamente para
mejorar de la ciberdefensa en la protección de la información del
Ejército del Perú.
120
Cuadro N° 20: Nivel de conocimiento y aplicación que tiene Ud. sobre los
Conceptos Básicos en seguridad de las informaciones.
122
Cuadro N° 21: Razones o causas de no aplicar o conocer los Conceptos Básicos
en Seguridad de las Informaciones.
123
Cuadro N° 22: Principios básicos que conoce y aplica adecuadamente para
mejorar de la ciberdefensa en la protección de la información del
Ejército del Perú.
124
Cuadro N° 23: Nivel de Conocimiento de los Principios básicos relacionados con la
ciberdefensa y su incidencia en la protección de la información del
Ejército del Perú.
126
Cuadro N° 24: Razones o causas de no aplicar o conocer los Principios
relacionados con la ciberdefensa y su incidencia en la protección de
la información del Ejército del Perú.
127
Cuadro N° 25: Nivel de conocimiento de los procedimientos de seguridad
informática relacionados con la ciberdefensa y su incidencia en la
protección de la información del Ejército del Perú.
128
Cuadro N° 26: Razones o causas de no aplicar o conocer los procedimientos de
seguridad informática relacionados con la ciberdefensa y su
incidencia en la protección de la información del Ejército del Perú.
129
Cuadro N° 27: Disposiciones Normativas del Plan de Desarrollo de la sociedad de
la Información en el Perú que conoce.
131
Cuadro N° 28: Grado de cumplimiento del Plan de Desarrollo de la sociedad de la
Información en el Perú. La agenda Digital 2.0.
133
Cuadro N° 29: Razones o Causas de no dar cumplimiento al Plan de Desarrollo de
la sociedad de la Información en el Perú- La agenda Digital 2.0
134
Cuadro N° 30: Disposiciones Normativas del Plan de Desarrollo Institucional
Bolognesi que conoce.
135
Cuadro N° 31: Grado de cumplimiento del Plan de Desarrollo institucional
Bolognesi.
137
Cuadro N° 32: Razones o Causas de no dar cumplimiento al cumplimiento Plan de
Desarrollo institucional Bolognesi.
138
Cuadro N° 33: Disposiciones Normativas de la DUFSITELE. 139
Cuadro N° 34: Grado de cumplimiento de la Directiva Única de Funcionamiento del
Sistema de Telemática y Estadifica del Ejercito (DUFSITELE).
141
Cuadro N° 35: Razones o Causas de no dar cumplimiento a la Directiva Única de
Funcionamiento del Sistema de Telemática y Estadifica del Ejercito
(DUFSITELE).
142
x
Cuadro N° 36: Disposiciones Normativas de la Directiva Nº 001- Lineamientos de
seguridad de la información para la Ciberdefensa en el Ejército del
Perú.
143
Cuadro N° 37: Grado de cumplimiento de la Directiva Lineamientos de seguridad
de la información para la Ciberdefensa en el Ejército del Perú.
145
Cuadro N° 38: Razones o Causas de no dar cumplimiento a la Directiva Nº 001-
Lineamientos de seguridad de la información para la Ciberdefensa
en el Ejército del Perú.
146
Cuadro N° 39: Grado de cumplimiento de los dispositivos normativos relacionados
con la ciberdefensa y su incidencia en la protección de la
información del Ejército del Perú.
148
Cuadro N° 40: Razones o causas de no dar cumplimiento dispositivo normativos
relacionados con la ciberdefensa y su incidencia en la protección de
la información del Ejército del Perú.
149
LISTA DE FIGURAS
Figura Nº 01 : Dominios del Ciberespacio 17
Figura Nº 02 : Relación de los cinco dominios en el Ciberespacio 19
Figura Nº 03 : El Ciberespacio, el quinto dominio de la guerra 23
Figura Nº 04 : Ciberguerra entre Naciones 24
Figura Nº 05 : Entrenamiento de Ciberguerreros 26
Figura Nº 06 : Principales aspectos de la ciberseguridad y ciberdefensa 40
Figura Nº 07 : Vista Sistémica de Ciberseguridad y Ciberdefensa 41
Figura Nº 08 : Infografía de la Protección de la Información 42
Figura Nº 09 : Organigrama del COPERE 43
Figura Nº 10 : Sistemas de Información del COPERE 44
Figura Nº 11 : Principios de la Seguridad de Información 46
Figura Nº 12 : Principios de la Ciberseguridad 47
Figura Nº 13 : Edificio de la Conciencia en Ciberseguridad 51
Figura Nº 14 : Metas, Objetivos/Capacidades y técnicas para medirla
ciberresiliencia
52
Figura Nº 15 : Principios de la Ciberdefensa 53
Figura Nº 16 : Diagrama de la estructura del Sistema de Ciberdefensa del Perú 61
Figura Nº 17 : Ejecución Presupuestal por categoría presupuestal del Ministerio de
Defensa
72
Figura Nº 18 : Presupuesto General de la República del Ecuador Asignación
Presupuestal para Ciberdefensa 2015-2016
74
Figura Nº 19 : Comando de Ciberdefensa del Ecuador. 75
Figura Nº 20 : Comandos de Ciberdefensa de Colombia 76
Figura Nº 21 : Distribución de Frecuencias de las Capacidades de Ciberdefensa 99
Figura Nº 22 : Distribución de Frecuencias de la Cantidad de conceptos de las NTP 103
Figura Nº 23 : Distribución de Frecuencias de las maneras o formas de obtener
asignación presupuestal
110
Figura Nº 24 : Distribución de Frecuencias de las Infraestructuras Estratégicas que
conoce y administra
114
xi
Figura Nº 25 : Distribución de Frecuencias de los Conceptos Básicos 121
Figura Nº 26 : Distribución de Frecuencias de los Principios Básicos 125
Figura Nº 27 : Distribución de Frecuencias de Disposiciones Normativas del Plan
de Desarrollo de la sociedad de la Información en el Perú
132
Figura Nº 28 : Distribución de Frecuencias de Disposiciones Normativas del Plan
de Desarrollo Institucional Bolognesi
136
Figura Nº 29 : Distribución de Frecuencias de Disposiciones Normativas de la
DUFSITELE
140
Figura Nº 30 : Distribución de Frecuencias de Disposiciones Normativas de la
Directiva Lineamientos de seguridad de la información para la
Ciberdefensa en el Ejército del Perú
144
LISTA DE GRAFICOS
Gráfico Nº 01 Capacidades de ciberdefensa que ha sido capacitado el Personal
Militar y Civil. 98
Gráfico N° 02: Nivel de Capacitación en Ciberdefensa. 100
Gráfico N° 03: Causas o Razones porque el personal no está capacitado en
capacidades de Ciberdefensa.
101
Gráfico N° 04: Conceptos que deben conocerse y aplicarse en la gestión de la
seguridad de las informaciones y que se encuentran plasmados en
la Norma Técnica Peruana NTP/ISO/IEC 17799.
103
Gráfico N° 05: Nivel de conocimiento de la Norma Técnica Peruana NTP/ISO/IEC 17799 – “Código de buenas prácticas para la gestión de la seguridad de la información.
104
Gráfico N° 06: Razones o causas de no conocer o aplicar la Norma Técnica
Peruana NTP/ISO/IEC 17799 – “Código de buenas prácticas para la
gestión de la seguridad de la información.
106
Gráfico N° 07: Nivel de los programas de capacitación relacionados con la
ciberdefensa y su incidencia en la protección de la información del
Ejército del Perú.
107
Gráfico N° 08: Causas o razones que Ud. considera por qué no se da sumamente
satisfecho con los programas de capacitación en relación a la
ciberdefensa y su incidencia en la protección de la información del
Ejército del Perú.
108
Gráfico N° 09: Maneras o formas que conoce para obtener asignación
presupuestal para mejorar de la ciberdefensa en la protección de la
información del Ejército del Perú.
110
Gráfico N° 10: Nivel de asignación Presupuestal asignado al uso de Ciberdefensa
para proteger la información del Ejército del Perú.
111
Gráfico N° 11: Causas o Razones por las que Ud. considera que las autoridades
no asignan presupuestos para ciberdefensa en favor de la
protección de la información del Ejército del Perú.
112
Gráfico N° 12: Infraestructuras Estratégicas que ud. conoce y administra para la
Seguridad de las Informaciones.
114
Gráfico N° 13: Nivel de funcionalidad de las infraestructuras estratégicas para el
uso de ciberdefensa.
115
xii
Gráfico N° 14: Razones o causas que ud considera por qué no se dispone de un
nivel adecuado de funcionalidad en infraestructuras estratégicas
para su uso en ciberdefensa.
116
Gráfico N° 15: Nivel de recursos disponibles relacionados con la Ciberdefensa y su
incidencia en la protección de la información del Ejército del Perú.
118
Gráfico N° 16: Razones o Causas de No contar con suficientes recursos
disponibles relacionados con la ciberdefensa y su incidencia en la
protección de la información del Ejército del Perú.
119
Gráfico N° 17: Conceptos básicos que conoce y aplica adecuadamente para
mejorar de la ciberdefensa en la protección de la información del
Ejército del Perú.
120
Gráfico N° 18: Nivel de conocimiento y aplicación que tiene Ud. sobre los
Conceptos Básicos en seguridad de las informaciones.
122
Gráfico N° 19: Razones o causas de no aplicar o conocer los Conceptos Básicos
en Seguridad de las Informaciones.
123
Gráfico N° 20: Principios básicos que conoce y aplica adecuadamente para
mejorar de la ciberdefensa en la protección de la información del
Ejército del Perú.
124
Gráfico N° 21: Nivel de Conocimiento de los Principios básicos relacionados con la
ciberdefensa y su incidencia en la protección de la información del
Ejército del Perú.
126
Gráfico N° 22: Razones o causas de no aplicar o conocer los Principios
relacionados con la ciberdefensa y su incidencia en la protección de
la información del Ejército del Perú.
127
Gráfico N° 23: Nivel de conocimiento de los procedimientos de seguridad
informática relacionados con la ciberdefensa y su incidencia en la
protección de la información del Ejército del Perú.
128
Gráfico N° 24: Razones o causas de no aplicar o conocer los procedimientos de
seguridad informática relacionados con la ciberdefensa y su
incidencia en la protección de la información del Ejército del Perú.
130
Gráfico N° 25: Disposiciones Normativas del Plan de Desarrollo de la sociedad de
la Información en el Perú que conoce.
131
Gráfico N° 26: Grado de cumplimiento del Plan de Desarrollo de la sociedad de la
Información en el Perú. La agenda Digital 2.0.
132
Gráfico N° 27: Razones o Causas de no dar cumplimiento al Plan de Desarrollo de
la sociedad de la Información en el Perú- La agenda Digital 2.0
133
Gráfico N° 28: Disposiciones Normativas del Plan de Desarrollo Institucional
Bolognesi que conoce.
135
Gráfico N° 29: Grado de cumplimiento del Plan de Desarrollo institucional
Bolognesi.
137
Gráfico N° 30: Razones o Causas de no dar cumplimiento al cumplimiento Plan de
Desarrollo institucional Bolognesi.
138
Gráfico N° 31: Disposiciones Normativas de la DUFSITELE. 139
Gráfico N° 32: Grado de cumplimiento de la Directiva Única de Funcionamiento del
Sistema de Telemática y Estadifica del Ejercito (DUFSITELE).
141
Gráfico N° 33: Razones o Causas de no dar cumplimiento a la Directiva Única de
Funcionamiento del Sistema de Telemática y Estadifica del Ejercito
(DUFSITELE).
142
xiii
Gráfico N° 34: Disposiciones Normativas de la Directiva Nº 001- Lineamientos de
seguridad de la información para la Ciberdefensa en el Ejército del
Perú.
144
Gráfico N° 35: Grado de cumplimiento de la Directiva Lineamientos de seguridad
de la información para la Ciberdefensa en el Ejército del Perú.
145
Gráfico N° 36: Razones o Causas de no dar cumplimiento a la Directiva Nº 001-
Lineamientos de seguridad de la información para la Ciberdefensa
en el Ejército del Perú.
147
Gráfico N° 37: Grado de cumplimiento de los dispositivos normativos relacionados
con la ciberdefensa y su incidencia en la protección de la
información del Ejército del Perú.
148
Gráfico N° 38: Razones o causas de no dar cumplimiento dispositivo normativos
relacionados con la ciberdefensa y su incidencia en la protección de
la información del Ejército del Perú.
149
xiv
INTRODUCCION
El presente trabajo de investigación titulado “CIBERDEFENSA Y SU
INCIDENCIA EN LA PROTECCIÓN DE LA INFORMACIÓN DEL EJÉRCITO DEL
PERÚ. CASO: COPERE 2013 - 2014”, tuvo por objetivo determinar las dificultades
que impiden el mejoramiento de la Ciberdefensa que inciden en la protección de la
información del Ejército del Perú. con el propósito de identificar las causas que la
generan y tener base para proponer el uso de nuevos conocimientos, que
contribuyan a mejorar la protección de la información.
Hoy en día todo parece estar interconectado, los sistemas de defensa, de
seguridad, comerciales, energéticos, comunicaciones, transporte, bancarios, y todo
lo que afecta tanto nuestra vida diaria como la seguridad de los estados como tal.
Antes, cuando se hablaba de Ciberdefensa se enmarcaba en el contexto de las
“Políticas sin importancia”, ya que no se consideraba como algo vital para la
seguridad y la supervivencia del Estado, se trataba como un tema económico o
social que no afectaba al bienestar del Estado. (Sánchez Medero, 2013)
Son miles las amenazas que tienen efectos devastadores, y que generan
Indisponibilidad, falta de confidencialidad, Perdida de integridad y falta de confianza
en las transacciones electrónicas con terceros; Afrontar estas situaciones,
controlando la inseguridad de nuestros sistemas de información dentro de límites
aceptables solo es posible mediante la integración de medidas organizativas y
técnicas en el marco del desarrollo de una cultura de la Seguridad.
En tal sentido, consideró que es oportuno e importante el desarrollo de la
presente tesis, ante las crecientes dificultades que enfrentan las autoridades y
Personal Militar de los diferentes Departamentos y Secciones de telemática del
Comando de Personal del Ejército del Perú, ya que en nuestros días la
Ciberdefensa es un elemento crucial y vital para las sociedades más avanzadas, y
ha comenzado a verse como algo vital para la supervivencia del Estado tanto a
nivel nacional como a nivel internacional.
xv
El presente informe de tesis consta de los siguientes capítulos:
El capítulo I: Planteamiento del estudio. Contiene la descripción y formulación
del problema; los objetivos de la investigación; la justificación; la delimitación y
limitaciones.
El capítulo II: Marco Teórico, Se desarrolló los antecedentes de la investigación;
las bases teóricas de las variables en estudio, glosario de términos, la formulación
de hipótesis, identificación y la operacionalización de variables.
El capítulo III: Metodología de la investigación. Se desarrolló el tipo de
investigación; el diseño y nivel de investigación; población y muestra, los
instrumentos de recolección de datos y procesamiento de los datos.
El capítulo IV: Análisis y Presentación de Resultados. Contiene la presentación,
análisis e interpretación de resultados; contrastación de hipótesis y discusión de los
resultados.
El capítulo V: Conclusiones y Recomendaciones: se indica los dominios en
que se expresan las variables Ciberdefensa que incide en la protección de la
información del Comando de Personal del Ejército, según la percepción y
conocimientos de los entrevistados; en las recomendaciones, éstas se plantean
como producto del estudio realizado.
Finalmente, las referencias bibliográficas, los anexos, se presenta los instrumentos
utilizados en el presente estudio de investigación que tuvo viabilidad positiva para
su aplicación.
1
CAPÍTULO I: PLANTEAMIENTO DEL ESTUDIO
1.1. Descripción de la realidad problemática.
La información es el principal activo de toda organización según los más
modernos paradigmas de la administración empresarial, pudiendo hacer su
aparición de muchas formas: impresa o escrita en papel, almacenada
electrónicamente, transmitida por correo, ilustrada en películas o hablada en
conversaciones. En el ambiente de negocios competitivo de hoy, esa
información está constantemente bajo la amenaza de muchas fuentes, que
pueden ser internas, externas, accidentales o maliciosas para con la
organización. Con el incremento del uso de nueva tecnología para almacenar,
transmitir y recobrar información mayor dependencia se tiene de los sistemas
de información y de las comunicaciones , por tanto se han abierto canales
para un mayor número y variedad de amenazas (intrusión, manipulación,
sabotaje o interrupción, etc.), es en ese sentido que las instituciones se
preocupan por proteger la seguridad de su información para que solo sean
accesibles por partes autorizadas, dejando fuera a toda persona no
autorizada, siendo esto un reto para la Ciberdefensa de la información de hoy
en día, Capacitando personal, diseñando métodos, afinando procedimientos,
creando herramientas criptográficas, etc. que nos ayuden a mitigar el
problema de inseguridad en el hurto de la información, siendo este un reto
muy grande debido que en la actualidad los conflictos cibernéticos que se dan
en el ciberespacio no tienen fronteras ni limites, es en ese sentido, que en un
ataque cibernético no es necesario desplazarse, moverse o tener que pasar
una frontera.
1.1.1. Situación y contexto de la problemática actual
La necesidad de incrementar la seguridad de la información de las
operaciones críticas ha crecido marcadamente en los últimos años, como resultado
del aumento del uso de las tecnologías de la información, es en ese sentido que el
Comando de Personal del Ejército del Perú no es ajeno a esta situación; sin
embargo, debido a diversos factores que se presentan, esta dependencia está
expuesta a posibles ataques cibernéticos por elementos internos o externos que
desean obtener la información vulnerando las medidas de seguridad que se
disponen actualmente, Bajo este enfoque de aplicabilidad se ha evidenciado una
serie de problemáticas existentes como (Anexo N° 1):
2
La ausencia de una legislación destinada a aplicar herramientas de
“Informática Forense ”, pese que en el código penal de nuestro país existen más de
40 artículos sobre “Ciberdelitos”, y aquellos cometidos a través de medios
informáticos, el problema es la falta de desarrollo de capacidades en los jueces y
fiscales para que los usen, es decir no tienen los conocimientos necesarios para
disponer que se apliquen herramientas que “Informática Forense”, a fin de ejecutar
procedimientos que identifican, aseguran y presentan pruebas generadas y
guardadas electrónicamente en diferentes medios de almacenamiento.
La tecnología ha facilitado a las personas, el mal hábito de provocar ataques
informáticos a diversas redes informáticas, por lo que las instituciones deben
contar con personal altamente capacitado es decir profesionales informáticos que
puedan combatir esta clase de transgresiones de manera puntual y objetiva, es por
esta razón se ha identificado deficiencias en los programas de capacitación para
el Personal Militar y Civil responsable de administrar e implementar las medidas de
ciberdefensa en las infraestructuras de TI.
Otro factor que se ha podido identificar, es la vulnerabilidad del diseño de la
red perimetral de seguridad, esto originado posiblemente por la falta de un personal
experto en administración de redes, para que este se encargue de diseñar e
implementar la red perimetral de manera segura, para proteger los servidores de
datos de posibles ataques informáticos, actualmente la red de datos crece
desordenadamente sin una planificación, a esto se suma que el personal instala en
la red de datos equipos sin autorización, lo cual trae como consecuencia brechas
de seguridad que sería muy difíciles de detectar y encontrar.
En la culminación de todo proyecto de sistemas o de redes la parte más
importante en la entrega de los documentos de análisis, manuales técnicos, diseños
de red, etc., es en ese sentido que se ha identificado la falta de documentación
técnica de los sistemas de información, esto debido a que ningún sistema de
información del COPERE cuenta con documentación técnica; lo cual trae como
consecuencia que cualquier cambio en los sistemas de información no se pueda
implantar con facilidad, creando una dependencia técnica del proveedor que brindo
el servicio.
3
Las organizaciones de primer nivel dan a la seguridad de las informaciones
una alta prioridad, y por tanto asignan y ponen a disposición de las áreas
especializas los recursos disponibles necesarios para su buen funcionamiento, es
en ese sentido uno de las principales métodos de protección de la información es
la creación y control de políticas de seguridad, el uso de equipos de seguridad,
herramientas de informática forense y programas informáticos y criptográficos,
personal capacitado e infraestructuras físicas, que brinden seguridad de la
información, al momento de transmitirla o almacenarla manteniendo siempre los
principios de la seguridad (confiabilidad, integridad y disponibilidad) en tal sentido
se ha identificado carencias de Recursos Disponibles para ciberdefensa.
Al momento de modelar y diseñar un sistema de información, el analista de
sistemas tiene que tener bien en claro los requerimientos reales que el sistema
quiere que realice; sin embardo, en los diferentes sistema de información que
cuenta el COPERE se ha podido determinar que existen desconocimiento en los
requisitos funcionales y no funcionales de los sistemas de Información, esto se da
por un mal levantamiento de información al momento que las dependencias
usuarios brindan sus requisitos para el diseño del sistema, mayormente se da este
tipo de problemas debido a que el personal que se nombra para brindar la
información no es la persona responsable o el indicado, por tanto los requisitos
funcionales y no funcionales que brinda son muy generales o no están bien
definidos, ocasionando que se realicen continuas correcciones trayendo consigo
retraso en la culminación del proyecto.
Desconocimiento de los Procedimientos de Seguridad Informática o la
aplicación incorrecta de los planteamientos teóricos relacionados con el
ciberespacio, ciberguerra, ciberdefensa, ciberseguridad, seguridad de las
informaciones y los ISO 17799 y 27001 por parte del personal responsable de
implantar dichos mecanismos de seguridad; Asimismo, una causa preponderante
del desconocimiento o aplicación incorrecta es que dicho personal no cuenta con
experiencias profesional en este campo, y por tanto todo su conocimiento está
basado en su experiencia que va ganando día a día en el desempeño de sus
funciones.
4
Todas las actividades que se realizan en materia de seguridad de las
informaciones obedecen al cumplimiento de disposiciones, normas o directivas; sin
embargo, se ha podido evidenciar una serie de incumplimientos de disposiciones
normativas sobre ciberdefensa por parte del Comando del Ejército, Personal de
usuarios de la red, Personal responsable de implantar las medidas de seguridad,
esto posiblemente por falta de partidas presupuestales para programar cursos en
ciberdefensa o adquirir equipamiento de seguridad necesario y de los usuarios por
no tomar un verdadera conciencias de seguridad o simplemente porque
desconoces de dichas disposiciones por el poco interés en tomar conocimiento o
peor aún deben incumplir las normas, para poder desarrollar en forma eficiente la
misión encomendada.
El Perú uno de los países que poco ha legislado en temas de seguridad de
la información y seguridad informática y, sobre todo, en planeamiento de
ciberdefensa y ciberseguridad. Actualmente existen artículos como el 207 A, B y
C del Código Penal, el proyecto de ley de ciber delitos, la Ley de Protección de
Datos Personales, pero no existen lineamientos de ciberdefensa; es en ese
sentido, que se observa la falta de una Legislación en temas de ciberdefensa.
1.2. Formulación del problema
1.2.1. Definición del Problema General
¿Cuáles son las dificultades que impiden el mejoramiento de la
Ciberdefensa y su incidencia en la protección de la información del Ejército
del Perú?
1.2.2. Problemas específicos
¿Cuáles son las causas o razones por las cuales se presentan deficiencias
en los programas de capacitación para Personal Militar y Civil que
Administran las infraestructuras de TI?
¿Cuáles son las causas o razones por las cuales se presenta carencias de
recursos disponibles para Ciberdefensa?
¿Cuáles son las causas o razones por las cuales se desconoce o no se
aplica de manera adecuada los procedimientos de seguridad informática?
¿Cuáles son las causas o razones por las cuales se incumple las
disposiciones normativas relacionadas con Ciberdefensa?
5
1.3. Objetivos de la Investigación
1.3.1. Objetivo General
Determinar las dificultades que impiden el mejoramiento de la
Ciberdefensa y su incidencia en la protección de la información del Ejército
del Perú, con el propósito de identificar las causas que la generan y tener
base para proponer el uso de nuevos conocimientos, que contribuyan a
solucionar o mejorar la protección de la información del Ejército del Perú.
1.3.2. Objetivos específicos
Para alcanzar el Objetivo General antes enunciado es necesario
lograr los siguientes Objetivos Específicos:
a) Primer Objetivo Especifico
Identificar las causas o razones por las cuales se presenta deficiencias
en los programas de capacitación para el Personal Militar y Civil que
Administran las infraestructuras de TI; con el propósito de contar con
un adecuado nivel de capacidades en Ciberdefensa y un nivel de
conocimiento adecuado de los lineamientos que se disponen en la
Norma Técnica Peruana NTP-ISO/IEC 17799; los cuales contribuirán a
solucionar o mejorar la protección de la información en el Ejército del
Perú.
b) Segundo Objetivo Específico
Identificar las causas o razones por las cuales se observa carencia de
recursos disponibles para Ciberdefensa; con el propósito de contar con
un adecuado nivel de Asignación presupuestal y con un adecuado nivel
de funcionalidad de las Estructuras Estratégicas; los cuales
contribuirán a solucionar o mejorar la protección de la información en
el Ejército del Perú.
c) Tercer Objetivo Específico
Identificar las causas o razones por las cuales se observa
desconocimiento o aplicación inadecuada de los procedimientos de
seguridad informática; con el propósito de tener un adecuado nivel de
conocimiento de los Conceptos y Principios básicos relacionados con
Ciberdefensa; los cuales contribuirán a solucionar o mejorar la
protección de la información en el Ejército del Perú.
6
d) Cuarto Objetivo Específico
Identificar las causas o razones por las cuales se presenta
incumplimiento de las disposiciones normativas relacionadas a
ciberdefensa; con el propósito de tener un adecuado grado de
cumplimiento del Plan de Desarrollo de la Sociedad de la Información
en el Perú. La Agenda Digital 2.0, el Plan de desarrollo Institucional
“Bolognesi”, Directiva Única para el Funcionamiento del Sistema de
Telemática y Estadística del Ejército (DUFSITELE) y la Directiva Nº
001 sobre los Lineamientos de seguridad de la información para la
Ciberdefensa en el Ejército del Perú); los cuales contribuirán a
solucionar o mejorar la protección de la información en el Ejército del
Perú.
1.4. Justificación e Importancia del proyecto
1.4.1. Justificación
a) Desde el punto de vista social:
Debido a la aparición de nuevas plataformas tecnológicas disponibles, la
posibilidad de interconectarse a través de redes, se ha abierto nuevas
amenazas de vulnerabilidad en las organizaciones, con riesgos e
inseguridad; así como, fraudes informáticos, espionaje, sabotaje, virus
informático, ataques de intrusión o negación de servicio, es en ese
sentido que mediante la mejora de la Ciberdefensa en las organizaciones
se podrá hacer frente a estas amenazas internas (Insider) o externas
(Hackers) que atenten contra la seguridad de la informaciones,
mitigando de esta manera la inseguridad que los usuarios sienten al
momento de almacenar o transmitir información.
b) Desde el punto de vista institucional
Es responsabilidad de las Instituciones Militares disponer de los
lineamentos dispensables para garantizar la Ciberdefensa, la cual afirme
la obtención, procesamiento, almacenamiento y difusión de la
información segura a través del sistema de comunicaciones y
contribuyan a su empleo eficaz y eficiente en el cumplimiento de los
objetivos estratégicos institucionales, es en ese sentido que la institución
se verá beneficiada con el presente estudio en cual permitirá
diagnosticar claramente el problema y conocer su magnitud, influencia y
proyección.
7
c) Desde el punto de vista teórico:
La investigación propuesta mediante la aplicación de conceptos y teorías
de información dentro del ámbito de seguridad de la información como
son la ciberdefensa, ciberseguridad, análisis y gestión de riesgos y
cultura de seguridad, busca encontrar explicaciones para contribuir con
calidad y eficacia en los servicios críticos de las instituciones; Por ello se
hace necesario desarrollar un marco teórico y conceptual revisando el
material bibliográfico existente, contrastando las diversas corriente y
posiciones, y a partir de ella comprobar su validez en los departamentos
y/o secciones de telemática del COPERE, donde se tuvo participación.
Tal es así, “…que para lograr un nivel adecuado de protección de
información en las organizaciones, identificar sus principales
amenazas es un necesidad urgente” (Whitman, 2003, p.92)
1.4.2. Importancia de la investigación
La importancia de la ciberdefensa y su incidencia en la protección de la
información del Ejército del Perú. caso: COPERE 2013 – 2014, implica la
buena gestión de la seguridad de las informaciones para proteger los
sistemas de información e información que se maneja; así mismo, se
espera que los aportes que se brinden, trasciendan la parte académica y
ayude a mejorar la ciberseguridad en cuanto a confidencialidad, integridad
y disponibilidad de la información, sirviendo estos de base a futuros trabajos
de investigación en nuestra institución militar, que busquen determinar los
niveles de ciberseguridad más apropiados para mejorar la seguridad de las
informaciones.
1.5. Delimitación de la investigación
1.5.1. Delimitación Espacial
El trabajo de investigación y estudio se realizará en el COPERE, ubicado
en el Cuartel General del Ejército del Perú, San Borja Sur S/N.
8
1.5.2. Delimitación Temporal
El presente trabajo de investigación y estudio abarcará el periodo de
tiempo comprendido entre los años 2013 y 2014. La mencionada
delimitación temporal obedece a que podremos contar con datos e
información reciente y de esta manera poder auscultar de manera más
precisa el tema en investigación y por ende llegar a conclusiones más
precisas que permitan elaborar recomendaciones idóneas que permitan
lograr los objetivos propuestos por nuestro trabajo de investigación.
1.5.3. Delimitación Social
El grupo social objeto de estudio es el Personal Militar y Civil del COPERE,
responsables de administrar la red de datos y sistemas de información, así
como, aquellos que manejan información reservada o confidencial, en
cumplimiento de sus funciones.
1.5.4. Delimitación Conceptual
Para los efectos de la presente investigación y estudio, se conceptualizó
principalmente las variables, cuyos contenidos conceptuales pertinentes,
son los más actualizados y de reconocidos autores, a efectos que sirvan
para proponer el mejoramiento de la ciberdefensa en el Ejército de tal forma
que contribuya a la protección de la información.
1.6. Limitaciones
Como en toda investigación presenta limitaciones en su desarrollo, sin
embargo, estas no influirán en forma significativa en los resultados de la
investigación, entre ellos podemos mencionar las siguientes:
- La recopilación de información sobre el tema por las características propias.
- Escasa producción investigativa que no contribuye a la obtención de mayor
información.
- La poca difusión de los resultados de las investigaciones en el campo de
seguridad de las informaciones.
- Algunas dificultades en la recolección de información acerca de las
variables de estudio y documentación en general.
9
CAPÍTULO II: MARCO TEÓRICO
2.1. Antecedentes de la investigación
2.1.1. Trabajos Internacionales
Villalba D. (2015). “La ciberseguridad en España 2011 – 2015. Una
propuesta de modelo de organización”. Para obtener el grado académico
de Doctor. Universidad Nacional de Educación a Distancia, España. Entre
las principales conclusiones plantea:
1. Que las estrategias nacionales de seguridad se han convertido en un
modelo del que se desprende la planificación de la seguridad nacional;
que la integración de los intereses nacionales es total, destacando la
capacidad económica como referente transversal de la seguridad; que
se ha establecido un modelo organizativo similar basado en un consejo
de seguridad nacional; y que las estrategias nacionales de seguridad se
desarrollan mediante estrategias sectoriales, como es el caso de las
estrategias nacionales de ciberseguridad.
2. Se ha obtenido una visión de la situación de la ciberseguridad en cada
uno de los países de la UE, debido a que en el presente trabajo de
investigación se estudiaron en profundidad las estrategias de
ciberseguridad de Estados Unidos, China y Rusia, países que ya se
habían estudiado como referencias en el planeamiento estratégico de la
seguridad nacional, así como los modelos institucionales y organizativos
que han constituido en el ámbito de la ciberseguridad.
3. Se logró realizar una propuesta de modelo de organización nacional de
la ciberseguridad, teniendo en cuenta que las investigaciones sobre
modelos organizativos suelen estar basadas en modelos empíricos de
investigación, es en ese sentido que en el nivel político estratégico se
propone mantener el Consejo Nacional de Ciberseguridad con su
composición y misión de planeamiento político estratégico, pero
10
incorporando a este CNCS una capacidad ejecutiva para realizar el
seguimiento de la implementación del Plan Nacional de Ciberseguridad
y de sus Planes Derivados.
4. Por último, tras valorarse positivamente el diseño del nivel táctico y
técnico de la ciberseguridad en España, se propone que el CERT
Gubernamental Nacional actual (CCN-CERT) realice funciones de
coordinación nacional en el ámbito de la prevención y respuesta a
ciberataques, para los tres niveles de las administraciones públicas y
para empresas de carácter estratégico, y que se constituya además en
centro de referencia para el sector privado.
Vargas E. (2014). “Ciberseguridad y Ciberdefensa: ¿qué implicaciones
tienen para la seguridad nacional?” Para obtener el título de Especialista
en Alta Gerencia de la Defensa Nacional. Universidad Militar de Nueva
Granada, Bogotá. Entre las principales conclusiones plantea:
1. Teniendo en cuenta la vulnerabilidad que presenta el ciberespacio, aún
hace falta mayor cooperación internacional para construir una verdadera
administración de este dominio, dado que a pesar que las potencias
mundiales son fuertes bélicamente y poseen ejércitos a la vanguardia en
armamento cinético, las asimetrías de poder se hacen menos notorias
en el mundo cibernético. Con lo cual se hacen igual de vulnerables que
si no tuvieran armamento avanzado, añadiendo a esto que el siguiente
movimiento de un adversario la red es impredecible. Nunca se va a
conocer en donde será el siguiente ataque. Los bloques económicos y
comunidades regionales han realizado esfuerzos por controlar y regular
en su medida la red; sin embargo, se deben propender por adaptar
medidas más eficaces para mitigar al máximo un ciberataque.
2. Al atacar infraestructuras críticas no solo se pone a prueba el mando
militar u organizaciones estatales, las instituciones de carácter privado
también son afectadas, tales como banco, proveedores de servicios
públicos y transportes. Esto quiere decir, que la seguridad y defensa del
11
ciberespacio tiene implicaciones civiles y económicas y esto lo convierte
en un objetivo estratégico de la seguridad nacional, por lo tanto, los
hombres y mujeres que ostentan tal responsabilidad deben estar
intelectualmente preparados para asumir el compromiso de la defensa
de un país en el teatro de operaciones del ciberespacio.
3. A medida que se crean distintos modos de conectividad en la red, deben
crearse los correspondientes mecanismos de protección para evitar que
los dispositivos sean infectados con diversos virus, o aplicaciones y
programas que puedan hacer de un teléfono inteligente, Tablet o
cualquier otro equipo en atacante de otra red. Muchas veces se pensó
que la guerra en el ciberespacio era la guerra del futuro. Valdría la pena
reevaluar esa afirmación y pensar si el mundo está viviendo la guerra
cibernética en este preciso instante.
Guamán J. (2015). “Diseño de un sistema de gestión de seguridad de
la información para Instituciones Militares” Para el grado académico de
Maestro en Gestión de la Comunicaciones y Tecnologías de la Información.
Escuela Politécnica Nacional, Ecuador. Entre las principales conclusiones
plantea:
1. Las instituciones Militares, actualmente no disponen de una Sistema de
Gestión de Seguridad de la Información para resguardar los activos de
información que posee la institución, lo que dificulta mantener la
información de acuerdo a las normas de la ISO 27001:2015.
2. Se determinó la factibilidad operativa, técnica y económica para
establecer el Diseño de un sistemas de Gestión de Seguridad de la
Información para las instituciones Militares, lo que permitió verificar que
cumplan con las características acordes a las instituciones militares y
determinar que el proyecto sea puesto en marcha aprovechando todos
los beneficios para la institución logrando que los usuarios estén en
compromiso de seguridad y el reconocimientos de las responsabilidades
de seguridad de información.
12
3. Se realizó el estableciendo del Diseño de un sistema de gestión de
seguridad de las informaciones para las instituciones militares; así como
la identificación de riesgos, amenazas y vulnerabilidades; el cálculo del
riesgo, amenazas y vulnerabilidades; tratamiento de riesgos; y, revisión
de los riesgos y reevaluación de los activos de la información de la
Dirección de Tecnologías de Información y Comunicaciones, lo que
permitió aplicar para el diseño de SGSI la cláusula 4.2.1 de la misma
norma ISO 27001:2005 literales a) a la j).
2.1.2. Trabajos Nacionales
Parra R. (2016). “Proyecto Legal para un Esquema Nacional de
Ciberseguridad”, Para obtener el título profesional de Licenciado en
Derecho. Universidad de San Martin de Porres, Perú. Entre las principales
conclusiones plantea:
1. Hemos encontrado evidencia de la actividad delictiva en las experiencias
de países vecinos, con lo cual se hace necesario prestar atención a la
materia Cibernética e Informática, debido a que la falta proyección en
esta materia podría ocasionar que los Estados sean víctima de cada vez
mayores y peores incidentes, los cuales pueden ser evitados a través de
un trabajo previo y coordinado, adecuando la tecnología a la nueva
realidad en la que el ciberespacio forma parte de la vida cotidiana tanto
del Estado como de los ciudadanos.
2. Una de las mejores medidas para generar conciencia sobre
Ciberseguridad es el compartir las experiencias relacionadas a
ciberataques con la población, siempre y cuando no se expongan las
vulnerabilidades de las entidades o Estados afectados, el límite será
siempre establecido al ponderar el derecho de informarnos con la
seguridad nacional.
13
3. La cibersoberania tendría su campo de acción en la protección de
información sensible del estado, pudiendo tener como fuente a
infraestructuras críticas o ataques masivos a páginas de servicios
públicos que busquen inhabilitarlas. Mientras más conectados a la red
nos encontremos, vamos a tener mayor y mejores posibilidades de
acceso, vamos a poder enviar y recibir información, realizar operación
de manera más rápida y sencilla, pero nos encontraremos más
vulnerables frente a hackers o posibles atacantes que busquen filtrarse
en nuestros sistemas.
Rayme R. (2007). “Gestión de la Seguridad de la Información y los
servicios críticos de las universidades” Para obtener el grado
académico de Maestro Administración con mención en Gestión
Empresarial. Universidad Mayor de San Marcos, Perú. Entre las principales
conclusiones plantea:
1. La seguridad de la información ha sido siempre considerada como un
problema de ingeniería, donde la responsabilidad debe recaer en el
personal de Tecnología de Información y Comunicaciones, de tal forma
que las organizaciones han tratado de resolverlo utilizando tecnología
como controles de acceso, pero este enfoque es incorrecto porque la
gestión de la seguridad de la información requiere la participación de
todos los empleados de una organización. Los resultados de la
investigación demuestran que la estrategia de desarrollar políticas de
seguridad de la información es de prioridad en las Universidades:
UNMSM 37%, UNFV 19% y UPSJB 24%.
2. Las autoridades no consideran a la seguridad como una prioridad
alineada con la estrategia universitaria. Ello se refleja en las encuestas
realizadas al personal de TIC donde se les formuló la pregunta si habían
asistido a eventos o programas de capacitación de seguridad de la
información, la cual reportó que la mayoría nunca asistió a programas de
capacitación: UNMSM 20%, UNFV 100% y UPSJB 70%. De tal manera
que la estrategia de capacitación es de mucho interés por el personal:
UNMSM el 60%, UNFV el 70% y UPSJB el 70%.
14
3. Los resultados de la investigación con respecto a los riesgos de la
información en las Universidades como son: la divulgación ilícita de la
información por los trabajadores (UNFV 36%), no realizar copias de
seguridad (UPSJB 28%), virus informáticos (UNMSM 56%), corroboran
con lo que está pasando a nivel mundial, donde el 70% de los robos o
accidentes que se producen en los sistemas informáticos de las
organizaciones los causan los propios trabajadores, muchas veces son
resultados de errores, descuidos en sus conocimientos sobre la
seguridad de la organización o actos delictivos propiamente dichos.
Condori H. (2012) “Un Modelo de Evaluación de Factores Críticos de
Éxito en la Implementación de la Seguridad en Sistemas de
Información para determinar su influencia en la intención del usuario”,
Para obtener el grado académico de Maestro en Ciencias en Ingeniería de
Sistemas y Computación con mención en Gestión de Tecnologías de la
Información. Universidad Inca Garcilaso de la Vega, Perú. Entre las
principales conclusiones plantea:
1. Se desarrolló el Modelo de Evaluación de Factores Críticos de Éxito en
la Implementación de Seguridad de Sistemas de Información para
determinar su influencia en la intención del usuario, con nueve factores
y tres dimensiones, adecuadamente sustentadas, tomando como base
la teoría del comportamiento planificado (TPB).
2. Se validó el modelo mediante un caso de estudio que fue la Universidad
Nacional del Altiplano Puno, en base a la estadística multivalente, para
medir la confiabilidad de cada ítem, la validez de los constructores,
confiabilidad compuesta, la validez discriminante y demostrar si la
intención para implementar seguridad de información está influenciado
en el nivel macro por factores específicos; siguiendo los pasos de la guía
de implementación; donde el modelo mostró una varianza explicada en
constructor principal de 60.8%, en base a 128 observaciones válidas
correspondientes a los usuarios del Sistemas Integral Administrativo de
la UNA-Puno y un nivel de confiabilidad del 0.943, respecto a los factores
de modelo.
15
3. Dentro de todo el modelo, los factores más importantes por el grado de
influencia en la Actitud para implementar Seguridad en Sistemas de
Información son:
• En un primer lugar los Recursos y Presupuesto, donde el grado de
influencia es -0.558, de acuerdo a su path, que afecta negativamente;
ello en razón a que como ocurre en la mayoría de instituciones
públicas, como en el caso de UNA-Puno, la falta de presupuesto es
un factor determinante.
• La Cultura Organizacional donde el grado de influencia es 0.439, de
acuerdo a su path, que revela la existencia de normas y valores que
influyen positivamente en la situación estudiada.
• La Conciencia de la necesidad de seguridad por el personal con un
grado de 0.431 path, que revela el grado de conciencia que tiene del
personal de la UNA-Puno respecto a la necesidad de implementar
seguridad en los sistemas de información.
2.2. Bases teóricas o teoría sustantiva
2.2.1. Planteamientos Teóricos.
El estudio seleccionado estará enmarcado dentro de un marco referencial
teórico basado fundamentalmente en la Ciberdefensa y su incidencia en la
protección de la información del Ejército del Perú, la cual está orientada y se
sustenta con conceptos básicos y principios básicos.
2.2.1.1. Conceptos Básicos.
Se ha considerado necesario precisar conceptos básicos significativos
como parte del Marco Referencial, que va a servir como patrón comparativo a
manera de modelo, para analizar la situación encontrada en la realidad actual
del estudio (Resultados). Todos los conceptos básicos obtenidos al interior del
16
marco teórico se han obtenido de fuentes o autores que gozan de reconocimiento
y vigencia en el campo de la seguridad de las Informaciones, todas tienen citas
a pie de página; y, los precisamos porque nos permite entender, con mayor
propiedad la temática de la investigación entre los más representativos son los
siguientes conceptos:
Conceptualización
1. Ciberespacio
Al hablar del ciberespacio, resultan una serie de definiciones y conclusiones
dependiendo del punto de vista y del área el que se encuentre y el estado de
la tecnología. La Real Academia Española define al ciberespacio como:
“ámbito artificial creado por medios informáticos”. Otros autores como
Clarke & Knake (2011), nos dicen que: “El ciberespacio lo conforman todas
las redes informáticas del mundo y todo lo que ellas conectan y controlan.”
(p. 104). Otra posible definición es:
Un dominio global dentro del entorno de la información cuyo carácter
único y distintivo viene dado por el uso de la electrónica y el espectro
electromagnético para crear, almacenar, modificar, intercambiar y explotar
información a través de redes interdependientes e interconectadas utilizando
las tecnologías de información y comunicaciones (Kuehl, 2009, p.29).
Conceptos:
1. Ciberespacio.
2. Ciberguerra.
3. Ciberguerreros.
4. Ciberdefensa.
5. Ciberseguridad.
6. Protección de la información.
7. Comando de Personal del Ejército del Perú.
17
Según Gómez A. (2014). el ciberespacio es:” Un espacio artificial
creado por el hombre, compuesto por ceros y unos (código binario), que
permite transportar información de manera instantánea, por medio de las
redes alámbricas o inalámbricas entre computadores interconectados en
forma directa o indirecta a nivel global” (p.32).
Para Feliu L. (2013.). el ciberespacio es:
El espacio artificial creado por el conjunto de infraestructuras de los
sistemas de comunicaciones e informáticos, es decir de redes de
ordenadores y de telecomunicaciones interconectados directa o
indirectamente a nivel mundial, es mucho más que internet, más que
los mismos sistemas y equipos, hardware y software e incluso más
que los propios usuarios, es un nuevo espacio, con sus propias leyes
físicas que, a diferencia de los demás espacios, ha sido creado por el
hombre para su servicio. (p.4)
Figura Nº 01 – “Dominios del Ciberespacio”
Fuente: Propia del autor.
Es en ese sentido (Caro ,2011, citado por Vargas E, 2014, p.3).
vislumbra que a través del ciberespacio se realizan la mayoría de actividades
normales de un ser humano, y que un ataque cibernético podría cambiar
sustancialmente el estilo de vida de los pobladores de un país en caso de
ser atacados los proveedores de servicios públicos, los clientes de un banco,
y en casos de mayor envergadura, poner en jaque la seguridad de un Estado.
Internet sería entonces el canal de comunicación en el ciberespacio. Surge
18
entonces la pregunta ¿Qué tan dependientes son las personas del
ciberespacio hoy en día? La dependencia al ciberespacio ha sido orquestada
a partir de la tecnificación de los Sistemas de Información y Comunicaciones
(TIC), una vez la información se digitaliza, los niveles de vulnerabilidad en la
red se hacen mayores, quedando a merced de quien tenga la capacidad de
ingresar en los sistemas internos y adquirir la información que desee. Como
se sabe quien posee la información posee el poder. El ciudadano de a pie,
puede brindar su información en el momento en que realiza una transferencia
bancaria a través de internet, o solicitar documentos importantes a través de
la red, obviamente las empresas y toda entidad que maneje información
digitalizada debería tener ciertos protocolos para la seguridad de la
información de sus clientes y usuarios en general.
Otra opinión de otro autor como Llongueras, A. (2013) el cual realiza
un análisis sobre lo que el ciberespacio representa para la seguridad
nacional de un Estado:
“El ciberespacio es un elemento de poder dentro la seguridad
nacional, es a través de este nuevo y artificial dominio que se ejerce
una innovadora influencia estratégica en el siglo XXI; en este mundo
virtual hasta los actores más modestos pueden ser una amenaza para
las grandes potencias forjándose y desarrollándose el concepto de las
operaciones militares centradas en redes. (p.19)
Características de los dominios del ciberespacio
• El ciberespacio tiene características que difieren significativamente de
los dominios tierra, aire, mar y el espacio. Los cambios en el ciberespacio
son a menudo impulsados por la investigación y el desarrollo de la
industria privada, haciendo que el dominio sea dinámico y
continuamente evolucionando a medida que las capacidades de
tecnología de la información continúan expandiéndose y evolucionando.
19
• Porque el ciberespacio es hecho por el hombre, es sólo a través de la
atención y el mantenimiento continuo que persiste el ciberespacio.
• El ciberespacio refuerza el hecho de que un marco operacional no se
limita a un lugar físico. Los campos de batalla tradicionales estaban
confinados al espacio físico. Mientras que las repercusiones pueden
crear efectos sociales y políticos en todo el mundo, el impacto físico real
es Limitado al campo de batalla físico. La inclusión del ciberespacio se
expande y complica el marco operativo, transformando un campo de
batalla físico limitado en un campo de batalla global. Por ejemplo, un
virus informático ejecutado en el ciberespacio puede atacar su objetivo
previsto y también indiscriminadamente sistemas en varios países
alrededor del mundo.
• El ciberespacio es un entorno creado y mantenido con el propósito de
facilitar el uso y explotación de la información, la interacción humana y
la intercomunicación.
Figura Nº 02 – “Relación de los cinco dominios en el Ciberespacio”
Fuente: USA Army- FM 3-38. “Cyber Electromagnetic Activities”, p. 1-4.
20
Operaciones en el Ciberespacio
Según la opinión de Cortez (2014, p.14), las operaciones en el ciberespacio
son las siguientes:
• Operaciones Ofensivas en el Ciberespacio (OCO): Son operaciones
en el ciberespacio diseñadas para proyectar potencia mediante la
aplicación de fuerza en el ciberespacio. Se conducen en todo el rango
de operaciones militares teniendo como objetivo al enemigo, hostilizando
la actividad adversaria y sus capacidades relacionadas con el
ciberespacio. Existen dos tipos principales de Operaciones Ofensivas en
el Ciberespacio:
➢ Ataque al ciberespacio: Consiste en acciones que crean variados
efectos directos de denegación en el ciberespacio (por ejemplo,
degradación, interrupción o destrucción) o de manipulación del
mismo. Para el Ejército, los ataques al ciberespacio son un tipo de
operaciones que se llevan a cabo principalmente fuera de la red de
mando y control, aunque se coordinan y se eliminan conflictos dentro
de la red de datos.
Usando partes específicas del ciberespacio y el Espectro
Electromagnético como camino principal o avenidas de
aproximación, los ataques al ciberespacio pueden emplear
capacidades tales como código informático a medida, dentro y a
través de los distintos nodos de red, tales como servidores, switches,
firewalls, sensores, protocolos, sistemas operativos y hardware
asociado con procesadores u ordenadores.
Los ataques al ciberespacio se emplean para apoyar las
operaciones de maniobra creando efectos complementarios y
simultáneos. Pueden emplear la manipulación, que incluye
decepción, decodificación, condicionamiento y suplantación de
identidad, para controlar o cambiar información, sistemas de
información y redes.
21
➢ Adquisición de información en el ciberespacio: Consiste en
acciones que facilitan las ciberoperaciones, principalmente a través
de la vigilancia y el reconocimiento deliberado de redes, así como
otras actividades (incluido el acceso y control de esas redes)
realizadas en el ciberespacio. Incluye actividades dirigidas a la
recogida de inteligencia de objetivos y sistemas adversarios. La
adquisición de información en el ciberespacio se complementa con
las labores conjuntas de inteligencia, reconocimiento y seguridad
(ISR) y la preparación del entorno operacional del ciberespacio.
Las ISR en el ciberespacio incluyen actividades dirigidas a la
adquisición de inteligencia de objetivos y sistemas adversarios que
pueden requerirse para apoyar futuras operaciones. Esto incluye
identificación de datos, software, configuración de redes y sistemas
e identificadores o estructuras físicas conectadas a, o asociadas
con, la red para fines de determinación de las vulnerabilidades del
sistema.
La adquisición de información en el ciberespacio se emplea
principalmente para apoyo a las ciberoperaciones ofensivas. De esta
forma, la adquisición de información en el ciberespacio se emplea
fuera de la red de mando y control, coordinándose y eliminándose
conflictos dentro de la red.
• Operaciones Defensivas en el Ciberespacio (DCO): Son operaciones
en el ciberespacio tanto activas como pasivas, con el propósito de
preservar la capacidad para utilizar las capacidades propias del
ciberespacio y proteger los datos, redes, capacidades no centrales y
otros sistemas. Las Fuerzas Armadas conducen las DCO en todo el
rango de operaciones militares detectando, identificando y respondiendo
a los enemigos y adversarios que lleven, o traten de llevar a cabo,
acciones ofensivas contra redes amigas.
22
Las Fuerzas Armadas pueden ser requeridas para reestablecer,
reasegurar, reconstituir o aislar dinámicamente, redes comprometidas o
degradadas para asegurar el acceso a partes específicas del
ciberespacio que se utilicen por el sistema de mando de misión propio.
Existen dos tipos principales de DCO:
➢ Acciones de respuesta DCO: Son medidas defensivas,
autorizadas y deliberadas, o actividades tomadas fuera de la red
defendida, para proteger y defender las capacidades de los sistemas
propios en el ciberespacio. Utilizan sensores y capacidades
diversas.
Las acciones de respuesta DCO pueden llegar al nivel de daño físico
o destrucción de los sistemas del enemigo o adversario. En esta
situación, las acciones de respuesta DCO pueden requerir
adquisición de información del ciberespacio de la misma manera que
la requieren las OCO. Por ello, las acciones de respuesta requieren
una integración y coordinación deliberada para asegurarse que los
efectos deseados se crean y consiguen en el lugar y momento
adecuado, en apoyo de los objetivos.
Las acciones de respuesta DCO pueden implicar contramedidas, las
cuales se diseñan para identificar la fuente de la amenaza a la red
de Mando y Control y usar técnicas no intrusivas para parar o mitigar
la amenaza.
Medidas defensivas internas: Las medidas defensivas internas
son aquellas DCO que se llevan a cabo dentro de las redes del DoD.
Pueden implicar medidas de contra reconocimiento dentro de la red
u otra del DOD, para localizar amenazas internas y responder a
actividades no autorizadas.
Para ayudar en la defensa de la red de datos, éste usa el concepto
de defensa en profundidad, que incorpora un modelo de capas para
23
la implementación de herramientas defensivas y procedimientos.
Como mínimo, esto incluye un router perimetral, un firewall, un
sistema de detección de intrusiones o sistema de protección de
intrusiones, un servidor de nombres de dominio, un proxy web y un
sistema de seguridad basado en host que bloquee, engañe o
redireccione la amenaza.
2. Ciberguerra
Es frecuente referirse a los distintos espacios en que tiene lugar la guerra y
en los que consecuentemente tienen lugar ataques, explotación y defensa,
como “guerras”, de esta forma aparecen conceptos como guerra naval, guerra
aérea, guerra terrestre y así de igual modo, aparece el concepto de “guerra
cibernética” o “ciberguerra”; es en ese sentido, que para Gómez A. (2014), la
ciberguerra es:
Donde las confrontaciones y conflictos que tienen lugar en el ciberespacio
no ocurren necesariamente en el contexto de una guerra, ni siquiera en una
confrontación específica. Por ello “el término ciberguerra es algo más
descriptivo y representa la lucha entre dos estados o fracciones de los
mismos, que tiene lugar en el ciberespacio (p.33)
Figura Nº 03 – “El Ciberespacio, el quinto dominio de la guerra”
Fuente: Propia del Autor.
24
La ciberguerra utiliza medios específicos para moverse, desenvolverse y
combatir en este entorno virtual. En este combate no utiliza vehículos, fragatas
o aviones como en el campo de batalla real, estos son muy diferentes a los
utilizados normalmente en el hogar o las empresas, ya que no basta solo con
conectarse a internet y tratar de entrar en un computador u obtener información
de usuarios y claves. Los medios que utilizan son diseñados y configurados
específicamente para combatir en este nuevo escenario virtual, utilizando
computadoras, teléfonos, tabletas y hardware robusto con sistemas operativos
y aplicaciones especialmente programadas para no ser detectadas.
Una agresión promovida por un Estado y dirigida a dañar gravemente las
capacidades de otro para imponerle la aceptación de un objetivo propio o,
simplemente, para sustraer información, cortar o destruir sus sistemas de
comunicación, alterar sus bases de datos, es decir, lo que habitualmente hemos
entendido como guerra, pero con la diferencia de que el medio empleado no
sería la violencia física sino un ataque informático que va desde: La infiltración
en los sistemas informáticos enemigos para obtener información hasta el
control de proyectiles mediante computadores, pasando por la planificación de
las operaciones, la gestión del abastecimiento, etc. (Colle, 2000, p.17).
Figura Nº 04 – “Ciberguerra entre Naciones”
Así mismo para Sánchez G. (2008) “Hay que puntualizar, la ciberguerra es
la utilización de todas las herramientas electrónicas e informáticas para
derrumbar los sistemas electrónicos y de comunicación del enemigo y
mantener operativos los propios” (p.15). En todo caso, si tuviéramos que
enumerar las características de una guerra cibernética para Thomas T. (2001)
serian:
25
La Complejidad, Asimetría, Objetivos limitados, Corta duración, menos
daños físicos para los soldados, mayor espacio de combate y menor densidad
de tropas, transparencia, lucha intensa por la superioridad de la información,
aumenta la integración, mayores exigencias impuestas a los comandantes,
nuevos aspectos de la concentración de fuerzas, reacción rápida, e igual de
devastadora que una guerra convencional (p 72-79).
Pero tal vez, de todas ellas, la más importante sea la de asimetría, porque
la guerra cibernética proporciona los instrumentos necesarios para que los más
pequeños puedan enfrentarse, incluso vencer y mostrarse superiores a los más
grandes, con unos riesgos mínimos para ellos, sólo siendo necesario un
ordenador y unos avanzados conocimientos informáticos. Más, cuando los
objetivos de este tipo de guerra son:
• Dañar un sistema o entidad hasta el punto en que ya no puede funcionar ni
ser restaurado a una condición útil sin que lo reconstruyan por completo.
• Interrumpir o romper el flujo de la información.
• Destruir físicamente la información del adversario.
• Reducir la efectividad o eficiencia de los sistemas de comunicación del
adversario y sus capacidades de recolección de información.
• Impedir al adversario acceder y utilizar los sistemas y servicios críticos.
• Engañar a los adversarios.
• Lograr acceder a los sistemas del enemigo y robarles información.
• Proteger sus sistemas y restaurar los sistemas atacados.
• Responder rápidamente a los ataques o invasiones del adversario.
3. Ciberguerreros
Son Individuos que con su conocimiento pueden diseñar programas y
ciberarmas capaces de infiltrar el sistema de ya sea una organización o
entidad, y con esto acceder a información confidencial, colocar bombas
lógicas y sabotear el correcto funcionamiento de los flujos de información ya
sea de una página de internet, hasta el funcionamiento de la red eléctrica de
una ciudad o hasta un país entero (Vargas E, 2014, p.5).
26
Muchos pueden definir a los ciberguerreros como los individuos que
realizan estas acciones y están adscritos a la fuerza militar de un Estado
determinado; sin embargo, no son los únicos en capacidad de conocer
software y hardware y ocasionar daños importantes, también existen
comunidades de “geeks”, que son personas interesadas en el estudio de
software y hardware, las cuales se especializan en detectar fallos de
sistemas operativos y demás software; unos con propósitos académicos,
otros con el fin de perjudicar empresas y gobiernos”.
Figura Nº 05 – “Entrenamiento de Ciberguerreros”
Fuente: Agencia DARMA – “USA”
Una nueva amenaza global apunta a la seguridad de los Estados, esta vez
no se trata del gobierno de Estados Unidos, el policía del mundo, que impone
mediante las armas su democracia y su libertad a naciones sometidas y
pueblos marginados. Ahora la amenaza es más sofisticada, más sutil, no usa
armas ni municiones ni ejércitos, se trata de la guerra cibernética que infiltra
todos los sistemas tecnológicos y es capaz de someter gobiernos, quebrar
economías y desquiciar a grupos sociales (Badillo M, 2011, p.1)
Por lo tanto, según lo expresado anteriormente, Caro J. (2011, P. 72), hace
una clasificación de los tipos de atacantes que se encuentran en el
ciberespacio.
• Atacantes patrocinados por Estados
• Servicios de Inteligencia y Contrainteligencia
• Terrorismo, extremismo político e ideológico
• Ataques de delincuencia organizada
• Ataques de perfil bajo
27
Por esta razón, los países industrializados y que están a la vanguardia en
tecnología, como Estados Unidos, Rusia, China entre otros, buscan ostentar el
dominio del ciberespacio tanto para el ataque como para la defensa teniendo
en cuenta que el factor tiempo en el ciberespacio da un intervalo desde un par
de minutos hasta milésimas de segundo para realizar un ataque (Caro J, 2011,
P. 74). Para ello, un ciberguerrero puede emplear distintos métodos para
acceder a los sistemas y conseguir su cometido. Por eso, Joyanes L. (2011)
enumera los siguientes:
• Stuxnet
Gusano informático que afectó a equipos Windows, descubierto en junio de
2010. Es el primer gusano conocido que espía y reprograma sistemas
industriales del tipo SCADA (Supervisory Control And Data Acquisition) de
control y monitorización de procesos, pudiendo afectar a infraestructuras
críticas como centrales nucleares. Stuxnet es capaz de reprogramar
controladores lógicos programables (PLC) de la marca SIEMENS y ocultar
los cambios realizados, siendo considerado a nivel mundial como: “Un
prototipo funcional y aterrador de un arma cibernética que conducirá a la
reacción de una nueva carrera armamentista mundial para Ciberataques”.
• DDoS
Los ataques DDoS (Distributed Denial of Service) son los ataques más
comunes que puede tener una página web, que consiste en saturar los
servidores web de una institución hasta el punto que esta misma colapse,
para esto se utilizan computadoras que se encuentren infectadas por virus
(botnets) haciendo que se cree una red, en esta red de computadoras
infectadas, los usuarios no se dan cuenta que hacen parte del ataque.
• Botrnets
Los botnets (robots de la Red) son redes de computadoras utilizadas para
dirigir un ataque DDoS. Esto se da, cuando una persona del común abre un
correo basura o Spam, este correo se encuentra infectado de virus haciendo
que la maquina este a merced de los hackers o ciberguerreros. Joyanes
(2011) indica que este tipo de ataque es utilizado con el fin de espiar
corporaciones e instituciones gubernamentales.
28
• Zeus
Es un virus comúnmente conocido como troyano que se encarga de ingresar
a las computadoras de los usuarios con el fin de obtener contraseñas de
redes sociales, información bancara entre otra con el fin de realizar acciones
de suplantación y robos a cuentas bancarias tarjetas de crédito etc.
En el mundo se realizan alrededor de 362.600.000 ciberataques en el año
(BBC mundo. 15 de Marzo 2013), es en ese sentido que nuestro país no es
ajeno a este tipo de ataques cibernético.
Si bien el Perú es un estado que como otros estados está inmerso en la
posibilidad de ser víctima de ataques cibernéticos, por la experiencia dejada
por el terrorismo, debemos ser mucho más cuidadosos a la hora de emprender
la laboriosa tarea de legislar los delitos informáticos, crear directivas en
ciberdefensa y crear mecanismo de ciberseguridad. (Parra R, 2016, p. 25)
Según diferentes medios de comunicación se informado, que el Perú ha sido
víctima de un grupo de hacktivistas denominados ANONYMOUS, a
continuación, mencionaremos algunos ataques cibernéticos atribuidos a este
grupo:
➢ “Anonymous atacó varios sitios web del Estado Peruano”. Los sitios web
de diversas páginas del Estado Peruano sufrieron esta tarde el ataque de
Anonymous, un colectivo internacional integrado por hackers que ha
atacado páginas de todo el mundo. (El comercio, 09 Set 11)
➢ “Anonymous filtra 1000 documentos del Gobierno Peruano”. Como parte
de la operación @OpCensorThis se publicaron los mencionados correos
en donde se difunde el rol de entrega de valijas diplomáticas que se
enviaron a Chile, Argentina, Ecuador, etc, desde nuestro país, se publicó
también el nombre de los funcionarios responsables del cuidado de las
valijas (Perú 21, 07 Feb 12).
➢ “Anonymous ataca a la División de Delitos de Alta Tecnología de la
DIRINCRI”. Solo publica 200 correos personales (Perú.com, 04 Mar 12).
29
➢ “Anonymous Hackea a empresa de agua Sedalib”. Ataque realizado en
protesta por malos servicios y publicidad en burla de clientes por parte de
esta compañía de agua (RPP.COM.PE, 08 Jul 13).
➢ “Anonymous Perú Hackea web de entidades estatales”. Se atacaron las
webs de la Presidencia de la República del Perú, de la Región Lima,
Huánuco y de las municipalidades de Carabayllo, Independencia y Ancón.
(CAPITAL.PE, 28 Jul 13).
➢ “Anonymous Perú Hackeo web de la Municipalidad de Lima”. El servidor
web de la comuna dejó de funcionar aproximadamente a las 11:00 p.m.
Minutos después, Anonymous Perú escribió en Twitter “Tango Down”, una
jerga militar que se utiliza cuando un enemigo ha sido abatido durante un
conflicto. Pasadas las 7 a.m., el sitio web aún seguía inoperativo
(ELCOMERCIO.COM.PE, 06 Mar 15).
➢ “RENIEC niega hackeo de su base de datos, pero Anonymous ratifica
ataque”. Después de que Anonymous Perú asegurara que vulneró la
seguridad de los servidores del Registro Nacional de Identificación y Estado
Civil (RENIEC) y que se apropió de toda su base de datos, la institución
descartó tal violación. (LAPRENSA.PERU.COM, 13 Mar 15).
Es así como podemos apreciar que el Perú, no es ajeno a este tipo de
incidentes, y mucho menos nuestra institución que maneja información
clasificada; es por eso, que hay tomar las muy en serio las recomendaciones
dadas por las organizaciones internacionales; así como, implantar mecanismos
de control y seguridad a nuestra información.
4. La Ciberdefensa
La OTAN en noviembre de 2010, junto a los ministros de Defensa, aprobaron
el nuevo concepto de ciberdefensa; en junio de 2011 aprobaron la política de
ciberdefensa y un Plan de Acción de Ciberdefensa; La OTAN, ha definido la
ciberdefensa como: “la aplicación de medidas de seguridad para proteger
las infraestructuras críticas de los sistemas de información y
comunicaciones frente a los ciberataques.”
30
El Ejercito del Perú no es ajeno a este concepto, y a través de Dirección de
Telemática y Estadística del Ejercito lo define de la siguiente manera:
Son todas las actividades ofensivas y defensivas en las que se utilizan
como medio aquellos relacionados con las infraestructuras TIC (ejemplo:
redes de ordenadores, ordenadores, programas informáticos, etc.), y cuyo
campo de batalla es el ciberespacio. Las actividades de desarrollo de la
Ciberdefensa van encaminadas hacia la capacitación de los gobiernos y
naciones en la denominada ciberguerra. (LSICEP, 2015, p. 17)
La ciberdefensa es un ámbito de la seguridad nacional en el que los Estados
deberán tomar determinadas medidas, que deberán ejecutarse en coordinación
con los sectores públicos y privados, ser compatibles con los derechos y
libertades individuales, ser coordinadas con otras acciones tomadas para
responder a otras modalidades de agresión, establecer sistemas de respuesta
a los ciberataques y fomentar la cooperación internacional. (Zea ,2013)
Adicionalmente se ha considerado algunas definiciones internacionales que
nos indica la OTAN, de acuerdo a sus países miembro.
Nato : North Atlantic Treaty Organization
Una medida proactiva para detectar u obtener información sobre una
intrusión cibernética, ataque cibernético o operación cibernética inminente o
para determinar el origen de una operación que implica el lanzamiento de una
contra acción preventiva, preventiva o cibernética contra la fuente.
(NATO.INT,22 SET 16)
Belgium
La aplicación de medidas de protección efectivas para obtener un nivel
apropiado de Seguridad Cibernética con el fin de garantizar el funcionamiento
y las funcionalidades de la Defensa. Esto se logra mediante la aplicación de
medidas de protección adecuadas para reducir el riesgo de seguridad a un nivel
aceptable. Ciberdefensa consiste siguientes funciones: proteger, detectar,
responder y recuperar (Ferreyra M, 2015, p.7)
31
Desarrollo de la Ciberdefensa Militar
Para Hernández A. & Candon A. (2013), La Ciberdefensa Militar consta
básicamente de tres capacidades:
• La "Capacidad de Defensa" es el conjunto de sistemas, infraestructuras,
personal y medios de apoyo logístico, asentados sobre unos principios y
procedimientos doctrinales para la ejecución y mantenimiento de acciones y
actividades orientadas a la protección de los sistemas de información y
comunicaciones, y la información que manejan, frente a ciberataques y su
recuperación en caso de fallo o inutilización, parcial o total. Incluye
actividades de anticipación, prevención, monitorización, análisis, detección,
resistencia y recuperación frente a intrusiones, perturbaciones,
interrupciones o cualquier acción no autorizada que comprometa la
información y los sistemas propios.
• La "Capacidad de Explotación" es el conjunto de sistemas,
infraestructuras, personal y medios de apoyo logístico, asentados sobre
unos principios y procedimientos doctrinales para la ejecución y
mantenimiento de acciones y actividades orientadas a la obtención de
información sobre las capacidades cibernéticas de defensa, explotación y
respuesta de potenciales adversarios y agentes hostiles. Incluye actividades
de recopilación, análisis, valoración y explotación de información.
• La "Capacidad de Respuesta" es el conjunto de sistemas, infraestructuras,
personal y medios de apoyo logístico asentados sobre unos principios y
procedimientos doctrinales para la ejecución y mantenimiento de acciones y
actividades orientadas a la realización de ciberataques como defensa frente
a amenazas y ataques. Incluye actividades de perturbación, denegación de
uso, degradación o destrucción de información, servicios o sistemas de
información y comunicaciones de potenciales adversarios y agentes hostiles.
32
Elementos Necesarios para una Ciberdefensa Efectiva.
De acuerdo al departamento de Defensa de los Estados unidos, a en sus
diversas publicaciones como: “Information Operations 3-13, US-
Cybercommand,” no da una idea, de los elementos mínimos necesario que se
deben de considerar para realizar una ciberdefensa efectiva ante cualquier
amenaza que se pueda producir:
• Crear un equipo de respuestas ante incidentes (CSIRT).
Todos los especialistas en Tecnologías de la Información (TI), deben
saber cómo actuar en caso de un incidente. El CSIRT (Computer Security
Incident Response Team) deberá realizar la mayoría de las acciones en
respuesta ante un incidente, pero todo el personal de TI debe saber cómo
informar los incidentes internamente en la institución. Los usuarios finales
deben informar de cualquier actividad sospechosa al personal de TI
directamente o a través de un personal de asistencia, no directamente al
CSIRT.
Cada miembro del equipo debe revisar el plan de respuesta ante
incidentes detalladamente. El hecho de que el plan sea fácilmente accesible
para todo el personal de TI ayuda a garantizar que, cuando se produzca un
incidente, se seguirán los procedimientos correctos. El personal debe tener
la capacidad técnica de distinguir entre un ataque real de uno falso positivo.
El mejor motor de correlación es la experiencia del analista ante estos
ataques.
Para elaborar un plan satisfactorio de respuesta ante incidentes se deben
seguir los siguientes pasos:
➢ Realizar una evaluación inicial.
➢ Comunicar el incidente.
➢ Contener el daño y minimizar el riesgo.
➢ Identificar el tipo y la gravedad del ataque.
➢ Proteger las pruebas.
➢ Notificar a los organismos externos, si corresponde.
➢ Recuperar los sistemas.
33
➢ Compilar y organizar la documentación del incidente.
➢ Valorar los daños y costos del incidente.
➢ Revisar las directivas de respuesta y actualización.
• Disponer de tecnología que le permita analizar “anomalías” y
monitorización
Estamos hablando de SIEM (Security Information and Event
Management), registro de actividad, gestión de logs (Registro de eventos en
los computadores durante un período) que permita la recopilación de
eventos, normalización, correlación y respuesta a incidentes, inventario,
despliegue de sensores y alarmas.
Los sistemas de seguridad tienen que ser diseñados a medida,
permitiendo:
➢ Automatizar la detección de nuevas amenazas.
➢ Automatizar el proceso de análisis de ataques.
➢ Creación de firmas de ataques en tiempo real.
➢ Auditoría automática del estado de seguridad de las redes.
➢ Apoyar el proceso de respuesta ante incidentes de seguridad.
➢ Proporcionar estadísticas de ataques contra las redes.
• Equipos de defensa y ataque:
Es fundamental disponer de técnicas que puedan entretener al atacante,
desviando su atención en un entorno trampa y poder aprender qué es lo que
busca y cómo lo hace. Por lo tanto, es muy importante tener un equipo
multidisciplinario que permita llevar a cabo “el factor sorpresa” o bien la
preparación de un entorno donde repeler el ataque.
Para ello es necesario que los componentes del equipo de cibersoldados
dispongan de lo siguiente:
➢ Formación técnica especializada.
➢ Arquitectura de redes.
➢ Programación en diversos lenguajes.
34
➢ Exploits.
➢ Ingeniería inversa.
➢ Conocimientos en arquitectura de seguridad e instalación de redes trampa
(honeypots, honeynets) que incluyan:
• Creación de un segmento de red idéntico a la producción.
• Programar eventos que respondan ante ataques determinados.
• Cambiar datos ficticios muy a menudo para que sea lo más idéntico al
original (tarea compleja pero muy efectiva).
• Una buena formación en forensics, antiforensics y en productos SIEM
comerciales o no.
• Una buena “box” de 0-Days. (ataque contra aplicaciones o sistemas
que tiene como objetivo la ejecución de código malicioso gracias al
conocimiento de vulnerabilidades)
5. La Ciberseguridad
Actualmente uno de los países de la región que marca la pauta, con respecto
a los avances de la ciberseguridad y ciberdefensa es Colombia, según su
experiencia define a la ciberseguridad como: “La capacidad del Estado
para minimizar el nivel de riesgo al que están expuestos sus
ciudadanos, ante amenazas o incidentes de naturaleza cibernética”.
(MTIC, 2014, p. 4; Otra definición que nos brinda la UIT (2010) es:
Conjunto de herramientas, políticas, salvaguardas de seguridad,
directrices, métodos de gestión de riesgos, acciones, formación, prácticas
idóneas, seguros y tecnologías que pueden utilizarse para proteger los
activos de la organización y los usuarios en el ciberentorno. Los activos de
la organización y los usuarios son los dispositivos informáticos conectados,
los usuarios, los servicios/aplicaciones, los sistemas de comunicaciones, las
comunicaciones multimedios, y la totalidad de la información transmitida y/o
almacenada en el ciberentorno.
35
Así mismo Leiva L. (2015). La define como: La capacidad de controlar el
acceso a las redes, sistemas de información y todo tipo de recursos de
información. Es decir, donde los controles de Ciberseguridad son eficaces y
el ciberespacio es considerado confiable, flexible y seguro para las
Infraestructuras Críticas de Información. Sin embargo, donde los controles
de Ciberseguridad están ausentes, incompletos, o mal diseñados, el
ciberespacio es considerado como tierra de nadie” (p.6).
Adicionalmente, se ha tomado los conceptos de algunos países miembro
de la OTAN en cuestión de ciberseguridad:
AUSTRALIA
Las medidas relativas a la confidencialidad, disponibilidad e integridad de la
información que se procesa, almacena y comunicada por medios
electrónicos o similares. (NATO.INT,22 SET 16).
FRANCIA
El estado deseado de un sistema de información en el que se puede resistir
eventos desde el ciberespacio que podrían poner en peligro la disponibilidad,
integridad y confidencialidad de los datos almacenados, procesados o
transmitidos y de los servicios relacionados que estos sistemas ofrecen o
hacen accesibles. (NATO.INT,22 SET 16)
Prevenir, detectar, responder y recuperarse se señalan como los objetivos
de la Ciberseguridad, pero tradicionalmente el objetivo principal fue prevenir
que se concrete un ataque exitoso; Sin embargo, todos los profesionales de
seguridad son conscientes de que simplemente no es posible evitar todos
los ataques y que debe existir una planificación y preparación que incluya
métodos para detectar ataques en progreso, preferentemente antes de que
causen daño.
36
En general se podría decir que la Ciberseguridad se refiere a métodos de
uso, procesos y tecnologías para prevenir, detectar y recuperarse de daños
a la confidencialidad, integridad y disponibilidad de la información en el
ciberespacio. (Leiva E. ,2015, p.7)
Todas las partes involucradas en la ciberseguridad, ya sea un usuario
individual de internet, un pequeño negocio, una institución, organismos
públicos o empresas privadas, deben decidir su propia política para
mantener la seguridad en el ciberespacio y estas deben estar directamente
correlacionadas entre sí y responder a una Estrategia Nacional de
Ciberseguridad de nivel superior con una misión y un propósito como nación.
El desarrollo de Políticas o Estrategias de Ciberseguridad no es una tarea
fácil, y no se basa solo en la aplicación de la ley, la gestión y la tecnología,
requiere una forma consensuada y armoniosa de actuar y resaltar la
necesidad de innovación.
Las naciones abordan el concepto de Ciberseguridad con distintos
enfoques, pero se debe tener en cuenta que enfrentan un mismo conjunto
de amenazas y que se deberían emplear actividades de coordinación, como
definiciones internacionales, Es en ese sentido que a continuación se
presenta los principales aspectos en los que se enfocan la mayoría de los
países que tienen implementadas sus estrategias Nacionales de
Ciberseguridad (ENCS), para afrontar los riesgos del ciberespacio:
37
Tabla Nª 01
Estrategia Nacional de Ciberseguridad
Bloque Geopolítico Anglosajón Unión Europea OEA
País CAN ENG USA ALE FRA ESP EST JPN RUS COL BRA CHI ARG
Pro
tec
ció
n Infraestructuras Criticas X X X X X X X X X X X X X
Economía X X X X X
Seguridad Nacional X X X X X X X X
Bienestar Social X X X X X X X X X
En
foq
ue Concientización X X X X X X X
Conocimiento X X X X
Educación X X X X X X
Capacidades cibernéticas X X X X X X
Se
ct
Pu
bl
ico
Liderazgo X X X X X X X X X X X X
Marco jurídico X X X X X X X X
Se
c.
Pri
v
Participación en la estrategia
X X X
X X X X X X X X
Co
op
Inte
r Cooperación en su grupo X X X X X X X X
Cooperación con otros países
X X X X X X X X X X X X X
Fuente: Leiva E. (2015). Estrategias Nacionales de Ciberseguridad. Pág 12.
• Protección de:
➢ Infraestructura crítica de información ICI: Es el conjunto de
computadoras, sistemas computacionales, redes de
telecomunicaciones, datos e información, cuya destrucción o
interferencia puede debilitar o impactar en la seguridad de una nación.
➢ Economía: se refiere a la presencia de la economía en el ciberespacio,
es una forma de organizar el intercambio de bienes y servicios empresa-
empresa, empresa-cliente, sin importar su ubicación geográfica, ni las
diferencias de tiempo. Las actividades más desarrolladas son
Ecommerce/E-business.
➢ Seguridad Nacional: noción de relativa estabilidad, calma y seguridad,
beneficiosa para el desarrollo de un país, así como la implementación de
los recursos y estrategias para conseguirla (principalmente a través de
la defensa nacional).
➢ Bienestar Social: conjunto de factores que participan en la calidad de
vida de las personas y que hacen que su existencia posea todos aquellos
elementos que dan lugar a la tranquilidad y satisfacción humana.
38
• Enfoque de la estrategia/política hacia:
➢ Concientización: campaña que se realiza con el objeto de que la
sociedad tome conciencia sobre los riesgos individuales (privacidad e
intimidad) y colectivos (seguridad nacional, prosperidad económica,
social y cultural) que se derivan de un uso inadecuado del ciberespacio.
➢ Conocimiento: mantener un estado avanzado de conocimiento de la
tecnología y de la situación del ciberespacio, establecer la vigilancia
tecnológica en materia de Ciberseguridad que garantice la obtención de
conocimiento y la promoción de proyectos de cooperación para lograr
una integración y el máximo aprovechamiento de las oportunidades, los
recursos y los avances internacionales.
➢ Educación: incorporar materias relacionadas con la Ciberseguridad en
los planes de educación, esta formación debe iniciarse a temprana edad
(educación primaria) y ser ampliada a lo largo de la educación
secundaria, universitaria y post-universitaria. El objeto de iniciar la
educación a temprana edad pretende, por un lado, homogeneizar los
conocimientos en el uso de las nuevas tecnologías, así como su uso
responsable, y por otro lado, identificar a los futuros ‘cibertalentos’.
➢ Capacidades cibernéticas militares: Capacidad de las fuerzas
armadas de un país para prevenir y contrarrestar toda amenaza o
incidente de naturaleza cibernética que afecte la soberanía nacional.
• Participación del sector público en la estrategia/política:
➢ Liderazgo: el ámbito y la complejidad de los desafíos del ciberespacio
requieren, además de un liderazgo nacional, la adecuada coordinación
de las capacidades, recursos y competencias involucradas. Ambas
exigencias deben ser asumidas por el gobierno quien dirigirá y
supervisará la Estrategia/Política de Ciberseguridad Nacional.
➢ Marco Jurídico: contar con un marco legislativo fuerte en el área de
ciberseguridad, que trate los diferentes tipos de delitos tanto a nivel
nacional como internacional. Además de la existencia de un marco
regulatorio para la implementación de la Estrategia Nacional de
Ciberseguridad.
39
• Participación del sector privado en la estrategia/política:
➢ Participación en la estrategia/política: los actores en sectores claves
como energía, transportes, entidades financieras, bolsas de valores,
proveedores de servicios de internet, entre otros deben evaluar los
riesgos que les afectan y mediante una adecuada gestión de los mismos
asegurar que los sistemas de información y las redes son fiables y
resistentes. Además, deben asumir el compromiso de compartir la
información con las autoridades gubernamentales competentes en
materia de Ciberseguridad.
• Cooperación internacional:
➢ Cooperación en su grupo: se denomina grupo en este caso a un
bloque geopolítico, que es la distribución conformada por países que
comparten cierta extensión de tierra, panorama económico, político y
cultural imperante. También se basa en la influencia que tiene un país
sobre los demás, respecto del poder político, económico, militar, y que
puede llegar a influenciar en la toma de decisiones de un país.
➢ Cooperación con otros países: la globalización tecnológica, sus
oportunidades y sus riesgos obligan a alinear las iniciativas de todos los
países que persiguen un ciberespacio seguro y confiable. Estos
esfuerzos internacionales han de contemplar la elaboración y adopción
de estándares globales, la expansión de la capacidad del sistema
jurídico internacional y el desarrollo y la promoción de las mejores
prácticas para generar sistemas de alerta y de respuesta a los
ciberataques.
Diferencia entre Ciberdefensa y Ciberseguridad
Para el autor Gomez A (2014), La ciberdefensa y la ciberseguridad no
deben ser actividades aisladas, sino que deben estar incluidas en la
defensa nacional y por lo tanto en la defensa militar, en la protección de
infraestructuras críticas y los sistemas de mando y control. (p.45).
40
Para ello se debe entender que los conceptos de ciberdefensa y
ciberseguridad persiguen objetivos diferentes en cuanto a lo que permiten
desarrollar y su finalidad. Es así que al analizar ambos elementos se puede
concluir que la ciberseguridad busca el desarrollo y aseguramiento de
prácticas, para minimizar los riesgos, amenazas y vulnerabilidades de los
sistemas informáticos tanto públicos como privados, en cambio la
ciberdefensa busca el desarrollo y aseguramiento de capacidades, para la
protección de infraestructuras críticas, sistemas de mando y control, que
permitan el normal desarrollo de las operaciones militares y un uso seguro
del ciberespacio, como se describe a continuación:
Figura Nº 06 – “Principales aspectos de la ciberseguridad y ciberdefensa”
Fuente: ISACA, J.Cano PhD, Seminario Internacional, Ciberdefensa y Ciberseguridad, España 2013
Si analizamos la ciberseguridad y la ciberdefensa desde un punto de
vista sistémico, se puede concluir que el recurso humano es la base para
generar una ciberseguridad y ciberdefensa efectiva, el que ejecuta las
acciones a través de los sistemas de información interconectados a la red
internet.
Estas actividades deben estar definidas por la ciberseguridad a través
de las prácticas de seguridad de los sistemas principales tanto públicos
como privados, para posteriormente, complementados con la ciberdefensa,
desarrollar la capacidad de defensa ante ataques informáticos, dando
41
protección a las ICs (Sistema de Control Industrial) y sistemas de M&C
(Sistema de Comando y Control). Este proceso entrega a la ciberdefensa
una capacidad de soporte a la ciberseguridad, la que permitirá articular las
prácticas de seguridad a través del personal de profesionales en TI.
Figura Nº 07 – “Vista Sistémica de Ciberseguridad y Ciberdefensa”
Fuente: ISACA, J.Cano PhD, Seminario Internacional, Ciberdefensa y Ciberseguridad, España 2013
6. Protección de la Información
Para poder entender en que consiste la protección de la información es
importante conocer el valor estratégico de la información que según
Gutiérrez (2003) menciona:
Que es conocido que vivimos en la era de la información, muchas
organizaciones gestionan informaciones a gran volumen, para ellas es un
activo valioso como tal valor la información debe ser custodiada con el
máximo cuidado porque, sin lugar a duda, será buscada por otros. En otras
palabras, al ser las diferentes informaciones elementos valiosos que son
apetecidos por terceros, decidimos que la información está sometida a
amenazas. (p. 4).
Es en ese sentido, que según la NTP‐ISO/ IEC 17799 (2005) menciona:
La seguridad de la información es la protección de la información de un
rango amplio de amenazas para poder asegurar la continuidad del negocio,
minimizar el riesgo comercial y maximizar el retorno de las inversiones y las
42
oportunidades comerciales”. La seguridad de la información se logra
implementando un adecuado conjunto de controles; incluyendo políticas,
procesos, procedimientos, estructuras organizacionales y funciones de
software y hardware. Se necesitan establecer, implementar, monitorear,
revisar y mejorar estos controles cuando sea necesario para asegurar que
se cumplan los objetivos de seguridad y comerciales específicos. (p.8).
Desde el punto de vista de Gutiérrez (2003): Cuando se trata de proteger
el recurso información, hay que tener en cuenta que la información puede
existir en la mente humana, en un documento, o en forma electrónica en un
sistema de información y comunicaciones, y por tanto, hay que abordad el
problema de la seguridad de la información bajo estos tres aspectos. (p.12)
Figura Nº 08 – “Infografía de la Protección de la Información”
Fuente: Instituto Nacional de Ciberseguridad de España.
https://www.incibe.es/protege-tu-empresa/que-te-interesa/proteccion-informacion
43
7. Comando de Personal del Ejército del Perú (COPERE).
El Comando de Personal del Ejercito fue creado el 12 junio 1981 mediante
el Decreto Legislativo N°130 – Ley Orgánica del Sector Defensa., cuya
función general es “Asesorar al Comandante General del Ejército en las
actividades relacionadas con la preparación y desarrollo del Ejército en el
campo de Personal y administrar sus recursos humanos, considerando a la
persona como el principal elemento de la organización”.
Figura Nº 09 – “Organigrama del COPERE”
Fuente: Propia del Autor
El COPERE a través de sus diferentes sistemas de información ayuda al
personal de administradores de los diferentes jefaturas, sub jefaturas y/o
departamentos a desempeñar sus funciones diarias en forma eficiente, en
dichos Sistemas de Información y Bases de Datos, es donde se ingresa,
modifica, trasmite o almacena la información referente a estructura orgánica
del Ejercito, efectivos de Personal Militar y Civil y datos personales y
remunerativos de sus integrantes, los cuales pueden ser de carácter
“Secreto”, “Confidencial” o “Reservado”; es por tal motivo, que si esta
información seria extraída sin autorización por personas ajenas a la
institución, ocasionaría un riesgo potencial de seguridad.
44
Figura Nº 10 – “Sistemas de Información del COPERE”
Fuente: Propia del Autor
2.2.1.2. Principios Básicos.
Se ha considerado necesario precisar Principios Básicos relacionados
con la CIBERDEFENSA Y SU INCIDENCIA CON LA PROTECION DE LA
INFORMACION EN EL EJERCITO DEL PERU. CASO: COPERE 2014-2015,
las cuales se encuentran contenidas en las estrategias nacionales de
ciberseguridad de los principales países de Sudamérica, unión europea y
anglosajón que vienen destacando en materia de ciberseguridad; como parte del
Marco referencial, que va a servir como patrón comparativo, a manera de
modelo, para analizar la situación encontrada en la realidad actual del estudio
(Resultados), al respecto se ha considerado a los siguientes principios básicos.
Todos los principios básicos al interior del marco teórico entre otros se
han obtenido, de fuentes o autores que gozan de reconocimiento y vigencia en
el campo, todos tienen citas a pie de página; y, los precisamos porque nos
permite entender, con mayor propiedad la temática de la investigación entre los
más representativos son los siguientes:
Principios:
1. Principios de la Seguridad de las Informaciones.
2. Principios de la Ciberseguridad.
3. Principios en los que se debe basar una conciencia de
ciberseguridad.
4. Principios de la Ciberdefensa.
5. Principios de la Guerra cibernética o ciberguerra.
45
Principios básicos de la actividad de CIBERDEFENSA Y SU INCIDENCIA
CON LA PROTECION DE LA INFORMACION EN EL EJERCITO DEL PERU,
contenidos en contenidos en los parámetros constitucionales vigentes, de
conformidad a lo establecido en el Decreto Supremo N° 66-2011-PCM, Plan de
Desarrollo de la Sociedad de la Información en el Perú. La Agenda Digital 2.0-
Objetivo Nº7-Estrategia Nº 4, Directiva de normas y procedimientos técnicos
para garantizar la seguridad de las informaciones publicadas por las entidades
públicas, la Norma Técnica Peruana NTP 17799 “Buenas Prácticas para la
gestión de la seguridad de la información y la política y Estrategia Nacional de
Ciberseguridad propuesta por la “Information Systems Security Association”, la
cual tiene por finalidad de Proteger la infraestructura de la información, los datos
e información del Estado y la tecnología utilizada para su procesamiento, frente
a amenazas internas o externas deliberadas o accidentales, con el fin de
asegurar la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad
de la información en el Perú.
1. Principios de la Seguridad de las Informaciones
Según Alexander A. (2007). La Seguridad de las Informaciones se basa en
la preservación de unos principios básicos, los cuales son enumerados y
definidos por diferentes autores, con algunas variantes. Cada uno de dichos
principios tiene un propósito específico dentro del marco del objetivo de la
seguridad de la Información (p.118). Los cuales son:
• Confidencialidad: Asegurar que la información sea accesible sólo a las
personas autorizadas, Basándose en este principio, las herramientas
de seguridad informática deben proteger el sistema de invasiones y
accesos por parte de personas o programas no autorizados. Este principio
es particularmente importante en sistemas distribuidos, es decir, aquellos
en los que los usuarios, computadores y datos residen en localidades
diferentes, pero están física y lógicamente interconectados.
• Integridad: Salvaguardar la precisión y exactitud de la información en
todo momento, se refiere a la validez y consistencia de los elementos de
información almacenados y procesador en un sistema informático.
Basándose en este principio, las herramientas de seguridad informática
46
deben asegurar que los procesos de actualización estén bien
sincronizados y no se dupliquen, de forma que todos los elementos del
sistema manipulen adecuadamente los mismos datos. Este principio es
importante en sistemas descentralizados, es decir, aquellos en los que
diferentes usuarios, computadores y procesos comparten la misma
información.
• Disponibilidad: Se refiere a la continuidad de acceso a los elementos de
información almacenados y procesados en un sistema informático.
Basándose en este principio, las herramientas de seguridad informática
deber reforzar la permanencia del sistema informático, en condiciones de
actividad adecuadas para que los usuarios accedan a los datos con la
frecuencia y dedicación que requieran, este principio es importante en
sistemas informáticos cuyos compromisos con el usuario, es prestar
servicio permanente.
Figura Nº 11 – “Principios de la Seguridad de Información”
Fuente: http://tecnologia.technology/seguridad-de-la-informacion-
en-la-empresa.htm
2. Principios de la Ciberseguridad
Según Camacho J. (2016). la seguridad de la información cuenta con
tres principios que son muy conocidos en el argot de la ciberseguridad entre
ellos se encuentran: la integridad, la disponibilidad y la confidencialidad.
(p.13). La ciberdefensa pone a consideración tres elementos que robustece
en mayor proporción la buena práctica en la seguridad informática con el
objeto de no generar vulnerabilidades que sean materializadas en riesgos,
entre ellos se encuentran:
47
• Las guías de uso: Se encuentra enmarcado a la seguridad de la
información, estaría emparentado como implantación de los protocolos o
buenas prácticas por medio de la culturización y sensibilización de los
protocolos y políticas, no sirve de nada tener muy buenos softwares,
hardware y algoritmia propia si se vulnera todo internamente con
herramientas que generan riesgos en un sistema, como redes sociales,
whatsapp, entre otros o que el usuario final no sepa utilizar estas
herramientas.
• Herramientas: Ayudan a prevenir, detectar y neutralizar softwares
potencialmente maliciosos, es de tener en cuenta que estas herramientas
pueden ser realizadas a la medida o necesidad de una empresa, se utiliza
de igual forma en seguridad de la información como en ciberdefensa, y es
recomendable utilizar tecnología de fuentes abiertas y fortificarla con
personal especializado en el tema.
• La algoritmia propia: Minimiza el riesgo de que el intruso o hacker pueda
acceder a la información, y que los documentos físicos y digitales no sea
difundid a terceros en caso de que la información sea confidencial o muy
sensible a esto se refiera que tenga un grado de clasificación. La
algoritmia propia permite que al ser realizada por los propios funcionarios
de una empresa u organización esta no tenga puertas abiertas y hagan
espionaje o la roben por la vulnerabilidad anteriormente mencionada.
Figura Nº 12 – “Principios de la Ciberseguridad”
Fuente: Propia del Autor
48
Así mismo, según Unión Internacional de Telecomunicaciones (2007.),
Los principios fundamentales a los que debe referirse toda acción
emprendida en nombre de la realización de la ciberseguridad son los
siguientes:
• Principio de vocabulario: Necesidad de acordar un idioma común de
definición de la seguridad.
• Principio de coherencia: La ciberseguridad resulta de la integración
armoniosa de las herramientas, mecanismos y procedimientos
vinculados a la prevención, detección, protección y corrección de los
siniestros relativos a fallos, dolo o causas naturales.
• Principio de voluntad de la dirección: Es responsabilidad de los
dirigentes facilitar los medios necesarios para la implementación y
gestión del plan de ciberseguridad.
• Principio financiero: El coste de la seguridad y de las medidas de
control debe estar en relación con el riesgo.
• Principio de simplicidad de universalidad y de discreción: Las
medidas de seguridad deben ser simples, flexibles y comprensibles
para los internautas. Las soluciones y medidas de seguridad no deben
ser provocadoras para no tentar a un atacante potencial.
• Principio de dinamicidad y de continuidad: La seguridad deber ser
dinámica para integrar la dimensión temporal de la vida de los sistemas
y de la evolución de las necesidades y los riegos. Los sistemas deben
ser operacionales de modo permanente.
• Principio de evaluación, de control y de adaptación: La seguridad
debe garantizar la adecuación del nivel de seguridad a las necesidades
reales.
49
3. Principios en los que se debe basar una conciencia de ciberseguridad.
Para el Ministerio de Defensa de España (2013, p.42) los principios en
los que se debe basar una conciencia de seguridad son:
• Conocimiento de la Amenazas y de los riesgos: todos los usuarios del
ciberespacio, los administradores de los sistemas informáticos, las
autoridades, los directivos de las empresas, los diseñadores,
programadores, etc. deben ser plenamente conscientes de las amenazas
que hay en el ciberespacio y los riesgos inherentes a las mismas; de esta
forma, podrán actuar, cada uno en su ámbito, de manera que las
posibilidades de éxito de los ataques se reduzcan.
• Notificación por los Usuarios de los errores cometidos e incidentes
sufridas: En el ciberespacio los usuarios deberían notificar al responsable
de ciberseguridad de su organización todas las incidencias, incluso los
errores propios, aunque crea que no están directamente relacionados con
ataques informáticos. Este principio es el que, sin ninguna duda, genera
más resistencia entre los usuarios. Significa un cambio de mentalidad, un
giro copernicano en la actitud de los ciudadanos. Admitir que hemos
cometido un error no es lo habitual, ni siquiera admitirlo en la intimidad;
pero es necesario que todos los usuarios colaboren contando a los
responsables de seguridad del sistema, las incidencias sufridas y los
errores cometidos, a fin de que el responsable de seguridad informática
les guie y brindé consejos para evitar los errores cometidos, pues de otra
forma se volverán a cometer los mismos errores.
• Información por los responsables de seguridad de los sistemas
informáticos: En el ámbito de la seguridad informática, los responsables
de seguridad de los sistemas informáticos deberían elaborar, cada uno
dentro de su ámbito y en colaboración con los homólogos de otras
empresas, administraciones, instituciones, etc. boletines de información
sobre ciberseguridad y recibir y analizar las notificaciones de incidencias
de los usuarios del sistema del que es responsable. Además, son también
responsables de diseñar una política de ciberseguridad, que será
aprobada por la dirección o autoridad competente, y de difundirla.
50
• Formación de todos en ciberseguridad: Se trata que todos los
ciudadanos tengan unas mínimas nociones de cómo mantener su entorno
cibernético seguro, de qué y cómo se puede publicar en el ciberespacio
sin comprometer la privacidad, confidencialidad y disponibilidad de esos
datos. Así mismo, hay que enseñar a todos los ciudadanos a utilizar las
herramientas básicas de ciberseguridad como pueden ser antivirus,
configuración del firewall y actualizaciones automáticas; es en este
sentido, que la ciberseguridad es una cuestión de seguridad nacional,
tener profesionales con una sólida formación en ciberseguridad
trabajando en todos los sectores de la nación, tanto privados como
públicos, en el desarrollo y en el mantenimiento de sistemas informáticos,
con mentalidad de seguridad informática, y en el aseguramiento de los ya
existentes cuando no lo estén.
• Adaptabilidad de usuarios, Instituciones y empresas a las
circunstancias cambiantes del ciberespacio: A lo largo de la historia
del planeta, los que no se han sabido adaptar han sucumbido y
desaparecido. La historia militar está plagada de casos en los que un
Ejército sucumbía a otro que introducía nuevo armamento, estrategia o
táctica.
Al ser el ciberespacio un concepto no dimensional, sus posibilidades de
cambio y la velocidad a la que ocurren esos cambios son muy grandes,
casi podríamos decir que ilimitadas. Esto implica la necesidad de
adaptarse a todos esos cambios a la misma velocidad, al menos, con la
que se producen.
Pero el ciberespacio es un dominio que requiere una gran especialización
por parte de los gestores de la ciberseguridad por lo que es necesario que
las instituciones y empresas adopten una estructura de ciberseguridad
con un jefe de ciberseguridad al frente que será el encargado de recibir
las notificaciones, estudiarlas, eliminar de las mismas datos que puedan
permitir identificar a personas, hacer encuestas, estudios, informes y, con
todo lo anterior, editar informes de ciberseguridad en los que, entre otras
cosas, publicará buenas prácticas a los usuarios acompañadas de
51
ejemplos de los que se han eliminado todos los datos que permitan iden-
tificar al usuario
Figura Nº 13 – “Edificio de la Conciencia en Ciberseguridad”
Fuente: Escuela de Altos Estudio de la Defensa. Necesidad de una conciencia
de Ciberseguridad. p.42.
4. Principios de la Ciberdefensa
Según Caro M (2011, p3), Los esfuerzos en ciberdefensa de la OTAN están
basados en los siguientes principios generales:
• Solidaridad: Aunque los esfuerzos de la OTAN están focalizados en sus
propios sistemas TIC, la OTAN, teniendo en cuenta los recursos
disponibles, determina que puede proporcionar soporte relacionado con
la defensa de los sistemas TIC a los Aliados; es decir, que la ayuda se
proporciona únicamente ante una petición, y en caso de no haberla se
aplica el principio de responsabilidad exclusiva de cada país soberano.
• Resiliencia: Según Dhruva J. (2014), Es el principio clave en donde los
diferentes sistemas tienen la capacidad de respuesta y rápida
recuperación ante ciberataques; así como, la capacidad de resistir a la
adversidad, de perseverar y de restablecer el estado o situación anterior.
Este término entraña también la idea de solidez general, en oposición a la
fragilidad, de los sistemas en el tiempo. (p.217).
Para los autores Suarez H. & Pelaez J. (2015) Para conseguir la
resiliencia se deben potenciar las capacidades de “identificación,
52
detección, prevención, contención, recuperación, cooperación y
mejora continua”, frente a las distintas ciberamenazas (p.19).
Figura Nº 14 – “Metas, Objetivos/Capacidades y técnicas para medirla ciberresiliencia”
Fuente: Ciber Resiliencia-Aproximación a un marco de medición. p 19.
• Prevención: Las naciones deben tomar medidas preventivas entre las
que incluye desde la elaboración de estándares y procedimientos, hasta
la ejecución de ejercicios y entrenamiento; así mismo, las estrategias
preventivas, para que sean efectivas, deben incluir múltiples mecanismos
de defensa entre el “objetivo” y el adversario (implementación del
concepto de “defensa en profundidad”) así como verificaciones de su
correcto funcionamiento como auditorías de seguridad, test de intrusión,
etc.
• No-duplicación: Al igual que la OTAN, otras organizaciones
internacionales están involucradas en la protección de los sistemas de
información de los ciberataques. La OTAN por lo tanto, en su política
especifica que se debe evitar la duplicidad de esfuerzos a nivel nacional,
regional o internacional. La Política especifica que la OTAN debe obtener
ventaja de las prácticas, información, herramientas y lecciones aprendidas
por el resto de organizaciones cuando ha sido probado que estas han sido
efectivas en la protección.
• Seguridad: Es una cooperación basada en la confianza, teniendo en
cuenta lo sensible que puede ser la información de los sistemas a la que
se debe ofrecer acceso, y sus posibles vulnerabilidades, esto se da
53
revisando la evolución de los temas concernientes al ciberespacio,
recogiendo lecciones aprendidas, compartiendo buenas prácticas con los
aliados estratégicos y proponiendo enmiendas, si estas son requeridas.
Figura Nº 15 – “Principios de la Ciberdefensa”
Fuente: Propia del Autor
5. Principios de la Guerra Cibernética o Ciberguerra
Según Gómez A. (2014), Las operaciones en el ciberespacio mantienen
igualmente los principios de la guerra (p.34):
• Objetivo: dirigir los ataques informáticos hacia un objetivo claramente
definido.
• Masa: sincronizar todos los elementos (programas o virus) de poder y
concentrarlos donde tengan un efecto decisivo sobre el objetivo, en un
corto período de tiempo.
• Ofensivo: capturar, retener y explotar la iniciativa.
• Economía de fuerzas: distribuir los medios informáticos de manera
efectiva.
• Maniobra: movimiento de los medios informáticos que permitan lograr
una ventaja frente al objetivo, haciendo que el enemigo pierda el equilibrio
y lograr que sus acciones sean inefectivas frente a los ataques.
• Unidad de mando: los ataques informáticos generalmente son liderados
por una persona responsable de ellos, el que posee la autoridad para
coordinar y dirigir todos los medios hacia un propósito único.
54
La " Norma Técnica Peruana NTP-ISO/IEC 17799- Tecnología de la
información. Código de buenas prácticas para la gestión de la seguridad
de la información”. fue elaborada por el Comité Técnico de Normalización de
Codificación e Intercambio Electrónico de Datos (EDI), utilizando como
antecedente a la Norma ISO/IEC 17799:2000 Information technology – Code
of practice for information security management. y ha sido estructurada de
acuerdo a las Guías Peruanas GP 001:1995 y GP 002:1995.
• Seguridad: los ataques informáticos poseen medidas que protegen a los
autores y los medios utilizados, permitiendo eliminar los rastros dejados
en la web, tanto de los equipos como de los códigos.
• Sorpresa: los ataques informáticos se realizan en un momento, lugar o
de una manera en que la víctima no está preparada, lo que puede cambiar
decisivamente el equilibrio. Esto se logra buscando las vulnerabilidades
de los sistemas mediante el ciberespionaje.
• Simplicidad: en informática los medios por los cuales se realizan los
ataques son simples programas con códigos sencillos pero letales, siendo
esta simplicidad lo que permite el éxito de las operaciones de ataques
informáticos.
2.2.2. Marco legal de Referencia
2.2.2.1. Norma Técnica Peruana NTP-ISO/IEC 17799- Tecnología de la
información. Código de buenas prácticas para la gestión de la
seguridad de la información.
Esta Norma Técnica Peruana establece recomendaciones para realizar la
gestión de la seguridad de la información que pueden utilizarse por los
responsables de iniciar, implantar o mantener la seguridad en una organización.
Persigue proporcionar una base común para desarrollar normas de seguridad
dentro de las organizaciones y ser una práctica eficaz de la gestión de la
seguridad, así como proporcionar confianza en las relaciones entre
organizaciones. Las recomendaciones que se establecen en esta NTP deberían
elegirse y utilizarse de acuerdo con la legislación aplicable en la materia.
55
El "Plan de Desarrollo de la sociedad de la Información en el Perú. La
agenda Digital 2.0. Fue aprobado mediante Decreto Supremo Nº66-2011-
PCM y ha sido elaborada con el concurso del sector público y privado, con la
participación de entidades representativas de la sociedad civil y del sector
académico constituyendo un documento de políticas que contiene la visión,
objetivos y estrategias específicas necesarias para el adecuado desarrollo,
implementación y promoción de la sociedad de la información en el Perú, a fin
de alcanzar la modernización del estado y desarrollar un esquema real y
coherente en beneficio de la población en general.
Generalidades
Según la NTP‐ISO/ IEC 1779 (2004), La seguridad de la información se
consigue implantando un conjunto adecuado de “controles, que pueden ser
políticas, prácticas, procedimientos, estructuras organizativas y funciones
de software.” (p. IX) Estos controles deberían establecerse para asegurar que
se cumplen los objetivos específicos de seguridad de la organización.
Así mimo según NTP‐ISO/ IEC 1779 (2004), Muchos sistemas de
información no se han diseñado para ser seguros, “La seguridad que puede
lograrse a través de los medios técnicos es limitada, y debería apoyarse en
una gestión y unos procedimientos adecuados.” La identificación de los
controles que deberían instalarse requiere una planificación cuidadosa y una
atención al detalle. La gestión de la seguridad de la información necesita, como
mínimo, la participación de todos los empleados de la organización. También
puede requerir la participación de los proveedores, clientes o accionistas. La
asesoría especializada de organizaciones externas también puede ser
necesaria.
2.2.2.2. Plan de Desarrollo de la sociedad de la Información en el Perú. La
agenda Digital 2.0
56
Objetivos de la Agenda Digital:
Según el PDSIP (2011, p.4) establece una serie de objetivos de los
cuales vamos a mencionar los siguientes:
• Objetivo 4: “Impulsar la investigación científica, el desarrollo
tecnológico y la innovación con base en las prioridades nacionales
de desarrollo”
Comentario:
se debe contar con suficientes profesionales debidamente
capacitados para que asuman estos procesos de investigación y
desarrollo. Ello implica impulsar políticas de fomento para formar
nuevos cuadros, así como, capacitar y fortalecer las capacidades de
profesionales que se dedican a estos temas.
Estrategias del Objetivo 4:
- Promover la producción científica en las TIC.
- Fortalecer los recursos humanos para investigación,
desarrollo e innovación en las TIC.
- Generar mecanismos para la creación y fortalecimiento de Parques
Tecnológicos de TIC.
- Promover los centros de excelencia en TIC, su infraestructura
y equipos de laboratorio.
• Objetivo 7: “Promover una Administración Pública de calidad
orientada a la población”.
Comentario:
Es de vital importancia desarrollar una estrategia nacional que
incluya, la disuasión del crimen cibernético, la protección de las
infraestructuras críticas de la información en Perú, la implementación
y desarrollo de marcos jurídicos relacionados a la ciberseguridad.
Asimismo, establecer mecanismos de cooperación entre el gobierno
y las entidades del sector privado a nivel nacional, fortalecer la
coordinación de Respuesta a Incidentes de Seguridad de la
Información (PECERT), mediante su desarrollo y fortalecimiento de
57
El "Plan estratégico del Ejército al 2021 - Plan de Desarrollo
Institucional “Bolognesi”. Proyecto que el Ejército comenzó a elaborar
el 2001, durante el gobierno de transición de Valentín
Paniagua Corazao y la gestión del general Carlos Tafur Ganoza en la
Comandancia General del Ejército, El presente plan tiene por finalidad
alcanzar el desarrollo del Ejército, previsto en el plan primigenio, a fin de
participar con la fuerza terrestre en la defensa, desarrollo y protección
de los intereses nacionales, para lo cual, de conformidad con el
horizonte temporal al 2021 del Plan Bicentenario.
capacidades operativas a través de la gestión de incidentes,
capacitaciones, concientización, implementación de políticas y
procedimientos de seguridad, monitoreo continuo de los niveles de
seguridad a través de programas de análisis de vulnerabilidades,
entre otros; en todas las entidades del sector público.
Estrategias del Objetivo 7:
- Impulsar la Interoperabilidad entre las instituciones del Estado
para la cooperación, el desarrollo, la integración y la
prestación de más y mejores servicios para la sociedad.
- Proveer a la población información, trámites y servicios públicos
accesibles por todos los medios disponibles.
- Desarrollar e implementar mecanismos para asegurar el acceso
oportuno a la información y una participación ciudadana como
medio para aportar a la gobernabilidad y transparencia de la
gestión del Estado.
- Implementar mecanismos para mejorar la seguridad de la
información.
- Mejorar las capacidades tanto de funcionarios públicos como de la
sociedad para acceder y hacer uso efectivo de los servicios del
gobierno electrónico.
- Adecuar la normatividad necesaria para el despliegue del gobierno
electrónico.
-
2.2.2.3. Plan estratégico del Ejército al 2021 - Plan de Desarrollo
Institucional “Bolognesi”.
58
Objetivos Institucionales
• Objetivo institucional N° 3 “Personal educado y entrenado con
doctrina actualizada acorde con las competencias requeridas por la
fuerza”.
Comentario: Este objetivo nos va a permitir disponer de un sistema
educativo moderno que satisfaga las necesidades de preparación y
entrenamiento de la FO y de la OMA en todos los niveles
Objetivos de Mediano Plazo 2013-2016, del Objetivo Institucional
N° 3:
- Potenciamiento de la Educación y el Entrenamiento del Personal
con competencias requeridas por la Fuerza.
- Implementación de Centro de entrenamiento de nivel Brigada en la
III DE.
- Actualización y creación de doctrina técnica, táctica y
administrativa.
- Modernización de las Escuelas de formación y capacitación
• Objetivo institucional N° 10 “Sistema telemático moderno y eficiente
que asegure el comando y control”.
Comentario: Este objetivo permitirá asegurar el comando, control y
la información, que garanticen la idoneidad del proceso de toma de
decisiones para una eficaz administración Institucional y el apoyo a
las operaciones, estando a cargo de su implementación la Dirección
de Telemática y Estadística del Ejercito (DITELE).
Objetivos de Mediano Plazo 2013-2016 del Objetivo Institucional
N° 10:
- Implementación de la Base de Datos del Ejército (BDU).
- Implementación y funcionamiento del Sistema de GE de la III DE
- Implementación de la III DE con Sistema de comando y control.
- Modernización de la Red Comunicaciones Permanente del EP
(RCOPE)
59
La " DUFSITELE”, es un documento normativo formulado por la
Dirección de Telemática y Estadística del Ejército, según Decreto Ley
N° 1137 y su reglamentación del 31 Marzo 2015, la cual tiene por
objetivo dictar las normas y disposiciones para orientar y uniformar el
funcionamiento del Sistema de Telemática del Ejército; asimismo
normar el funcionamiento del Sistema de Estadística del Ejército.
• Objetivo institucional N° 11 “Investigación, desarrollo e innovación
de tecnologías de vanguardia, requerido por la fuerza”.
Comentario: El logro de este objetivo, permitirá al Ejército reactivar
la infraestructura de capacitación, potenciar el sistema de
investigación y desarrollo existente, y promover su integración con la
comunidad científica; generar una positiva cultura de ciencia,
tecnología e investigación en el Ejército, y disminuir la brecha
tecnológica entre nuestro Ejército y sus similares de la Región
Sudamericana.
Objetivos de Mediano Plazo 2013-2016 del Objetivo Institucional
N° 11:
- Investigación y desarrollo en las líneas tecnológicas de interés para
la implementación y modernización tecnológicas del Ejército
optimizado.
- Transferencia e innovación tecnológica necesaria para el desarrollo
y soporte tecnológico Institucional.
2.2.2.4. Directiva Única para el Funcionamiento del Sistema de Telemática
y Estadística del Ejército – DUFSITELE-Tercera Edición 2017-
20019.
El Ejército del Perú en concordancia con la Política de
Modernización del Estado, viene promoviendo el gobierno electrónico
a través del uso intensivo de las Tecnologías de la Información y
Comunicaciones (TIC’S) como soporte de los procesos estratégicos,
operativos y de apoyo de las Unidades y Dependencias del Ejército,
60
en ese esfuerzo la Dirección de Telemática y Estadística del Ejército
(DITELE) tiene la responsabilidad de articular e impulsar el proceso
de modernización, con el objeto de que todo el personal militar y civil,
particularmente los que integran este Sistema, compartan la visión
tecnológica institucional y el planeamiento estratégico, que coadyuva
este documento y sirva de herramienta para orientar el
funcionamiento y desarrollo sostenido de dicho Sistema en cada nivel
jerárquico (DUFSITELE, 2017-2019).
La DUFSITLE, por su carácter técnico y por el incesante
desarrollo tecnológico, es perfectible a ser actualizado y/o modificado;
es en ese sentido, que la última edición (3ra) se ha considera el Sub
Sistema cibernético en donde hace referencia a la importancia del
ciberespacio, ciberseguridad y ciberdefensa, es en ese sentido, que
se ha dispuesto que “La Ciberdefensa del Ejército del Perú,
inicialmente deberá estar conformado por los siguientes elementos: el
Equipos de Respuesta a Incidentes de Seguridad Informática de uso
militar (CSIRT-EP), el Centro de Operaciones de Seguridad (SOC-EP)
y el Laboratorio de Análisis de Malware, Investigación, Desarrollo e
Innovación (LAMIDi); es dar respuestas y soluciones globales a
problemas concretos y para ello son acometidos por equipos
multidisciplinarios, en los que se involucran personal experto en
seguridad de la información, ciberdefensa, ciberseguridad y
especializados en tres ramas fundamentales: asuntos operativos
funcionales y militares; asuntos tecnológicos, académicos y científicos
para la defensa; y asuntos legales” (DUFSITELE, 2017-2019. Capitulo
IV. Pág A-129).
Así mismo, en la sección IV “Estructura del Sub sistema
Cibernético”, describe que este es un conjunto de instalaciones,
equipos, doctrina, procedimientos, tecnologías, servicios esenciales y
personal, para llevar a cabo actividades de control del ciberespacio,
asegurando de manera integrada con el CCFFAA su uso afectivo, así
como impedir o dificultar ataques que atenten contra la defensa
61
La "Directiva Nº 001/CGE/DITELE/SD SIDE (Lineamientos de seguridad
de la información para la Ciberdefensa en el Ejército del Perú”, es un
documento normativo que tiene la finalidad de Prevenir, mitigar, neutralizar o
eliminar los riesgos provenientes de ataques informáticos, espías
informáticos y del personal propio, mediante la aplicación de la política de
seguridad de la información; destinada a evitar la pérdida, fuga y/o robo de
información o accesos subrepticios a los servicios y sistemas de información
que cuenta el Ejercito del Perú; afín de contribuir con la seguridad de la
información sensible y clasificada en el ámbito militar de la Defensa Nacional.
nacional. Actualmente el Ejército del Perú viene desarrollando el PIP
de Cibernética del Instituto, teniendo prevista su implementación para
el año 2018 – 2019. (DUFSITELE, 2017-2019. Capítulo VI. Pág A-135).
Figura Nº 16 : Diagrama de la estructura del Sistema de Ciberdefensa del Perú
2.2.2.5. Directiva Nº 001/CGE/DITELE/SD SIDE (Lineamientos de Seguridad
de la Información para la Ciberdefensa en el Ejército del Perú)
62
Disposiciones Generales:
a. Con la presente directiva el Ejercito del Perú, establece la
importancia del ciberespacio, considerándolo como un escenario
estratégico, por tal motivo dicho rol deberá ser asumido por nuestras
fuerzas. Ante esta realidad y consecuente a los nuevos retos y
amenazas; el Ejercito del Perú a fin de poseer la hegemonía de la
protección del ciberespacio en el país ha planteado los siguientes
Objetivos Estratégicos:
• Disponer de capacidades para la detección de amenazas y
reacción.
• Establecer una línea de defensa común y homogénea.
• Colaborar con las instituciones del sector público y privado, que
sean de interés para la ciberdefensa institucional.
• Apoyo al personal militar y civil del Ejército, en las actividades
online, capacidad para combatir al ciberterrorismo y al
ciberespionaje.
• Fortalecer el entorno futuro de la ciberseguridad en el Ejército del
Perú.
Por lo anteriormente expuesto, el Ejército del Perú, a través de la Dtva
Nª 001- LSICEP (2015, p.5), ha propuesto las siguientes líneas de
acción (dotadas presupuestalmente)
• Desarrollo del Programa Nacional de Ciberdefensa en el
Ejército del Perú.
Para cumplir eficazmente con las medidas de seguridad, es
necesario formar personal especialista, realizar los análisis de
riesgos pertinentes, supervisar la implantación de medidas
mediante auditorias, adquirir tecnología o contratar servicios
especializados. Por ello su aplicación requerirá una continua
inversión presupuestal.
63
• Gestión homogénea de las redes en el Ejército del Perú.
Para poder gestionar la amenaza de una manera adecuada, se
deberá realizar una gestión única, desde el punto de vista de
seguridad de las redes del Ejército. Las interconexiones con
Internet, deben ser las mínimas posibles y deben cumplir los
mínimos requisitos de seguridad. Actualmente la gestión y la
seguridad de las redes, es responsabilidad de cada una de las
Dependencias, DDEE y GGUU. Siendo responsabilidad de cada
uno de ellos, la seguridad tanto de su red como de las
interconexiones.
• Programa de concientización y Formación para la cultura en
seguridad.
El personal de las Dependencias, DDEE y GGUU, deberán recibir
la formación necesaria, para garantizar el conocimiento de las
medidas de seguridad a implementar. Es necesario el esfuerzo
continuo y coordinado con la DIEDOC, en acciones de formación
del personal que llevará a cabo la ciberdefensa en el Ejercito del
Perú. Además, serán necesarias acciones de concienciación a
todos los usuarios para que conozcan y en la medida de lo posible,
reduzcan las nuevas amenazas a las que nos enfrentamos y que
por su naturaleza cambiante, se deben plantear a largo plazo.
También se debe potenciar el desarrollo de cátedras y jornadas en
Universidades y otros centros de formación, que traten sobre temas
relacionados a la seguridad en los sistemas de información y
comunicaciones.
• Uso de estándares y certificaciones de seguridad de los
productos TIC en el Ejercito del Perú.
Es necesario que las tecnologías y productos, hayan sido revisadas
desde el punto de vista de seguridad. Estos procesos son costosos
y difíciles de abordar, por lo tanto se deben impulsar programas,
que faciliten esta actividad que indudablemente elevará la calidad
de los mismos y mejorará la calidad de los productos que consigan
una certificación. Para ello esta línea de acción, permitirá en un
64
largo plazo disponer de la arquitectura necesaria, para testear
productos TIC; bajo los estándares internacionales y militares.
• Despliegue de sistemas de alerta, protección y sus
interconexiones.
Para garantizar el nivel de seguridad requerido por los sistemas de
las de las Dependencias, DDEE y GGUU, es necesario actuar
antes de que se produzca un incidente o, por lo menos, detectarlo
en un primer momento, para reducir su impacto y alcance. La
DITELE deberá impulsar la entrada en servicio de Sistemas de
Alerta Temprana, para la detección rápida de incidentes y
anomalías, dentro de las redes del Ejército. Estos sistemas, basado
en el análisis y correlación de registros (logs) generados por las
herramientas de seguridad instaladas en las citadas redes,
permitirán detectar de manera proactiva, cualquier anomalía y
ataque, analizando el tráfico que circula en sus redes. Por otro lado
es de máximo interés, la potenciación de los sistemas similares que
permitan monitorizar en tiempo real el tráfico entrante y saliente de
las salidas de Internet de las diferentes dependencias, DDEE y
GGUU, recolectando información de seguridad relevante y
proporcionando información de los ataques recibidos.
• Establecer redes clasificadas y mejorar la seguridad en ellas.
Estas redes, manejan la información clasificada y sensible de la
institución, para conducir operaciones de mantenimiento de paz,
operaciones militares, actividades diplomáticas, actividades
contraterroristas y actividades de inteligencia. Se debe reforzar por
tanto las medidas de seguridad de estos, adaptando las
salvaguardas y procedimientos existentes, de acuerdo a la
evolución de los ciberataques. Para ello, se deberá diseñar un plan
de mejora de las mismas y potenciar las capacidades de la IGE, la
DIE y la DITELE, que deben auditar y monitorizar las actividades
de estas redes.
65
• Coordinación de esfuerzos en investigación y desarrollo (I+D)
en tecnologías de seguridad.
Observando la rapidez con la que evolucionan los sistemas, la
continua aparición de vulnerabilidades que suponen una amenaza
para la integridad de estos, y la creciente dependencia de las DDEE
y GGUU; respecto a las tecnologías de la información, se hace
necesario el desarrollo de programas, estrategias y tecnologías,
que proporcionen niveles de seguridad superiores a las que ofrecen
los actuales sistemas.
Para poder disponer de autonomía en el empleo de estas
tecnologías es necesario potenciar la coordinación con la DIDETEC
y el CONCYTEC de la PCM, para la financiación, promoción,
desarrollo, obtención, adquisición y puesta en explotación de
productos de seguridad, especialmente si incluyen cifrado. Esta
iniciativa se considera crítica, para evitar redundancias y para
identificar vulnerabilidades o deficiencias en estos esfuerzos, así
como para intentar evitar el empleo de tecnología de terceros
países en aspectos tan críticos como la protección de la
información.
• Mejorar los mecanismos de coordinación y respuesta a
incidentes cibernéticos.
El intercambio fluido de información, es fundamental para mitigar
los daños causados por los ataques desde el ciberespacio; al
permitir una pronta identificación de este y la ejecución temprana
de una respuesta rápida y adecuada. Con esta línea de acción, se
pretende aumentar las capacidades de inteligencia y defensa; por
ello, se deben mejorar los procedimientos de intercambio de
información, con los centros de operación y los centros de
respuesta, ante incidentes del Sector Defensa. Es del máximo
interés la realización de ejercicios, que demuestren la efectividad
de estos canales de coordinación.
66
Personal Capacitado: La Persona que ha adquirido conocimientos
técnicos, teóricos y prácticos que van a contribuir en su desarrollo y
desarrollar habilidades (Aptitudes y Actitudes) que le van a permitir
desarrollar sus funciones y cumplir con sus responsabilidades de
manera eficiente y efectiva.
• Desarrollar el plan de protección de los servicios críticos
institucionales ante ciberamenazas.
Será necesario, por tanto, impulsar la colaboración entre el
CCFFAA y los institutos armados (FAP y MGP) y los organismos
especializados en ciberamenaza, en los siguientes campos:
➢ Gestión de incidentes de seguridad para un tratamiento
adecuado de los ciberataques.
➢ Actualización de información sobre vulnerabilidades tanto de
sistemas que soportan los servicios críticos.
➢ Cumplimiento por parte de los operadores de los estándares de
seguridad, que se definan como mínimos.
➢ Realización de análisis de riesgos y auditorias de seguridad
que establezcan los niveles de riesgos a los que están
sometidos estos sistemas.
• Potenciar la colaboración internacional y privada en materia
de ciberdefensa y ciberseguridad.
Por la naturaleza transnacional de la amenaza y del ciberespacio,
hace necesario una cooperación internacional para hacerle frente.
Se deben impulsar, la firma de acuerdos en materia de
ciberdefensa y ciberseguridad.
2.2.3. Términos Conceptuales
2.2.3.1. Variables del Entorno Nacional – Sector Defensa
A. Personal Capacitado en Ciberdefensa.
67
El elemento humano es el factor decisivo para las operaciones en el
ciberespacio, ya que este espacio es un medio artificial, creado por el hombre,
por lo que este es un factor crítico en su desarrollo y evolución. En el extremo
final de toda conexión de la red y de todo computador conectado al ciberespacio,
siempre habrá una persona que la utilice, controle, la administre, la configure, la
programe o la repare y fundamentalmente, alguien que tome las decisiones y
ordene las acciones en función de los datos que presenten los computadores.
Según Gómez A. (2014.p 34)
El talento humano es un factor importante en el campo de la
ciberdefensa, si no está capacitado correctamente podría constituir en una
amenaza, al igual que si el personal no tiene habilidades, destrezas, aptitudes
en el campo de la informática, la rotación del personal es una amenaza para el
buen funcionamiento de la ciberdefensa, se debe pensar en una estrategia para
que el personal que integre este comando tenga un tratamiento especial en ese
aspecto; así mismo, este personal que conforma este comando debe ser
personal con altos niveles de ética, profesionalidad, responsabilidad y
habilidades especiales, lo fundamental es disponer del personal más calificado
e innovador posible y con la capacidad de desarrollar propias herramientas para
estar delante de los posibles adversarios, en tecnología y en procedimientos.
Según Castro E (2015, p 56).
Formación de un nuevo tipo de Soldado
El General Robert Elder Jr., Comandante (desde jun 2006 – hasta jul 2009)
de la Octava Fuerza Aérea, Comandante del Componente Conjunto para Ataque
e Integración Global - Comando Estratégico de EE.UU. (USSTRATCOM)
declaró:
…El cambio cultural es que vamos a tratar a Internet como un campo de
guerra y vamos a concentrarnos en él y darle prioridad para acciones en el
ciberespacio y acompañarla, si es necesario, con acciones en el espacio
aéreo y terrestre. Vamos a desarrollar, junto con las universidades, guerreros
ciberespaciales que sean capaces de reaccionar ante cualquier amenaza las
24 horas del día durante los siete días de la semana. (Mexidor D. ,2011).
68
Luego de conocer las amenazas que debe enfrentar un CERT y las tareas
que deberían realizar, fácilmente se puede inferir que los integrantes del mismo
que deban conducir las batallas virtuales, deberán ser personal altamente
calificado y sus operadores deberán estar debidamente capacitados para
estar a la altura de lo que estas nuevas amenazas y la tecnología le demandan
según Miranda S. (2014, p 26).
El personal que lo integra deberá estar en capacidad de analizar las redes
del adversario y sus vulnerabilidades, desarrollar y usar software para la
detección de intrusos y defensa de las redes, localización de averías y reparación
de las mismas, coordinación y dicreción de esfuerzos para rechazar un ataque.
Al mismo tiempo deberán mantener las capacidades de ingeniería y desarrollo
de software para la creación de nuevas armas y herramientas. Según Timothy F
(2012, p 42).
No son simples operadores lo que se necesita para integrar estos equipos,
sino que se debe formar un: …” equipo de profesionales de lucha de ciberguerra,
cada uno con sus propias responsabilidades y conjunto de habilidades, para
establecer, controlar y proyectar poder de combate en y a través del
ciberespacio.” Según Timothy F (2012, p 42).
Por el ámbito donde deben actuar y por su competencia, este personal
deberá tener una preparación eminentemente universitaria, orientada hacia el
área de informática, redes y criptología para cubrir todas las áreas de la red que
integra al sistema de defensa (computadoras, comunicaciones y seguridad de
datos).
Estos nuevos soldados pueden estar agrupados en cuatro grandes grupos:
operadores de ciberdefensa, técnicos, analistas de ciberdefensa y
desarrolladores de armas, Según Timothy F (2012, p 46). los cuales pueden
formar unidades de operaciones, tanto para el ciberataque como para la
ciberdefensa, en capacidad de dar respuesta a las diversas variantes que se
planteen en una misión.
69
Otro punto importante en la formación de los cibersoldados, es la “cultura
de combate de guerra a desarrollar”. Según Timothy F (2012, p 46)”, según
lo dicho por el Teniente Coronel de la USAF Timothy Franz, en su artículo “El
profesional de la ciberguerra – principios para desarrollar la próxima generación”
ya que:
…la mayoría de los profesionales de la ciberguerra actuales provienen de
los campos profesionales de comunicaciones e información, históricamente se
han concentrado en mantener las comunicaciones en funcionamiento, no en
comprender las misiones apoyadas por cada enlace o nodo […] nuestros
ciberdefensores necesitan familiarizarse mejor con la gama completa de
amenazas hostiles a nuestros sistemas de información y más habilidades en
combatir ataques de tales amenazas. La cultura de los actuales profesionales de
la ciberguerra debe evolucionar de una cultura que provee servicios a una que
ofrezca un equilibrio de servicio, seguridad y conocimiento de amenazas, todo
en nombre de la seguridad de la misión”. Según Timothy F (2012, p 49).
Si bien la formación profesional, en cuanto a conocimientos técnicos se
refiere, es importante también que estos nuevos tipos de soldados sean
formados también con la cultura y los valores que enarbolan las fuerzas
armadas a la que pertenecen, ya que estarán inmersos en una guerra virtual
todos los días y de ellos dependerá la seguridad de las redes de información e
inclusive el mismo comando y control de las mismas operaciones. Miranda S.
(2014, p 27).
Tabla Nº 02: Niveles de Formación de Profesionales de Ciberguerra
Nivel 1 Profesionales
Nivel 2 Técnico de nivel Superior
Nivel 3 Técnicos
Nivel 4 Desarrolladores
Profesionales en ciberguerra
(CNO), que planean, dirigen, y
ejecutan actividades ofensivas
y defensivas a través del
ciberespacio, con experiencia
en las tecnologías y funciones
de las redes y sistemas del
adversario.
Analistas y encargados de la
selección de objetivos de
ciberguerra, que ofrecen apoyo de
inteligencia a las operaciones de
ciberguerra. Con capacidad de
analizar las redes del adversario y
preparar soluciones de selección
ofensiva de objetivos para armas y
herramientas de ciberguerra.
Técnicos del
ciberespacio que
proporcionan y
mantienen la
infraestructura de
apoyo y el sistema
de armas de
ciberguerra.
Desarrolladores de
ciberguerra que diseñan y
crean herramientas y
armas de ciberguerra.
Deben poseer las
habilidades de ingeniería y
desarrollo de software para
crear hábilmente nuevos
sistemas de armas y
herramientas.
Fuente: Timothy F (2012). “El Profesional de la Ciberguerra, Principios para desarrollar la
Próxima Generación”. Air & Space Power Journal en Español. p. 68
70
Tabla Nª 03: Naciones con capacidad de formar profesionales en ciberguerra.
País Organismo Curso
Estados
Unidos
Agencia Nacional de Seguridad (NSA)
- Información, Assurance, Analysis Development Program (IAADP).
- System and Network Interdisciplinary Program (SNIP).
- AID Development and Education Program (ADEP).
United States Military Academy at West Point - Seguridad de la información, ciberguerra y forense.
Naval Postgraduate School (NPS)
- Master y Doctorado en Graduate School of Operational and Information Sciencies (GSOIS).
- Cyber Security Certificates: fundamentos, defensa y ofensivo.
Reino
Unido
Crandfiel University (Defense Academy)
- Doctorado Mas y Diploma en Información Systems and Management (ciberguerra, información warfare forensic computing, CNO).
OTAN
NATO Computer Incidents Response Capability Technical Centre (NCIRC)
- Formación y entrenamiento en ciberdefensa y ciberguerra (CNO).
NATO Cooperative Cyber Defense Centre of Excelence (CCDCOE)
- Cursos en ciberguerra (CNO).
Fuente: Timothy F (2012). “El Profesional de la Ciberguerra, Principios para Desarrollar la
Próxima Generación”. Air & Space Power Journal en Español. Pág. 69
Por lo anteriormente mencionado, el Ejército del Perú al igual que sus
homólogos, ha puesto en manifiesto está latente preocupación y está tomando
medidas para afrontar estas nuevas amenazas en el ciberespacio, es en ese
sentido, que ha dispuesto que la Dirección de Educación y Doctrina del Ejército
(DIEDOC) cumpla una serie de disposiciones, entre las cuales podemos
mencionar:
Disponer que se especialice y/o capacite al personal subalterno del área de
informática, en administración y seguridad de redes con un mínimo de 1,250
horas académicas; con la finalidad que la institución cuente con personal
idóneo para administrar los sistemas de seguridad informática en la institución.
Debiendo dicho personal laborar de manera obligatoria en las áreas
especializadas y designadas para dicho fin. (Dtva Nª 001- LSICEP, 2015,p 10)
71
Según Ryckman M. (2017), los Recursos Públicos contenidos en la Ley
Anual de Presupuesto, aprobados por una determinada Entidad del
Sector Público. Es la cantidad de fondos destinados a cubrir
los Gastos previstos en programas, subprogramas, proyectos y
unidades presupuestarias, necesarias para el logro de los objetivos y
metas programadas
2.2.3.2. Variables del Entorno Institucional – Ejercito del Perú.
A. Asignación Presupuestaria.
Según el REPORTE DE SEGURIDAD CIBERNÉTICA E
INFRAESTRUCTURA CRÍTICA DE LAS AMÉRICAS, el Perú viene sufrido
ataques cibernéticos (ICS/SCADA) y según el mismo reporte el Perú cuenta
con una calificación de “ALGO PREPARADO” para afrontar Ciber ataques
y según la OEA el Perú no ha aumentado el presupuesto para este sector
en el periodo 2014 – 2015.
Así mismo, según la OEA en TENDENCIAS DE SEGURIDAD
CIBERNETICA EN AMERICA LATINA Y EL CARIBE, “el Perú no cuenta
con una estrategia o política nacional oficial de seguridad cibernética”
(OEA,Junio 14, p 76).
Lo cual agrava aún más la situación; sin embargo, el Ministerio de
Defensa del Estado Peruano, cuanta con un presupuesto anual asignado
para “Mejorar las capacidades Militares para la Defensa y el Desarrollo
Nacional” y “Desarrollo de Ciencia y Tecnología e Innovación Tecnológica”
el cual se muestra a continuación:
72
Figura Nº 17 – “Ejecución Presupuestal por categoría presupuestal del Ministerio de Defensa”
Fuente: congreso de la república del Perú en la web: http://www.congreso.gob.pe/Docs/comisiones2016/Presupuesto/files/defensa_ppto_2017.pdf
Las principales potencias Estados Unidos, Reino Unido, Francia y Alemania
destinan importantes recursos humanos, económicos y tecnológicos al
desarrollo y obtención de cibercapacidades, en especial aquellas de carácter
ofensivo. El resto de países destina presupuestos más moderados para dotarse
de capacidades defensivas e inteligencia, aunque en el medio largo plazo se
proponen obtener capacidades de ataque
Estados Unidos invierte miles de millones de dólares en programas
destinados al desarrollo y la adquisición de cibercapacidades avanzadas con el
objetivo de mantener su condición de primera potencia mundial; Reino Unido
cuenta con la Alianza Atlántica para afianzar sus capacidades de ciberdefensa y
apoyar un programa nacional de Ciberseguridad dotado de más de 1,200
millones de euros; Francia apoyándose en un presupuesto aproximado de 1,000
millones de euros durante 2014-2015 ha optado por aprovechar el conocimiento
desarrollado por la Alianza durante la última década, así como por sus expertos
en seguridad y defensa del ciberespacio. (Fajón E, 2015).
73
En Sudamérica los estados han empezado a dar importancia a este gran reto
que es ciberdefensa como eje prioritario para la estabilidad de la nación; es en
ese sentido que Colombia, Brasil, Ecuador y Chile han sido primeros que han
tomado medidas para comenzar su implementación.
• Colombia destinará 28,3 millones de dólares hasta 2019 para reforzar sus
sistemas de ciberseguridad y ser uno de los primeros países del mundo en
adecuarse a las recomendaciones de la Organización para la Cooperación y
el Desarrollo Económico, estos millonarios recursos también buscan reforzar
las capacidades técnicas de ciberdefensa y actualizar una estrategia de
protección de la infraestructura crítica, como el sistema energético o el
financiero, que corren riesgos informáticos que podrían causar problemas
serios en su operación. (Sputnik Mundo, 2011)
• Chile: Según publicaron diversos medios de comunicación, la Policía de
Investigaciones de Chile (PDI) invirtió casi 3 millones de dólares en la compra
de un malware espía con características de botnet, a la empresa italiana
Hacking Team (Galileo, rebautizado como “Phantom”). Es de público
conocimiento que esta empresa fue objeto de una filtración de emails,
documentos y código fuente de su malware. (Provoste J , 2015).
• Ecuador: El general Luis Garzón, jefe del Comando Conjunto de las Fuerzas
Armadas, anunció que la entidad piensa en implementar un Comando de
Ciberdefensa, que tendría un presupuesto inicial de 8 millones de dólares. El
nuevo Comando este nuevo Comando de Ciberdefensa, que estará ubicado
inicialmente en el batallón de comunicaciones Rumiñahui y luego en la brigada
de infantería Pichincha, en Aychapichu, cerca de Machachi, en Pichincha. (EL
TELÉGRAFO,2015)
74
Son aquellas instalaciones, redes, servicios y equipos asociados o
vinculados con activos de tecnología de información y
comunicaciones, o activos de información sobre las que descansa el
funcionamiento de los servicios esenciales y cuya afectación,
interrupción o destrucción tendría un impacto negativo en el desarrollo
de las actividades cotidianas de la organización. Por definición,
presenta un alto grado de riesgo y amenaza, y su salvaguarda y
seguridad son temas de importancia relevante.
Figura Nº 18 – “Presupuesto General de la República del Ecuador
Asignación Presupuestal para Ciberdefensa 2015-2016”
B. Infraestructuras estratégicas
75
Existen países que tienen un gran potencial económico y bélico que
han sido afectados por esta amenaza del ciberataque, ciberguerra y el
espionaje. Estos países han comenzado a implementar sus políticas de
ciberdefensa y ciberseguridad; así como, han empezado edificar
infraestructuras, adquirir equipamiento y capacitar a su personal, a fin de
hacer frente a estas amenazas globales.
Es en ese sentido que nivel Sudamérica países como Colombia,
Ecuador, Chile, Argentina vienen implementado y mejorando sus
comandos de ciberdefensa, los cuales cuentan con infraestructuras de
Tecnologías de Información que le permiten desarrollar las capacidades
cibernéticas, a continuación, mencionaremos algunas de ellas:
• Ecuador: El comando especializado en ciberdefensa que las FF.AA.
ejecutarán desde el 2015, se encargará de evitar vulneraciones a la
seguridad del Estado, convirtiéndose a partir de su aplicación en el sexto
comando operacional. (Cotar C. ,2015).
Figura Nº 19 – “Comando de Ciberdefensa del Ecuador”
Fuente: Cybersecurity Week from the Center of the World
• Colombia: es el primer país de América Latina en adoptar una estrategia
para prevenir, enfrentar delitos y minimizar el nivel de riesgo de los
ciudadanos ante amenazas o incidentes de naturaleza cibernética, para
esto el Gobierno Nacional estableció tres organismos con la capacidad
técnica y operativa para enfrentar estas nuevas amenazas, conformando
así el denominado “Tridente” de ciberseguridad y ciberdefensa.
76
- En primera instancia, se consolidó la entidad interinstitucional
COLCERT (con funcionarios del Ministerio de Defensa, Ministerio de
Justicia y Ministerio TIC) encargada de la respuesta a incidentes
cibernéticos y de la coordinación entre las partes interesadas en el
ámbito nacional.
- En segunda instancia, se desarrolló el Comando Cibernético Policial
(CCP) de la Policía Nacional, bajo la dirección de Investigación
Criminal e INTERPOL (DIJIN). El CCP es la principal unidad
designada para investigar todos los casos en los que se ha visto
comprometida la ciberseguridad de las entidades del Gobierno y del
sector privado del país.
- En tercera instancia, se creó el Comando Conjunto Cibernético
(CCOC) en cabeza del Comando General de las Fuerzas Militares,
encargado de prevenir y contrarrestar todo ataque de naturaleza
cibernética que afecte los intereses nacionales.
Figura Nº 20 – “Comandos de Ciberdefensa de Colombia”
Fuente: Consejo Nacional de Política Económica y Social - CONPES 3701.
77
Infraestructura Básica de la Ciberdefensa.
De acuerdo al estudio de varios modelos de otros países, lo que la mayoría
menciona es que se debe tener:
Tabla Nª 04
Infraestructura Básica de Ciberdefensa.
01 Infraestructura física para 130 personas y equipos
02 Los servidores necesarios con el software y herramientas.
03 Centro de monitoreo y Centro de análisis.
04 Centro de monitoreo de sistemas críticos, Laboratorio de análisis forense,
laboratorio de malware, sandbox.
05 Centro de respuesta a incidentes militares, laboratorios de guerra cibernética,
laboratorio forense, laboratorio de pruebas.
06 Data center robusto, sensores de monitoreo, segmentos de red aislada.
07 Seguridad física, Seguridad Lógica (Claves), Seguridad de acceso a la
información
08 Equipos de análisis de vulnerabilidades, equipos para detectar amenazas.
09 Hardware, software con licenciamiento en áreas de defensa (explotación,
respuesta y forense).
10 Redes de nueva generación (redundancia, escalada, alta disponibilidad,
seguridad) Planes de continuidad (Planes de recuperación de desastres).
11 Estructura orgánica: hardware relacionado, software de monitoreo, hacking y
forense.
12 Monitoreo de red SIM (manejo de información de seguridad), herramientas de
análisis forense y evaluación de seguridad.
13 Hardware y Software para seguridad y monitoreo de las FFAA.
14 Grupo de Respuesta, Grupo de Explotación.
15 Personal con altos niveles de ética, profesionalidad, responsabilidad y
habilidades.
16 Crear la capacidad para la protección de infraestructura crítica y realizar
operaciones básicas ofensivas en el ciberespacio.
2.3. Glosario de términos
a. Atacante
Cualquier persona que deliberadamente explotar vulnerabilidades en los
controles técnicos y no técnicos de seguridad con el fin de robar o
comprometer los sistemas y redes de información, y poner en peligro la
disponibilidad para los usuarios legítimos del sistema de información y
recursos de la red.
78
b. Amenazas
Todo aquello que intenta o pretende destruir, es un peligro latente que
puede dañar y que puede llegar a culminarse o puede no hacerlo. Una
amenaza será cualquier circunstancia con el potencial suficiente para
causar pérdida o daño al sistema.
c. Ataque de Red
Las medidas adoptadas a través del uso de redes de ordenadores para
interrumpir, negar, degradar o destruir la información almacenada en los
ordenadores y redes informáticas, o los ordenadores y las propias redes.
d. Buenas prácticas
Las buenas prácticas son recomendaciones o consejos que se le dan al
personal durante su trabajo o al momento de su capacitación, para que éste
desarrolle de manera eficiente el trabajo, resuelva o evite problemas
relacionados con las actividades a realizar. Las cuales surgen de la
experiencia y se apoyan en algunas políticas de seguridad de la misma
organización.
e. Capacidad de Ciberdefensa
Capacidad para proteger y repeler contra una explotación cibernética o
ataque cibernético que puede ser utilizado como una disuasión cibernética
eficazmente.
f. Capacidad de Ciberofensiva
Una capacidad de iniciar un ataque cibernético que puede ser utilizado
como un elemento disuasorio cibernético.
g. Componentes lógicos de la información
Corresponden a la capa abstracta de datos que fluyen a través de las
infraestructuras físicas de la información. Son componentes lógicos de la
información, todos los programas computacionales, los protocolos técnicos
de transmisión y almacenamiento de datos en todas sus capas, y en
general todas las infraestructuras lógicas que sustentan las interacciones
humanas en el ciberespacio.
79
h. Ciberataque
Consistente en acciones hostiles desarrolladas en el ciberespacio con el
objetivo de irrumpir, explotar, denegar, degradar o destruir la infraestructura
tecnológica, componente lógico o interacciones de éste y pueden tener
distintos niveles según su duración, frecuencia y daño generado.
i. Ciberemergencia
Es un estado, durante el cual la información de seguridad en sistemas de
información o servicios o redes de comunicaciones electrónicas seguridad
se ponen en peligro de extinción por lo tanto pueden ser violados o
destruidas.
j. Ciberespionaje
Los ataques cibernéticos dirigidos contra la confidencialidad de un sistema
de TI se les conoce como "espionaje cibernético", es decir, el espionaje
digital. Los ataques cibernéticos dirigidos contra la integridad y la
disponibilidad de un sistema de TI se denominan como el sabotaje
cibernético.
k. Ciberinteligencia
Actividades utilizando todas las fuentes de "inteligencia" en apoyo de
Seguridad Cibernética para trazar la amenaza general cibernética, para
recoger las intenciones cibernéticos y posibilidades de adversarios
potenciales, analizar y comunicar, y para identificar, localizar y asignar el
origen de los ataques cibernéticos.
l. Detección de Intrusos
Sistemas utilizados para detectar las intrusiones o los intentos de intrusión;
cualquier mecanismo de seguridad con este propósito puede ser
considerado sistema de detección de intrusos, pero generalmente sólo se
aplica esta denominación a los sistemas automáticos.
80
m. Exploits
Secuencia de comandos utilizado con el fin de aprovechar una
vulnerabilidad de seguridad de un sistema de información para conseguir
un comportamiento deseado).
n. Infraestructura crítica de la información:
Las instalaciones, redes, servicios y equipos físicos y de tecnología de la
información cuya afectación, degradación, denegación, interrupción o
destrucción pueden tener una repercusión importante en la salud, la
seguridad o el bienestar económico de los ciudadanos o en el eficaz
funcionamiento de los gobiernos de los Estados.
o. Intrusión
Se denomina intrusión a un conjunto de acciones que intentan
comprometer la integridad, confidencialidad o disponibilidad; además una
intrusión no tiene por qué consistir solo en un acceso no autorizado a una
máquina, también puede ser una negación de servicio, es decir dejar sin
funcionamiento al sistema informático.
p. Medio Ambiente Cibernético
Esto incluye a los usuarios, redes, dispositivos, todo el software, los
procesos, la información en el almacenamiento o el transporte,
aplicaciones, servicios y sistemas que se pueden conectar directa o
indirectamente a las redes.
q. Política de seguridad de la información
Una política de seguridad de la información es un conjunto de reglas
aplicadas a todas las actividades relacionadas al manejo de la información
de una entidad, teniendo el propósito de proteger la información, los
recursos y la reputación de la misma.
r. Red de Defensa de Ordenadores (CDN)
Las medidas adoptadas para defenderse de la actividad no autorizada
dentro de las redes de ordenadores. CDN incluye el monitoreo, detección,
análisis (tales como análisis de tendencias y patrones), y la respuesta y la
restauración de las actividades.
81
2.4. Formulación de las hipótesis
2.4.1. Hipótesis general
Se presenta dificultades que impiden el mejoramiento de la Ciberdefensa y
su incidencia en la protección de la información del Ejército del Perú,
porque: “…existen deficiencias en los programas de capacitación; o
por carencias de recursos disponibles para ciberdefensa; o por
desconocimiento o no se aplica de manera adecuada de los
procedimientos de seguridad informática; o por presentar
incumplimientos normativos de disposiciones internas o externas
referidos a la ciberdefensa…”
2.4.2. Hipótesis específicas
a) Hipótesis Específica “a”
“…Se presentan deficiencias en los Programas de Capacitación, para
el Personal Militar o Civil que Administran las infraestructuras de TI; por
no contar con un adecuado nivel de capacitación en Ciberdefensa; o por
no tener un nivel de conocimiento adecuado de los lineamientos que se
disponen en la Norma Técnica Peruana NTP-ISO/IEC 17799, sobre
buenas prácticas para la gestión de la seguridad de la información…”
b) Hipótesis Específica “b”
“…Se observa, carencia de Recursos Disponibles para Ciberdefensa;
por no contar un adecuado nivel de Asignación presupuestal o por no
contar con un adecuado nivel de funcionalidad de las Estructuras
Estratégicas necesarias que brinden seguridad a la información…”.
c) Hipótesis Específica “c”
“…Se observa desconocimiento o aplicación inadecuada de los
procedimientos de seguridad informática; por no contar con un adecuado
nivel de conocimiento de los Conceptos y Principios básicos
relacionados con Ciberdefensa …”.
82
d) Hipótesis Específica “d”
“…Se presenta incumplimientos de disposiciones normativos
relacionados a ciberdefensa; por no tener un adecuado grado de
cumplimiento del Plan de Desarrollo de la Sociedad de la Información en
el Perú. La Agenda Digital 2.0, o el Plan de desarrollo Institucional
“Bolognesi”, Directiva única para el Funcionamiento del Sistema de
Telemática y Estadística del Ejército (DUFSITELE) y la Directiva Nº
Directiva Nº 001 sobre los Lineamientos de seguridad de la información
para la Ciberdefensa en el Ejército del Perú …”.
2.5. Clasificación e Identificación de las variables
• Variable Independiente X:
La Ciberdefensa
• Variable Dependiente Y:
La Protección de la Información.
2.5.1. Clasificación de las Variables
Variables de la Realidad
Programas de Capacitación
Recursos disponibles
Procedimientos de seguridad informática
Disposiciones Normativas
Variables del Marco Referencial
Variables Teóricas:
Conceptos básicos
Principios básicos
Variables del Entorno Nacional – Sector Defensa:
Personal Capacitado en Ciberseguridad y Ciberdefensa.
83
Variables del Entorno Institucional Ejército del Perú:
Asignación Presupuestal
Infraestructura Estratégica
Variables sobre Disposiciones Externas e Internas:
Norma Técnica Peruana NTP-ISO/IEZ 17799.
Plan de Desarrollo de la sociedad de la Información en el Perú. La agenda
Digital 2.0
Directiva Única para el Funcionamiento del Sistema de Telemática y
Estadística del Ejército
Directiva Nº 001/sobre los Lineamientos de seguridad de la información para
la Ciberdefensa en el Ejército del Perú).
2.5.2. Definición de las Variables
Variables de la Realidad (A)
Programas de Capacitación. -
Pertenecen al dominio de esta variable todos los datos que en común
tienen la propiedad de explicitar: según Conner (1991) “…es un proceso
estructurado y organizado por medio del cual se suministra
información y se proporcionan habilidades a una persona para que
desempeñe a satisfacción un trabajo determinado.
Recursos disponibles. -
Pertenecen al dominio de esta variable todos los datos que en común
tienen la propiedad de explicitar: ”… los recursos de las organizaciones
son todos aquellos elementos que están bajo el control de una
organización, y que potencialmente pueden contribuir al logro de sus
objetivos, Los recursos de las organizaciones se pueden clasificar en
recursos humanos, recursos materiales, recursos financieros y
recursos intangibles…” (Guerrero J. ,2015)
84
Procedimientos de seguridad informática. -
Pertenecen al dominio de esta variable todos los datos que en común
tienen la propiedad de explicitar: “…son el factor más importante dentro de
la protección de activos de información se basa en la administración de la
seguridad de la información, en la cual se detallan los pasos a seguir o
ejecutarse para llevar a cabo unas tareas determinadas; así como permiten
aplicar e implantar las Políticas de Seguridad que han sido aprobadas por
la organización.” (López M. & Quezada C. , 2006, p 23).
Dispositivos Normativos. -
Pertenecen al dominio de esta variable todos los datos que en común
tienen la propiedad de explicitar: “…una disposición normativa es una
prescripción adoptada por una institución con autoridad para
establecer un tipo de normas, las cuales tienen rango de ley o carácter
reglamentario que pueden tener normas jurídicas…”
Variables del Marco Referencial
a) Variables teóricas
Conceptos básicos. -
Pertenecen al dominio de esta variable todos los datos que en común tienen
la propiedad de explicitar: “…es la originalidad teórica que enriquece el
desarrollo científico…”; “…es la articulación de las teorías
científicas...”; “…es el conjunto de imágenes con significado que
poseemos en nuestra conciencia y del que nos auxiliamos para
identificar las cosas observadas…” (Torres c, 2013, p. 36)
Principios básicos. -
Pertenecen al dominio de esta variable todos los datos que en común tienen
la propiedad de explicitar: “...es un enunciado proposicional que explicita
una constante de cambio de la realidad que antes ha sido una ley o un
axioma; y que, está siendo usado al inicio de un desarrollo teórico.”
(Torres c, 2013, p. 80)
85
b) Variables del Entorno Nacional – Sector Defensa
Personal Capacitado en Ciberseguridad y Ciberdefensa. -
Pertenecen al dominio de esta variable todos los datos que en común tienen
la propiedad de explicitar: “…La Persona que ha adquirido conocimientos
técnicos, teóricos y prácticos en Ciberseguridad y Ciberdefensa que van
a contribuir en su desarrollo y desarrollar habilidades (Aptitudes y
Actitudes) que le van a permitir desarrollar sus funciones y cumplir con
sus responsabilidades de manera eficiente y efectiva…”
c) Variables del Entorno Institucional Ejército del Perú
Asignación Presupuestal. -
Pertenecen al dominio de esta variable todos los datos que en común tienen
la propiedad de explicitar: “...Son los Recursos Públicos contenidos en la
Ley Anual de Presupuesto, aprobados por una determinada Entidad del
Sector Público. Es un monto destinado a cubrir los Gastos previstos en
programas, subprogramas, proyectos y unidades presupuestarias,
necesarias para el logro de los objetivos y metas programadas…” (
Ryckman M. (2017).
Infraestructura Estratégica. -
Pertenecen al dominio de esta variable todos los datos que en común tienen
la propiedad de explicitar: “… Son aquellas instalaciones, redes, servicios
y equipos asociados o vinculados con activos de tecnología de
información y comunicaciones, o activos de información sobre las que
descansa el funcionamiento de los servicios esenciales y cuya
afectación, interrupción o destrucción tendría un impacto negativo en el
desarrollo de las actividades cotidianas de la organización…” (Ministerio
de Defensa de España, 2010, p 349)
86
d) Variables sobre Disposiciones Externas e Internas
Norma Técnica Peruana NTP-ISO/IEC 17799
Pertenecen al dominio de esta variable todos los datos que en común tienen
la propiedad de explicitar:
“…establece recomendaciones para realizar la gestión de la seguridad
de la información que pueden utilizarse por los responsables de iniciar,
implantar o mantener la seguridad en una organización. Persigue
proporcionar una base común para desarrollar normas de seguridad dentro
de las organizaciones y ser una práctica eficaz de la gestión de la seguridad,
así como proporcionar confianza en las relaciones entre organizaciones.”
(NTP‐ISO/ IEC 17799:2004, p.1)
Plan de Desarrollo de la Sociedad de la Información en el Perú. La
Agenda Digital 2.0.-
Pertenecen al dominio de esta variable todos los datos que en común tienen
la propiedad de explicitar:
“…que el Plan de Desarrollo de la Sociedad de la Información en el Perú,
constituye una importante contribución de políticas para el cumplimiento de
los objetivos de Desarrollo del Milenio para el Perú y habiendo identificado
claramente que las Tecnologías de la Información y la Comunicación, no son
un fin en sí mismas, sino un instrumento en la búsqueda de un desarrollo
humano más equitativo y sostenible que haga posible un mayor crecimiento
económico, el logro de mejores empleos y un aumento de la competitividad,
inductor de la inclusión social…” (PDSIP,2016, p.2)
Plan Estratégico Institucional “Bolognesi”. -
Pertenecen al dominio de esta variable todos los datos que en común tienen
la propiedad de explicitar:
87
“…el Plan Bolognesi referido a la modernización del Ejército Peruano es
preciso en cuanto a las metas y objetivos que este busca alcanzar al 2021,
año del Bicentenario de la Independencia Nacional, los objetivos 10 y 11 de
largo plazo del Plan Desarrollo Institucional dispone que el sistema
telemático moderno y eficiente que asegure el comando y control y viabilice
la Investigación, desarrollo e innovación de tecnologías de vanguardia,
requerida por la fuerza…” (PDIB,2014)
Directiva Única de Funcionamiento del Sistema de Telemática y
Estadístico del Ejército - DUFSITELE
Pertenecen al dominio de esta variable todos los datos que en común tienen
la propiedad de explicitar:
“…dicta las normas y disposiciones para orientar y uniformar el
funcionamiento del Sistema de Telemática del Ejército; asimismo normar el
funcionamiento del Sistema de Estadística del Ejército; Así mismo, tiene la
responsabilidad de planear, coordinar, supervisar, controlar y apoyar el Plan
Estratégico Institucional PEI 2017 – 2019, mediante la Acción Estratégica No
07 “Componente Terrestre con un Sistema de Comando y Control Integrado”,
con la finalidad de alcanzar los objetivos institucionales previstos.“
(DUFSITELE, 2017-2019, p2)
Directiva sobre Lineamientos de seguridad de la información para la
Ciberdefensa en el Ejército del Perú
Pertenecen al dominio de esta variable todos los datos que en común tienen
la propiedad de explicitar:
“…documento normativo que tiene la finalidad de Prevenir, mitigar,
neutralizar o eliminar los riesgos provenientes de ataques informáticos,
espías informáticos y del personal propio, mediante la aplicación de la
política de seguridad de la información; destinada a evitar la pérdida, fuga
y/o robo de información o accesos subrepticios a los servicios y sistemas de
información que cuenta el Ejercito del Perú…” (LSICEP,2015,p.1)
88
2.5.3. Operacionalización de las variables
Variable Independiente Dimensiones
X:
Ciberdefensa
X1: Programas de Capacitación. X2: Recursos Disponibles X3: Los Procedimientos de Seguridad Informática X4: Dispositivos Normativos.
Y:
Protección de la Información
Y1: Protección de la Información
NOMBRE DE LAS VARIABLES CONSIDERADAS INDICADORES
X1 = Programas de Capacitación
Personal Capacitado en Ciberseguridad y Ciberdefensa • Nivel de Capacitación
Norma Técnica Peruana NTP- ISO/IEC 17799 • Nivel de Conocimiento
X2 = Recursos Disponibles
Asignación Presupuestal • Nivel de Asignación
Infraestructura Estratégica • Nivel de Funcionalidad
X3 = Procedimientos de seguridad Informática
Conceptos Básicos • Nivel de Conocimiento
Principios Básicos • Nivel de Conocimiento
X4 = Disposiciones Normativas
Plan de Desarrollo de la sociedad de la Información en el Perú. La agenda Digital 2.0 • Grado de Cumplimiento
Plan de Desarrollo Institucional “Bolognesi • Grado de Cumplimiento
Directiva Única de Funcionamiento del sistema de Telemática y Estadística del Ejercito. • Grado de Cumplimiento
Directiva Nº 001/CGE/DITELE/SD SIDE (Lineamientos de seguridad de la información para la Ciberdefensa en el Ejército del Perú)
• Grado de Cumplimiento
89
CAPÍTULO III: METODOLOGÍA DE LA INVESTIGACIÓN
3.1. Tipo, Diseño y Nivel de la investigación
3.1.1. Tipo de investigación
a) Según su finalidad
Investigación Aplicada: Este tipo de investigación también recibe el
nombre de investigación práctica o empírica, se caracteriza porque busca la
aplicación o utilización de los conocimientos que se adquieren, esto queda
aclarado si nos percatamos de que toda investigación aplicada requiere de un
marco teórico, sin embargo, en una investigación empírica, lo que le interesa al
investigador, primordialmente, son las consecuencias prácticas, en el caso
particular del desarrollo de la presente tesis, se aplicara tanto la parte teórica
fundamentalmente a través del marco teórico y también la parte práctica como
consecuencia de las diversas encuestas que se realizaran.
b) Según su alcance temporal
Transversal: El alcance temporal es de tipo Transversal porque en el
desarrollo de esta tesis obligatoriamente se tiene que dar un corte en el tiempo,
asimismo el análisis de la misma contempla un periodo específico, porque los
datos pueden variar por algunas circunstancias perdiendo la relevancia en el
tiempo.
c) Según su carácter
Cuantitativa: La investigación se basa en la recopilación y análisis de
datos numéricos que se obtiene de la construcción de instrumentos de medición
(encuesta) para la posterior prueba de hipótesis.
3.1.2. Nivel de la Investigación
De acuerdo a la naturaleza del estudio de la Investigación, reúne por su nivel
las características de un estudio explicativo, porque no solo pretende
describir o hacer un mero acercamiento en torno a un fenómeno o hecho
específico, sino que busca establecer las causas que se encuentran
detrás de éste.
90
3.1.3. Diseño de investigación
El diseño de la investigación es el No Experimental y de Corte
Transversal, en el primer caso, debido a que no se manipula el factor causal para
la determinación posterior de sus efectos, sólo se describe la situación de la
Ciberdefensa en relación a la protección de la información. Caso: COPERE; se
analiza su incidencia e interrelación en un momento dado de las variables y en el
segundo caso, en razón que el objetivo general y los específicos se orientan al
análisis del nivel o estado de las variables, mediante la recolección de datos en
un punto en el tiempo, a efectos de proponer el mejoramiento de la citada función.
En dicho contexto, se determina el universo de esta investigación, se
selecciona las técnicas, instrumentos e informantes o fuentes, se determina la
muestra y su tamaño, la forma de tratamiento de los datos, la forma de análisis de
las informaciones y el cronograma de ejecución, entre otras acciones.
3.2. Población y muestra
3.2.1. Población
La población de informantes para el presente trabajo de investigación
está constituida por todo Personal Militar y Civil del COPERE que tienen la
responsabilidad de administrar y controlar las diferentes infraestructuras de TI; así
mismo, dicha selección incluye al personal responsable de brindar seguridad de
las redes y sistemas de Información las instalaciones del CGE. que suman 48
personas, las cuales se describen de la siguiente manera.
COPERE
❖ 01 jefe del Departamento de Telemática
❖ 05 jefes de Sección de Telemática (SJAT, SJAPCE, SJAO, SJATSO,
JADPE).
❖ 19 personas entre Personal Militar y Civil que laboran en el DETEL y
SETELES
91
3.2.2. Muestra
En vista de que la población es pequeña, para el presente trabajo de
investigación se tomará la totalidad de la población y según la opinión de López
(1998), “la muestra censal es aquella porción que representa toda la población”.
(p.123); es decir, que las 48 personas que tienen la responsabilidad de administrar
y controlar las diferentes infraestructuras de TI; así como, la responsable de
brindar seguridad de las redes y sistemas de Información las instalaciones del
CGE se tomaran como muestra.
3.3. Técnicas e Instrumento de recolección de datos
3.3.1. Técnicas
Cada Hipótesis especifica se ha contrastado a partir de los datos de los
dominios de las variables que cada una de ellas cruza, por ello para poder
contrastarlas y obtener los datos de los dominios de esas variables, se aplicó las
técnicas que se indican, recurriendo a la información disponible relativa a la
ciberdefensa y su incidencia con la protección de la información. Caso: COPERE
2013-2014
DITELE
❖ 01 jefe de la Sub Dirección de Informática.
❖ 01 jefe de la Sub Dirección de Cibernética.
❖ 01 jefe de la Sub Dirección de Guerra electrónica
❖ 01 jefe de la Sub Dirección de Telecomunicaciones.
❖ 01 jefe del Departamento de Riesgos.
❖ 01 jefe del Departamento de vulnerabilidades.
❖ 01 jefe del Departamento de Operaciones.
❖ 01 jefe del Departamento de Sistemas
❖ 15 personas entre Personal Militar y Civil que laboran en los
diferentes departamentos y data center.
Total de la población: 48 informantes.
92
a) La Técnica del Análisis Documental.
Se ha utilizado, como instrumentos de recolección de datos: fichas
textuales y de resumen; teniendo como fuentes libros (sobre seguridad de
las informaciones, ciberdefensa, ciberseguridad, etc.), e informes y otros
documentos de la Institución, y de instituciones afines; que usaremos para
obtener datos de los dominios de las variables: conceptos y principios
Básicos relacionados a ciberdefensa, Disposiciones emitidas en la Técnica
Peruana NTP-ISO/IEC 17799, Disposiciones del Plan de Desarrollo de la
sociedad de la Información en el Perú, Disposiciones del Plan de Desarrollo
Institucional “Bolognesi, Disposiciones, disposiciones de la Directiva única
para el funcionamiento del sistema de telemática y estadística del Ejército y
Disposiciones de la Directiva Nº 001/CGE/DITELE/SD SIDE (Lineamientos
de seguridad de la información para la Ciberdefensa en el Ejército del Perú)
b) La Técnica de la Encuesta.
Se ha utilizado como instrumento un cuestionario; recurriendo como
informantes a Personal Militar y Civil del COPERE que tienen la
responsabilidad de administrar y controlar las diferentes infraestructuras de
TI; así mismo, dicha selección incluye al personal responsable de brindar
seguridad de las redes y sistemas de Información las instalaciones del CGE,
mediante el cual se ha aplicado para obtener los datos del dominio de las
variables: Programas de Capacitación, Recursos Disponibles,
Procedimientos de Seguridad Informática y Disposiciones Normativas.
c) Indagación
Esta técnica facilitó disponer de datos cualitativos y cuantitativos de cierto
nivel de razonabilidad sobre la ciberdefensa y su incidencia en la protección
de la información del Ejército del Perú.
93
d) Tabulación de cuadros con cantidades y porcentajes.
Información cuantitativa fue ordenada en cuadros que indican conceptos,
cantidades, porcentajes y otros detalles de utilidad relacionados con el
presente trabajo de investigación.
e) Comprensión de gráficos.
Se utilizó los gráficos para presentar información y para comprender la
evolución de la información entre periodos, entre elementos y otros aspectos
relacionados con el tema de investigación.
3.3.2. Instrumentos
Se empleó los instrumentos que se indican, mencionados en el sub
numeral anterior, que servirán para obtener, de los informes documentos,
encuestas y entrevistas que se efectúen, la información pertinente relativa a las
variables correspondientes, relacionadas con la ciberdefensa y su incidencia con
la protección de la información del Ejército del Perú.
a) Las fichas textuales, para efectuar las anotaciones que sean pertinentes.
b) Las fichas de resumen, para consignar los resúmenes que se elaboren.
c) Los cuestionarios, para recabar la información según las interrogantes que
previamente se consideren.
3.4. Procesamiento de los datos
Los datos obtenidos mediante la aplicación de las técnicas e instrumentos
indicados, (rubro 3.3.) se procesaron a través del programa estadístico de
informática SPSS en su versión 25.0; y con ellos se realizaron los cruces que
consideran las hipótesis especificas; y con precisiones porcentuales, con
prelación en su ordenamiento de relevancia de mayor a menor; esta
información se sustentó a través de cuadros, gráficos, etc. Por lo cual los
resultados evidenciaron una realidad la misma que fue analizada para
contrastar cada hipótesis específica y por extensión la Hipótesis Global.
94
3.4.1. Técnicas de Análisis e Interpretación de la información
a) Con respecto a las informaciones que se presentaron como resúmenes,
cuadros, gráficos, etc. se formularon apreciaciones objetivas. Las
apreciaciones correspondientes a informaciones del dominio de variables
que han sido cruzadas en una determinada hipótesis específica, estas
fueron usadas como premisas para contrastar esa hipótesis específica.
b) El resultado de la contrastación de cada hipótesis específica (que pueda
ser prueba total, prueba parcial, disprueba parciales o disprueba total) fue
base para formular una conclusión parcial (es decir que tendremos tantas
conclusiones, parciales como hipótesis específica hayamos
planteado). Las conclusiones parciales, a su vez, se usaron como
premisas para contrastar la hipótesis global.
c) El resultado de la contrastación de la hipótesis global, (que también pudo
ser prueba total, prueba y disprueba parciales o disprueba total) nos dio
base para formular la conclusión general de la investigación.
d) Las apreciaciones y conclusiones resultantes del análisis fundamentarán
cada parte de la propuesta de solución al problema nuevo que dio lugar al
inicio de la investigación.
3.4.2. Diseño estadístico: Validación de Hipótesis.
a) Los Resultados: se han obtenido utilizando la “Estadística Descriptiva”
mediante los cuadros y gráficos estadísticos los que se muestran y
explican.
b) Validación de los Resultados: Hipótesis –Hipótesis Específica
La validación se ha realizado a través de la Estadística Inferencial,
utilizando la herramienta de estadística: Prueba de Hipótesis Binomial la
cual permite contrastar la Hipótesis en base a sus variables cuantitativas
DICOTOMICAS, las cuales presentan dos opciones. Esta prueba se
aplicado a cada una de las variables independientes del Marco
95
Referencial y a las variables de la realidad. Esta prueba Binomial, nos
permitió validar lo que se afirma en las hipótesis específicas descritas en el
numeral 2.4.2. del presente trabajo de investigación.
Características de la distribución binomial:
1. En cada prueba del experimento sólo son posibles dos
resultados: éxito y fracaso.
2. La probabilidad de éxito es constante, es decir, que no varía de una
prueba a otra. Se representa por p.
3. La probabilidad de fracaso también es constante, Se representa por q,
q = 1 – p
4. El resultado obtenido en cada prueba es independiente de los
resultados obtenidos anteriormente.
5. La variable aleatoria binomial, X, expresa el número de éxitos
obtenidos en las n pruebas. Por tanto, los valores que puede
tomar X son: 0, 1, 2, 3, 4, ..., n.
6. La distribución binomial se expresa por B(n, p).
Cálculo de probabilidades en una distribución binomial:
𝑍 =𝑋 − 𝑁𝑃
√𝑁𝑃𝑄
X La proporción de Personal Militar y Civil que conocen, aplican, cumplen
los diferentes conceptos o normas relacionadas a ciberdefensa
P Proporción optima que es 0.05
Q Diferencia de la Proporción Optima es decir 1-P = (1- 0.05)
N La Población que en este caso es 48
c) Asociación de Indicadores
Se realizo la validación de asociación, para observar si existe o no
asociación entre dos variables, dentro del mismo grupo, los mismos que
tuvieron el siguiente procedimiento:
96
• Las frecuencias observadas se sometieron primero a la prueba
estadística No Paramétrica Chi Cuadrado a fin de probar si existía o no
asociación, donde el estadígrafo es el siguiente:
𝑥2 =∑∑(𝑂𝑖𝑗 − 𝐸𝑖𝑗)
2
𝐸𝑖𝑗
𝑛
𝑗=0
𝑛
𝑖=1
Dónde:
l: Representa el número de filas
J: Representa el número de columnas
i: Representa la posición de fila
j: Representa la posición de la columna
Oij: frecuencia observada en cada celda.
Eij: frecuencia esperada.
• Si el valor de probabilidad asociado al Chi Cuadrado (p) es menor o igual
que 0.05 (p<0.05) entonces se afirma que la asociación entre las dos
variables es significativa. Si el valor de p es mayor a 0.05 (p>0.05)
entonces se afirma que la asociación entre las dos variables no es
significativa
• Para medir la intensidad de la relación entre dos variables se ha utilizado
el estadístico Coeficiente de Contingencia de Pawlik, estos toman los
siguientes valores:
➢ 0% hasta 25% : Asociación pobre entre las variables.
➢ 25.01 % hasta 50% : asociación regular entre las variables.
➢ 50.01 % hasta 75 % : Asociación fuerte entre las variables.
➢ 75.01% hasta 100% : Asociación fortísima entre las variables.
d) En Conclusión, se ha validado categóricamente las hipótesis específicas,
las mismas que por la profundidad de sus explicaciones se sustentan, y
demuestran por si solas en el capítulo que corresponde, así mismo por el
análisis lógico del estudio es válido para este tipo de Investigación.
97
CAPÍTULO IV: ANÁLISIS Y PRESENTACIÓN DE RESULTADOS
4.1 PRESENTACIÓN, ANÁLISIS E INTERPRETACIÓN DE RESULTADOS
4.1.1 PRESENTACIÓN DE RESULTADOS
En la presente investigación se utilizó las siguientes técnicas estadísticas:
a. Cuestionario constituido por 38 ítems, dirigida al Personal Militar y Civil
del COPERE que tiene la responsabilidad de administrar y controlar las
diferentes infraestructuras de TI; así mismo, incluye al Personal Militar y
Civil responsable de brindar seguridad de las redes y sistemas de
información de las instalaciones del CGE.
b. Las técnicas estadísticas aplicadas para el procesamiento estadístico de
los datos de las preguntas 2.1, 2,4, 3.1, 3.4, 4.1, 4.4 ,5.1 ,5.4 ,5.7 y 5.10,
fue el análisis No Paramétrico de la prueba estadística Binomial, realizado
con todas las variables del Marco Referencial y las variables de la
Realidad.
c. Las técnicas estadísticas aplicadas para el procesamiento estadístico de
los datos de las preguntas 2.2, 2,3, 2.5, 2.6, 2.7,2.8, 3.2, 3.3, 3.5, 3.6, 3.7,
3.8, 4.2, 4.3, 4.5,4.6,4.7,4.8, 5.2 ,5.3 ,5.5, 5.6, 5.8, 5.9, 5.11, 5.12, 5.13 y
5.14, fue el análisis No Paramétrico de la prueba estadística Chi
Cuadrado, en la cual se determinó la asociación de los indicadores y la
razón por la cual se generan.
Los resultados obtenidos fueron analizados en el NIVEL DESCRIPTIVO,
según los objetivos y las variables de estudios.
98
0
5
10
15
20
25
30
35
40
Capacidad dePrevención
Capacidad deDefensa
Capacidad deDetección
Capacidad deRespuesta
Capacidad deExplotación
Promedio
% Conoce 15 16 11 12 10 12.80
% No Conoce 33 32 37 36 38 35.20
15 16
11 1210
12.80
33 32
37 3638
35.20
4.1.2 ANÁLISIS E INTERPRETACIÓN DE RESULTADOS
4.1.2.1 PROGRAMAS DE CAPACITACION
1) De entre las siguientes Capacidades, marqué los que a su entender
ud. ha sido capacitado y pude aplicar adecuadamente para lograr la
mejora de la ciberdefensa en la protección de la información del
Ejército del Perú.
Cuadro N° 03: Capacidades que a su entender ud. ha sido capacitado y
pude aplicar adecuadamente para lograr la mejora de la ciberdefensa en
la protección de la información del Ejército del Perú.
Conoce No
Conoce Población
Encuestada %
Conoce
% No
Conoce
% Total
Capacidad de Prevención 15 33
48
31.25 68.75
100%
Capacidad de Defensa 16 32 33.33 66.67
Capacidad de Detección 11 37 22.92 77.08
Capacidad de Respuesta 12 36 25.00 75.00
Capacidad de Explotación 10 38 20.83 79.17
Promedio 12.80 35.20 26.67 73.33
FUENTE: Elaboración propia a partir de los datos obtenidos de la encuesta aplicada al Personal Militar y Civil del COPERE encargados de administrar las infraestructuras de TI y personal responsable de brindar seguridad de las redes y sistemas de Información las instalaciones del CGE. Al 30 septiembre del 2016.
Gráfico Nº 01: Capacidades que a su entender ud. ha sido capacitado y
pude aplicar adecuadamente para lograr la mejora de la ciberdefensa en
la protección de la información del Ejército del Perú
99
Figura Nº 21 – Distribución de Frecuencias de las Capacidades de Ciberdefensa
Análisis. – La anterior figura nos permite interpretar:
…” La cantidad promedio de capacidades de ciberdefensa que conocen el
Personal Militar y Civil del COPERE encargados de administrar las
infraestructuras de TI es: 1,33 y, la mayor cantidad de capacidades de
ciberdefensa que conocen el Personal Militar y Civil del COPERE
encargados de administrar las infraestructuras de TI es está comprendido
en: 0,854 (1,33– 0,476) a 1,806 (1,33+ 0,476) “…
Lo que nos permite calificar como negativo y lo interpretamos como la
explicación de las deficiencias en los programas de capacitación, porque
lo correcto es que la cantidad promedio de capacidades de ciberdefensa
que deben conocen el Personal Militar y Civil del COPERE encargados
de administrar las infraestructuras de TI tienda a las cinco capacidades
consideradas.
100
0.0%4.2%
2.1%
72.9%
20.8%
Totalmente Capacitados
Mayoritariamente Capacitados
Regularmente Capacitados
Minoritariamente Capacitados
No Capacitados
“…que existe deficiencias en la capacitación del Personal Militar y Civil
del COPERE encargadas administrar las infraestructuras de TI, como
consecuencia de la minoritaria y no capacitación de este personal en
Ciberseguridad y Ciberdefensa …”
2) ¿Considera Ud que el Personal Militar y Civil del COPERE
encargadas administrar las infraestructuras de TI, está capacitado en
ciberseguridad y Ciberdefensa para la protección de la Información?
Cuadro N° 04.- Personal Militar y Civil del COPERE encargadas administrar las infraestructuras de TI, está capacitado en ciberseguridad y Ciberdefensa para la protección de Información.
Grafico Nº02: Personal Militar y Civil del COPERE encargadas
administrar las infraestructuras de TI, está capacitado en Ciberseguridad
y Ciberdefensa para la protección de Información.
Análisis. - En consecuencia, con relación a la realidad observada en el
numeral 4.1.2.1. del ítem 2). Existe un 72.9% se encuentra minoritariamente
capacitados en Ciberseguridad y Ciberdefensa, el 20.8% no se encuentra
capacitados; así mismo, el 4.2% se encuentran mayoritariamente
capacitados y tan solo el 2.1% poseen una regular capacitación, los
resultados de la población encuestada se muestran en el cuadro Nº 04 y
gráfico Nº 02. Las razones puestas de manifiesto por los informantes nos
permiten afirmar:
Frecuencia Porcentaje
Porcentaje válido
Porcentaje acumulado
Vá
lidos
Totalmente Capacitados 0 0 0 0
Mayoritariamente Capacitados 2 4.2 4.2 4.2
Regularmente Capacitados 1 2.1 2,1 6.3
Minoritariamente Capacitados 35 72.9 72,9 79.2
No Capacitados 10 20.8 20.8 100
Total 48 100.0 100,0
101
41.7%
18.8%
25.0%
10.4%
4.2% Falta de Planificación
Falta de Infraestructuras de
TI
Falta de Interés de las
Autoridades
Falta de Personal
especialista
Otra, ¿Cuál?
3) ¿Cuáles son las causas o razones que ud. considera por qué el
Personal Militar y Civil del COPERE encargados de administrar las
infraestructuras de TI, No están capacitadas en Ciberseguridad y
Ciberdefensa para la protección de la Información?
Cuadro N° 05.- Causas o razones por la que el Personal Militar y Civil del
COPERE encargados de administrar las infraestructuras de TI, No están
capacitadas en Ciberseguridad y Ciberdefensa para la protección de la
Información.
Grafico Nº03: Causas o razones por la que el Personal Militar y Civil del
COPERE encargados de administrar las infraestructuras de TI, No están
capacitadas en Ciberseguridad y Ciberdefensa para la protección de la
Información.
Análisis. – Estudiando y analizando las razones del Cuadro Nº 5 y Gráfico Nº
03 del numeral 4.1.2.1 del ítem 3). los informantes coinciden en las razones
fundamentales que el Personal Militar y Civil del COPERE encargados de
administrar las infraestructuras de TI, No están capacitadas en Ciberseguridad
y Ciberdefensa para la protección de la Información, porque hay falta de
planificaciones en un 41.7%, falta de interés de las autoridades en un 25%, falta
de Infraestructuras de TI en un 18.8%, falta de personal especialista en un
10.4% y finalmente por falta de recursos económicos en un 4.2 % por tanto, Las
Frecuencia
Porcentaje
Porcentaje válido
Porcentaje acumulado
Vá
lidos
Falta de Planificación 20 41.7 41.7 41.7
Falta de Infraestructuras de TI 9 18.8 18.8 60.4
Falta de Interés de las Autoridades
12 25.0 25.0 85.4
Falta de Personal especialista 5 10.4 10.4 95.8
Otra, ¿Cuál? 2 4.2 4.2 100
Total 48 100.0 100,0
102
razones puestas de manifiesto por los informantes nos permiten afirmar:
4) De entre los siguientes conceptos que teóricamente deben
conocerse y aplicarse en la gestión de la seguridad de las
informaciones y que se encuentran plasmados en la Norma Técnica
Peruana NTP/ISO/IEC 17799, mencioné las que ud. conoce y aplica
para lograr la mejora de la ciberdefensa en la protección de la
información del Ejército del Perú.
Cuadro N° 06: Conceptos que deben conocerse y aplicarse en la gestión
de la seguridad de las informaciones y que se encuentran plasmados en
la Norma Técnica Peruana NTP/ISO/IEC 17799.
Conoce No
Conoce Población
Encuestada %
Conoce
% No
Conoce
% Total
Seguridad Ligada al Personal 14 34
48
29.17 70.83
100
Seguridad Física y del Entorno
15 33 31.25 68.75
Gestión de Comunicaciones y Operaciones
15 33 31.25 68.75
Administración y Control de Acceso
16 32 33.33 66.67
Desarrollo y Mantenimiento de Sistemas
12 36 25.00 75.00
Aspectos Organizativos de la Seguridad
13 35 27.08 72.92
Promedio 14.17 33.83 29.51 70.49
FUENTE: Elaboración propia a partir de los datos obtenidos de la encuesta aplicada al Personal Militar y Civil del COPERE encargados de administrar las infraestructuras de TI y personal responsable de brindar seguridad de las redes y sistemas de Información las instalaciones del CGE. Al 30 septiembre del 2016.
Razones suficientes para sustentar que, como consecuencia de Falta de
planificación, Falta de interés de las autoridades, falta de infraestructuras
de TI, falta de personal especialista y otro, se presentan deficiencias en
la capacitación del Personal Militar y Civil del COPERE encargados de
administrar las infraestructuras de TI.
103
0
5
10
15
20
25
30
35
40
SeguridadLigada alPersonal
SeguridadFísica y del
Entorno
Gestión deComunicacio
nes yOperaciones
Administración y Control
de Acceso
Desarrollo yMantenimie
nto deSistemas
AspectosOrganizativo
s de laSeguridad
Promedio
Conoce 14 15 15 16 12 13 14.17
No Conoce 34 33 33 32 36 35 33.83
14 15 15 1612 13 14.17
34 33 33 3236 35 33.83
Grafico Nº 04: Conceptos que deben conocerse y aplicarse en la gestión
de la seguridad de las informaciones y que se encuentran plasmados en
la Norma Técnica Peruana NTP/ISO/IEC 17799
Figura Nº 22 – Distribución de Frecuencias de la
Cantidad de conceptos de las NTP
Análisis. – La anterior figura nos permite interpretar:
…” La cantidad promedio de conceptos sobre la Norma Técnica Peruana
que conocen el Personal Militar y Civil del COPERE encargados de
administrar las infraestructuras de TI es: 1,77 y, la mayor cantidad de
conceptos sobre la Norma Técnica Peruana que conocen el Personal Militar
y Civil del COPERE encargados de administrar las infraestructuras de TI es
está comprendido en: 0,865 (1,77– 0,905) a 2,675 (1,77+ 0,905) “…
104
8.3%
20.8%
37.5%
33.3%
0.0%Total Conocimiento
Mayor Conocimiento
Regular Conocimiento
Menor Conocimiento
No tiene Conocimiento
Lo que nos permite calificar como negativo y lo interpretamos como la
explicación de las deficiencias en los programas de capacitación, porque
lo correcto es que la cantidad promedio de conceptos sobre la Norma
Técnica Peruana que deben conocen el Personal Militar y Civil del
COPERE encargados de administrar las infraestructuras de TI tienda a
los seis conceptos considerados.
5) Marque con una (X) el nivel de conocimiento de la Norma Técnica
Peruana NTP/ISO/IEC 17799 – “Código de buenas prácticas para la
gestión de la seguridad de la información”.
Cuadro N° 07.- Nivel de conocimiento de la Norma Técnica Peruana
NTP/ISO/IEC 17799 – “Código de buenas prácticas para la gestión de la
seguridad de la información”.
Grafico Nº05: Nivel de conocimiento de la Norma Técnica Peruana
NTP/ISO/IEC 17799 – “Código de buenas prácticas para la gestión de la
seguridad de la información”.
Frecuencia Porcentaje
Porcentaje válido
Porcentaje acumulado
Vá
lidos
Total Conocimiento 4 8.3 8.3 8.3
Mayor Conocimiento 10 20.8 20.8 29.2
Regular Conocimiento 18 37.5 37.5 66.7
Menor Conocimiento 16 33.3 33.3 100.0
No tiene Conocimiento 0 0 0 0
Total 48 100.0 100,0
105
Análisis. – Estudiando y analizando las razones del Cuadro Nº 7 y Gráfico
Nº 05 del numeral 4.1.2.1 del ítem 5). los informantes coinciden con el nivel
de conocimiento de la Norma Técnica Peruana NTP/ISO/IEC 17799 –
“Código de buenas prácticas para la gestión de la seguridad de la
información., donde se observa que, de acuerdo a la prelación, el 37.5% de
informantes tiene regular conocimiento, seguido del 33.3% que respondieron
que tienen menor conocimiento, 20.8% tienen mayor conocimiento y
finalmente un 8.3% tienen total conocimiento de la mencionada directiva. Las
razones puestas de manifiesto por los informantes nos permiten afirmar:
6) ¿Cuáles son las razones o causas de no conocer o aplicar la Norma
Técnica Peruana NTP/ISO/IEC 17799 – “Código de buenas prácticas
para la gestión de la seguridad de la información”?
Cuadro N° 08.- Razones o causas de no conocer o aplicar la Norma
Técnica Peruana NTP/ISO/IEC 17799 – “Código de buenas prácticas para la
gestión de la seguridad de la información
Frecuencia Porcentaje
Porcentaje válido
Porcentaje acumulado
Vá
lidos
Por desconocimiento parcial o total de sus lineamientos 26 54.2 54.2 54.2
No he sido Capacitado 15 31.3 31.3 85.4
Sus lineamientos son difíciles de aplicar en la realidad 4 8.3 8.3 93.8
Sus dispositivos no se adecuan con la realidad de la institución 3 6.3 6.3 100.0
Otra, ¿Cuál? 0 0 0 0
Total 48 100.0 100,0
“…Existen deficiencias en el nivel de conocimiento de la Norma Técnica
Peruana NTP/ISO/IEC 17799 – “Código de buenas prácticas para la gestión
de la seguridad de la información, debido que se tiene un regular y menor
conocimiento de sus lineamientos”
106
54.2%
8.3%6.3%
31.3%
0.0%Por desconocimiento parcial
o total de sus lineamientos
Sus lineamientos son
difíciles de aplicar en la
realidad
Sus dispositivos no se
adecuan con la realidad de
la institución
No he sido Capacitado
Otra, ¿Cuál?
Grafico Nº 06: Razones o causas de no conocer o aplicar la Norma
Técnica Peruana NTP/ISO/IEC 17799 – “Código de buenas prácticas
para la gestión de la seguridad de la información.
Análisis. – Estudiando y analizando las razones del Cuadro Nº 8 y Gráfico
Nº 6 del numeral 4.1.2.1 del ítem 6). los informantes coinciden con las
razones por las cuales no se tiene un buen nivel de conocimiento de la
Norma Técnica Peruana NTP/ISO/IEC 17799 – “Código de buenas prácticas
para la gestión de la seguridad de la información”, en la cual se observa que,
de acuerdo a la prelación, el 54.2% de informantes manifiestan tener un
desconocimiento parcial o total de la mencionada norma, seguido del 31.3%
que manifestaron no haber tenido capacitación en el tema, 8.3%
respondieron que el desconocimiento es debido a que sus lineamientos son
difíciles de aplicar y finalmente un 6.3 % manifestaron que sus dispositivos
no se adecuan a la realidad institucional. Las razones puestas de manifiesto
por los informantes nos permiten afirmar:
Razones suficientes para sustentar que, como consecuencia del
desconocimiento total o parcial de la norma, la falta de capacitación en el
tema, la dificultad de aplicar sus lineamientos y que sus dispositivos no
se adecuan a la realidad de nuestra institución, se presentan deficiencias
en el nivel de conocimiento de la Norma Técnica Peruana NTP/ISO/IEC
17799 – “Código de buenas prácticas para la gestión de la seguridad de
la información”., ya que el Personal Militar y Civil del COPERE no posee
con los conocimientos necesarios para la óptima aplicación de esta.
107
0.0% 12.5%
56.3%
31.3%
Sumamente Satisfecho
Muy Satisfecho
Satisfecho
Poco satisfecho
Nada satisfecho
7) A1 ¿Cómo califica el nivel de los programas de capacitación
relacionados con la ciberdefensa y su incidencia en la protección de la
información del Ejército del Perú?
Cuadro N° 09.- Nivel de los programas de capacitación relacionados con
la ciberdefensa y su incidencia en la protección de la información del Ejército
del Perú
Grafico Nº07: Nivel de los programas de capacitación relacionados con la
ciberdefensa y su incidencia en la protección de la información del Ejército
del Perú.
Análisis. – Estudiando y analizando las razones del Cuadro Nº 9 y Gráfico Nº 07
del numeral 4.1.2.1 del ítem 7). los informantes coinciden con el nivel de los
programas de capacitación relacionados con la ciberdefensa y su incidencia en la
protección de la información del Ejército del Perú., donde se observa que un 87.6%
de los informantes están poco o nada satisfechos y tan solo un 12.5% están
satisfechos con los programas de capacitación. Por las razones puestas de
manifiesto por los informantes nos permiten afirmar:
Frecuencia Porcentaje
Porcentaje válido
Porcentaje acumulado
Vá
lidos
Sumamente Satisfecho 0 0 0 0
Muy Satisfecho 0 0 0 0
Satisfecho 6 12.5 12.5 12.5
Poco satisfecho 27 56.3 56.3 68.8
Nada satisfecho 15 31.3 31.3 100.00
Total 48 100.0 100,0
“…Existen deficiencias en el nivel de los programas de capacitación
relacionados con la ciberdefensa y su incidencia en la protección de la
información del Ejército del Perú., debido que Personal Militar y Civil del
COPERE encargados de administrar las infraestructuras de TI y personal
responsable de brindar seguridad de las redes y sistemas de Información las
instalaciones del CGE, se encuentran poco o nada satisfechos con los
mencionados programas de capacitación.”
108
25.0%
22.9%
18.8%
25.0%
8.3%Mala planificación
Falta de Instalaciones
Mala designación de alumnos
Falta de docentes especialistas
Otra, ¿Cuál?
8) ¿Causas o razones que Ud. considera por qué no se da sumamente
satisfecho con los programas de capacitación en relación a la
ciberdefensa y su incidencia en la protección de la información del
Ejército del Perú?
Cuadro N° 10.- Causas o razones que Ud. considera por qué no se da
sumamente satisfecho con los programas de capacitación en relación a la
ciberdefensa y su incidencia en la protección de la información del Ejército
del Perú
Grafico Nº08: Causas o razones que Ud. considera por qué no se da
sumamente satisfecho con los programas de capacitación en relación a la
ciberdefensa y su incidencia en la protección de la información del Ejército
del Perú.
Fuente: Elaboración propia a partir de los datos obtenidos de la encuesta aplicada al
Personal Militar y Civil del COPERE encargados de administrar las infraestructuras de TI y
personal responsable de brindar seguridad de las redes y sistemas de Información las
instalaciones del CGE. Al 30 septiembre del 2016.
Frecuencia Porcentaje
Porcentaje válido
Porcentaje acumulado
Vá
lidos
Mala planificación 12 25.0 25.0 25.0
Falta de Instalaciones 11 22.9 22.9 47.9
Mala designación de alumnos 9 18.8 18.8 66.7
Falta de docentes especialistas 12 25.0 25.0 91.7
Otra, ¿Cuál? 4 8.3 8.3 100.00
Total 48 100.0 100.0
109
Análisis. – Estudiando y analizando las razones del Cuadro Nº 10 y Gráfico
Nº 08 del numeral 4.1.2.1 del ítem 8). los informantes coinciden con las
razones por las cuales no se encuentran sumamente satisfechos con los
programas de capacitación en relación a la ciberdefensa como parte de la
protección de la información del Ejército del Perú, en la cual se observa que,
de acuerdo a la prelación, el 25% de informantes manifiestan que esto se da
por la falta de planificación, el 25% por falta de personal docente especialista
en el tema, un 22.9% por falta de instalaciones adecuadas , 18.8% por la
mala designación de alumnos para asistir a estos cursos y un 8.3 % por otros
motivos como falta de interés del escalón superior en realizar este tipo de
cursos por no ser prioridad en estos momentos. Por las razones puestas de
manifiesto por los informantes nos permiten afirmar:
4.1.2.2 RECURSOS DISPONIBLES
9) De entre las siguientes maneras o formas de obtener asignación
presupuestal, mencioné las que ud. conoce para mejorar de la
ciberdefensa en la protección de la información del Ejército del Perú.
Cuadro N° 11: Maneras o formas que conoce para obtener asignación
presupuestal para mejorar de la ciberdefensa en la protección de la
información del Ejército del Perú
Conoce No
Conoce Población
Encuestada %
Conoce
% No
Conoce
% Total
Confeccionar un Proyecto de Inversión Publica
16 32
48
33.33 66.67
100
Demanda adicional al MEF ante una amenaza potencial
15 33 31.25 68.75
Convenios con Instituciones Privadas
12 36 25.00 75.00
Considerarlo en el Programa Presupuestal Anual
14 34 29.17 70.83
Promedio 14.25 33.75 29.69 70.31
FUENTE: Elaboración propia a partir de los datos obtenidos de la encuesta aplicada al Personal Militar y Civil del COPERE encargados de administrar las infraestructuras de TI y personal responsable de brindar seguridad de las redes y sistemas de Información las instalaciones del CGE. Al 30 septiembre del 2016.
Razones suficientes para sustentar que, como consecuencia de la mala
planificación de la programación de cursos, falta de docentes
especialistas en ciberdefensa, falta de instalaciones adecuadas para
desarrollar este tipo de cursos y una mala designación a alumnos para
asistir a estos cursos, se presentan deficiencias en los programas de
capacitación en relación a la ciberdefensa como parte de la protección
de la información del Ejército del Perú.
110
0
5
10
15
20
25
30
35
40
Confeccionar unProyecto de
Inversión Publica
Demanda adicionalal MEF ante una
amenaza potencial
Convenios conInstituciones
Privadas
Considerarlo en elPrograma
Presupuestal Anual
Promedio
Conoce 16 15 12 14 14.25
No Conoce 32 33 36 34 33.75
16 1512
1414.25
32 3336
34 33.75
Grafico Nº 09: Maneras o formas que conoce para obtener asignación
presupuestal para mejorar de la ciberdefensa en la protección de la
información del Ejército del Perú
Figura Nº 23 – Distribución de Frecuencias de las maneras o formas de obtener asignación presupuestal
Análisis. – La anterior figura nos permite interpretar:
…” La cantidad promedio de maneras o formas de obtener asignación
presupuestal que conocen el Personal Militar y Civil del COPERE
encargados de administrar las infraestructuras de TI es: 1,19 y, la mayor
cantidad de maneras o formas de obtener asignación presupuestal que
conocen el Personal Militar y Civil del COPERE encargados de administrar
las infraestructuras de TI está comprendido en: 0,796 (1,19– 0,394) a 1,384
(1,19+ 0,194) “…
111
8.3%
75.0%
16.7% Muy Favorable
Favorable
Medianamente Favorable
Desfavorable
Adversa
Lo que nos permite calificar como negativo y lo interpretamos como la
explicación de las carencias de recursos disponibles, porque lo correcto
es que la cantidad promedio de maneras o formas de obtener asignación
presupuestal que deben conocen el Personal Militar y Civil del COPERE
encargados de administrar las infraestructuras de TI tienda a las cuatro
formas consideradas.
10) B4 ¿Cómo califica el nivel de asignación Presupuestal asignado al
uso de Ciberdefensa para proteger la información del Ejército del
Perú?
Cuadro N° 12.- Nivel de asignación Presupuestal asignado al uso de
Ciberdefensa para proteger la información del Ejército del Perú
Grafico Nº10: Nivel de asignación Presupuestal asignado al uso de
Ciberdefensa para proteger la información del Ejército del Perú.
Análisis. – Estudiando y analizando las razones del Cuadro Nº 12 y Gráfico
Nº 10 del numeral 4.1.2.2 del ítem 10). los informantes coinciden con el nivel
de asignación Presupuestal asignado al uso de Ciberdefensa para proteger
la información del Ejército del Perú., donde se observa que un 75%
manifestaron que es desfavorable, el 16.7% que es adversa y tan solo el
Frecuencia Porcentaje
Porcentaje válido
Porcentaje acumulado
Vá
lidos
Muy Favorable 0 0 0 0
Favorable 0 0 0 0
Medianamente Favorable 4 8.3 8.3 8.3
Desfavorable 36 75.0 75.0 83.3
Adversa 8 16.7 16.7 100.00
Total 48 100.0 100,0
112
29.2%
14.6%
10.4%16.7%
29.2%
Falta de Planificación
Otras Prioridades del estado
Falta de interés de las
autoridadesFalta de Recursos Disponibles
Otra, ¿Cuál?
8.3% que es medianamente favorable. Por las razones puestas de manifiesto
por los informantes nos permiten afirmar:
11) ¿Cuáles son las causas o razones por las que Ud. considera que las
autoridades no asignan presupuestos para ciberdefensa en favor de
la protección de la información del Ejército del Perú?
Cuadro N° 13.- Causas o Razones por las que Ud. considera que las
autoridades no asignan presupuestos para ciberdefensa en favor de la
protección de la información del Ejército del Perú.
Grafico Nº11: Causas o Razones por las que Ud. considera que las
autoridades no asignan presupuestos para ciberdefensa en favor de la
protección de la información del Ejército del Perú
Frecuencia Porcentaje
Porcentaje válido
Porcentaje acumulado
Vá
lidos
Falta de Planificación 14 29.2 29.2 29.2
Otras Prioridades del estado 7 14.6 14.6 43.8
Falta de interés de las autoridades 5 10.4 10.4 54.2
Falta de Recursos Disponibles 8 16.7 16.7 70.8
Otra, ¿Cuál? 14 29.2 29.2 100.00
Total 48 100.0 100,0
“…Existen carencias en el nivel de asignación Presupuestal asignado
al uso de Ciberdefensa para proteger la información del Ejército del
Perú., en razón que se ve dificultado porque no existe la asignación
presupuestal necesaria para implementar ciberdefensa; y así de esta
manera proteger la información del Ejército del Perú.”
113
Análisis. – Estudiando y analizando las razones del Cuadro Nº 13 y Gráfico
Nº 11 del numeral 4.1.2.2 del ítem 11). los informantes coinciden con las
razones por las cuales las autoridades no asignan presupuestos para
ciberdefensa en favor de la protección de la información del Ejército del Perú,
en la cual se observa que, de acuerdo a la prelación, el 29.2% de informantes
manifiestan que esto se da por la falta de planificación, un 29.2% por otras
razones, como la falta de políticas en ciberdefensa a nivel estado o la falta
de conciencia de seguridad, el 16.7% por falta de recursos presupuestarios,
14.6% por que el estado tiene otras prioridades y finalmente el 10.4 % por
falta de interés de las autoridades. Por las razones puestas de manifiesto por
los informantes nos permiten afirmar:
12) De entre las siguientes Infraestructuras Estratégicas, que deben
conocerse y administrarse en la seguridad de las informaciones,
mencioné las que ud. conoce.
Cuadro N° 14: Infraestructuras Estratégicas que ud. conoce y administra
para la Seguridad de las Informaciones
Conoce No
Conoce Población
Encuestada %
Conoce
% No
Conoce
% Total
Personal 16 32
48
33.33 66.67
100
Instalaciones 15 33 31.25 68.75
Equipos 14 34 29.17 70.83
Servicios 16 32 33.33 66.67
Redes 15 33 31.25 68.75
Sistemas de Información 16 32 33.33 66.67
Promedio 15.33 32.67 31.94 68.06
FUENTE: Elaboración propia a partir de los datos obtenidos de la encuesta aplicada al Personal Militar y Civil del COPERE encargados de administrar las infraestructuras de TI y personal responsable de brindar seguridad de las redes y sistemas de Información las instalaciones del CGE. Al 30 septiembre del 2016.
Razones suficientes para sustentar que, como consecuencia de la falta
de planificación, falta de políticas en ciberdefensa o conciencia de
seguridad, falta de recursos presupuestarios, falta de prioridad y falta de
interés de las autoridades, se presentan Carencias en la asignación
presupuestaria para ciberdefensa en favor de la protección de la
información del Ejército del Perú.
114
0
5
10
15
20
25
30
35
Personal Instalaciones Equipos Servicios Redes Sistemas deInformación
Promedio
Conoce 16 15 14 16 15 16 15.33
No Conoce 32 33 34 32 33 32 32.67
16 15 1416 15 16 15.33
32 33 3432 33 32 32.67
Grafico Nº 12: Infraestructuras Estratégicas que ud. conoce y administra
para la Seguridad de las Informaciones
Figura Nº 24 – Distribución de Frecuencias de las
Infraestructuras Estratégicas que conoce y administra
Análisis. – La anterior figura nos permite interpretar:
…” La cantidad promedio de infraestructuras estratégicas que conocen y
administra el Personal Militar y Civil del COPERE encargados de administrar
las infraestructuras de TI es: 1,92 y, la mayor cantidad de infraestructuras
estratégicas que conocen y administra el Personal Militar y Civil del COPERE
encargados de administrar las infraestructuras de TI está comprendido en:
1,025 (1,92– 0,895) a 2,815 (1,92 + 0,895) “…
115
8.3%
66.7%
25.0%
Muy Favorable
Favorable
Medianamente Favorable
Desfavorable
Adversa
Lo que nos permite calificar como negativo y lo interpretamos como la
explicación de las carencias de recursos disponibles, porque lo correcto
es que la cantidad promedio de infraestructuras estratégicas que conocen
y administra el Personal Militar y Civil del COPERE encargados de
administrar las infraestructuras de TI tienda a las seis infraestructuras
consideradas.
13) B5 ¿Cómo califica el nivel de funcionalidad de las infraestructuras
estratégicas para el uso de ciberdefensa?
Cuadro N° 15.- Nivel de funcionalidad de las infraestructuras estratégicas
para el uso de ciberdefensa
Grafico Nº 13: Nivel de funcionalidad de las infraestructuras
estratégicas para el uso de ciberdefensa
Análisis. – Estudiando y analizando las razones del Cuadro Nº 15 y
Gráfico Nº 13 del numeral 4.1.2.2 del ítem 13). los informantes coinciden
con el nivel de funcionalidad de las infraestructuras estratégicas para el
uso de ciberdefensa., donde se observa que, de acuerdo a la prelación,
un 66.7% manifestaron que es desfavorable, el 25% que es adversa y tan
Frecuencia Porcentaje
Porcentaje válido
Porcentaje acumulado
Vá
lidos
Muy Favorable 0 0 0 0
Favorable 0 0 0 0
Medianamente Favorable 4 8.3 8.3 8.3
Desfavorable 32 66.7 66.7 75.0
Adversa 12 25.0 25.0 100.0
Total 48 100.0 100,0
116
solo el 8.3% que es medianamente favorable. Por las razones puestas de
manifiesto por los informantes nos permiten afirmar:
14) ¿Cuáles son las razones o causas que ud considera por qué no se
dispone de un nivel adecuado de funcionalidad en infraestructuras
estratégicas para su uso en ciberdefensa?
Cuadro N° 16.- Razones o causas que ud considera por qué no se
dispone de un nivel adecuado de funcionalidad en infraestructuras
estratégicas para su uso en ciberdefensa.
Grafico Nº14: Razones o causas que ud considera por qué no se
dispone de un nivel adecuado de funcionalidad en infraestructuras
estratégicas para su uso en ciberdefensa
Frecuencia Porcentaje
Porcentaje válido
Porcentaje acumulado
Vá
lidos
Falta de interés de las autoridades. 2 4.2 4.2 4.2
Falta de Equipamiento 12 25 25 29.2
Falta de asignación presupuestal 27 56.3 56.3 85.4
Falta de personal capacitado 4 8.3 8.3 93.8
Otra, ¿Cuál? 3 6.3 6.3 100.0
Total 48 100.0 100.0
“…Existen carencias en el nivel de Funcionalidad de las
infraestructuras estratégicas para el uso de ciberdefensa., en razón que
se ve dificultado porque no existen las infraestructuras estratégicas
adecuadas que permitan implementar ciberdefensa para la protección
de la información del Ejército del Perú.”
4.2%
25.0%
56.3%
8.3%
6.3%Falta de interés de las
autoridades.
Falta de Equipamiento
Falta de asignación
presupuestal
Falta de personal
capacitado
Otra, ¿Cuál?
117
Análisis. – Estudiando y analizando las razones del Cuadro Nº 16 y
Gráfico Nº 14 del numeral 4.1.2.2 del ítem 14). los informantes coinciden
con las razones por las cuales no se dispone de un nivel adecuado de
funcionalidad en infraestructuras estratégicas para su uso en
ciberdefensa, en la cual se observa que, de acuerdo a la prelación, el
56.3% de informantes manifiestan que esto se da por falta de asignación
presupuestal, el 25 % por la falta de equipamiento que brinden
ciberseguridad (Protección, Monitoreo, exploración), un 8.3% por falta de
personal capacitado que pueda desarrollar herramientas informáticas que
brinden ciberdefensa, el 6.3 % por otras razones, como la falta de políticas
en ciberdefensa a nivel estado o la software especializado y el 4.2% por
falta de interés de las autoridades. Por las razones puestas de manifiesto
por los informantes nos permiten afirmar:
A2 ¿Cómo califica el nivel de recursos disponibles relacionados con la
ciberdefensa y su incidencia en la protección de la información del
Ejército del Perú?
Cuadro N° 17.- Nivel de recursos disponibles relacionados con la
Ciberdefensa y su incidencia en la protección de la información del
Ejército del Perú
Frecuencia Porcentaje
Porcentaje válido
Porcentaje acumulado
Vá
lidos
Muy Favorable 0 0 0 0
Favorable 0 0 0 0
Medianamente Favorable 2 4.2 4.2 4.2
Desfavorable 38 79.2 79.2 83.3
Adversa 8 16.7 16.7 100.0
Total 48 100.0 100,0
Razones suficientes para sustentar que, como consecuencia de la falta
de equipamiento, falta asignación presupuestal, falta de políticas en
ciberdefensa o software especializado, falta de personal capacitado, y
falta de interés de las autoridades, se presentan Carencias en la
funcionalidad de infraestructuras estratégicas para ciberdefensa en favor
de la protección de la información del Ejército del Perú.
118
0.0% 4.2%
79.2%
16.7%
Muy Favorable
Favorable
Medianamente Favorable
Desfavorable
Adversa
Grafico Nº 15: Nivel de recursos disponibles relacionados con la
Ciberdefensa y su incidencia en la protección de la información del
Ejército del Perú.
Análisis. – Estudiando y analizando las razones del Cuadro Nº 17 y
Gráfico Nº 15 del numeral 4.1.2.2 del ítem 15). los informantes coinciden
en relación al nivel de recursos disponibles relacionados con la
Ciberdefensa y su incidencia en la protección de la información del
Ejército del Perú., donde se observa que un 79.2% de los informantes
manifiestan que es desfavorable, 16.7% que es adversa y tan solo 4.2%
que es medianamente favorable. Por las razones puestas de manifiesto
por los informantes nos permiten afirmar:
15) ¿Cuáles son las razones o causas de No contar con suficientes
recursos disponibles relacionados con la ciberdefensa y su
incidencia en la protección de la información del Ejército del Perú?
“…Existen carencias en el nivel de recursos disponibles relacionados
con la Ciberdefensa y su incidencia en la protección de la información
del Ejército del Perú., en razón que se ve dificultado porque, los
recursos disponibles que se dispone son desfavorables o adversos
para poder para implementar ciberdefensa; y así de esta manera
proteger la información del Ejército del Perú.”
119
Cuadro N° 18.- Razones o Causas de No contar con suficientes
recursos disponibles relacionados con la ciberdefensa y su incidencia en
la protección de la información del Ejército del Perú
Grafico Nº16: Razones o Causas de No contar con suficientes
recursos disponibles relacionados con la ciberdefensa y su incidencia en
la protección de la información del Ejército del Perú.
Análisis. – Estudiando y analizando las razones del Cuadro Nº 18 y Gráfico
Nº 16 del numeral 4.1.2.2 del ítem 16). los informantes coinciden con las
razones por las cuales no se cuenta con los suficientes recursos disponibles
relacionados con la ciberdefensa y su incidencia en la protección de la
información del Ejército del Perú, en la cual se observa que, de acuerdo a la
prelación, el 35.4% manifestaron que este hecho se da porque no existen
políticas del estado en temas de ciberdefensa, un 27.1% por falta de
planificación , 20.8% porque el estado tiene otras prioridades para la
asignación de recursos y un 16.6 % por falta de conocimientos y falta de
interés de las autoridades. Por las razones puestas de manifiesto por los
informantes nos permiten afirmar:
Frecuencia Porcentaje
Porcentaje válido
Porcentaje acumulado
Vá
lidos
Falta de Planificación 12 25.0 25.0 25.0
Otras Prioridades del estado 10 20.8 20.8 45.8
Falta de interés de las autoridades 5 10.4 10.4 56.3
Falta de Conocimientos 4 8.3 8.3 64.6
Otra, ¿Cuál? 17 35.4 35.4 100.00
Total 48 100.0 100.0
27.1%
20.8%
8.3%8.3%
35.4%
Falta de Planificación
Otras Prioridades del
estado
Falta de interés de las
autoridades
Falta de Conocimientos
Otra, ¿Cuál?
120
0
5
10
15
20
25
30
35
40
Seguridad delas
informaciones
Ciberseguridad Ciberdefensa Ciberguerra Protección delas
informaciones
Ciberespacio Promedio
Conoce 16 10 9 11 15 14 12.50
No Conoce 32 38 39 37 33 34 35.50
16
10 911
15 14 12.50
32
38 3937
33 3435.50
4.1.2.3 PROCEDIMIENTOS DE SEGURIDAD INFORMATICA
16) De entre los siguientes conceptos básicos, marque los que a su
entender conoce y son aplicados adecuadamente para mejorar de la
ciberdefensa en la protección de la información del Ejército del Perú.
Cuadro N° 19: Conceptos básicos que conoce y aplica adecuadamente
para mejorar de la ciberdefensa en la protección de la información del
Ejército del Perú
Conoce No
Conoce Población
Encuestada %
Conoce
% No
Conoce
% Total
Seguridad de las Informaciones
16 32
48
33.33 66.67
100
Ciberseguridad 10 38 20.83 79.17
Ciberdefensa 9 39 18.75 81.25
Ciberguerra 11 37 22.92 77.08
Protección de las informaciones
15 33 31.25 68.75
Ciberespacio 14 34 29.17 70.83
Promedio 12.50 35.50 26.04 73.96
Grafico Nº 17: Conceptos básicos que conoce y aplica adecuadamente
para mejorar de la ciberdefensa en la protección de la información del
Ejército del Perú
Razones suficientes para sustentar que, como consecuencia de falta de
políticas del estado en temas de ciberdefensa, falta de planificación,
por no ser prioridad para el estado en estos momentos y falta de
conocimientos e interés por las autoridades, se presentan carencias en
los recursos disponibles relacionados con la ciberdefensa y su incidencia
en la protección de la información del Ejército del Perú.
121
Lo que nos permite calificar como negativo y lo interpretamos como la
explicación del desconocimiento o mala aplicación de la seguridad de las
informaciones, porque lo correcto es que la cantidad promedio de
conceptos básicos relacionado con ciberdefensa que conocen el
Personal Militar y Civil del COPERE encargados de administrar las
infraestructuras de TI tienda a los seis conceptos considerados.
Figura Nº 25 – Distribución de Frecuencias de los Conceptos Básicos
Análisis. – La anterior figura nos permite interpretar:
…” La cantidad promedio de Conceptos Básicos relacionados con
ciberdefensa que conocen el Personal Militar y Civil del COPERE
encargados de administrar las infraestructuras de TI es: 1,56 y, la mayor
cantidad Conceptos Básicos relacionados con ciberdefensa que conocen y
administra el Personal Militar y Civil del COPERE encargados de administrar
las infraestructuras de TI está comprendido en: 0,771 (1.56 – 0,789) a 2,209
(1,56+ 0,649) “…
17) B1 ¿Marque con una (X) en nivel de conocimiento y aplicación que
tiene Ud. sobre los Conceptos Básicos en seguridad de las
informaciones?
Teóricamente se plantea que, para desarrollar eficientemente la
ciberdefensa y su incidencia en la protección de la información del Ejército
del Perú, se deben conocer y aplicar los conceptos básicos que se indican
en el numeral 2.2.1.1.
122
Cuadro N° 20.- Nivel de conocimiento y aplicación que tiene Ud. sobre los
Conceptos Básicos en seguridad de las informaciones
Grafico Nº18: Nivel de conocimiento y aplicación que tiene Ud. sobre
los Conceptos Básicos en seguridad de las informaciones
Análisis. – En consecuencia a la realidad observada podemos apreciar en el
Cuadro Nº 20 y Gráfico Nº 18 (B1 Conceptos Básicos que conoce y aplica
en la Seguridad de las Informaciones), que solo existe un 27.1% de los
informantes que posee un nivel de conocimiento Muy bueno y/o Bueno, de
igual manera se observa que el 72.9%, poseen un nivel regular y malo de los
conceptos básicos de Seguridad de las Informaciones, Como resultado
consecuente, se observa:
Frecuencia Porcentaje Porcentaje válido
Porcentaje acumulado
Vá
lidos
Muy bueno 4 8.3 8.3 8.3
Bueno 9 18.8 18.8 27.1
Regular 15 31.3 31.3 58.3
Malo 20 41.7 41.7 100.0
Pésimo 0 0 0 0
Total 48 100.0 100.0
“…Existe Desconocimiento o aplicación inadecuada de los
conceptos básicos relacionados con la seguridad de las informaciones,
en razón de que el personal Militar o Civil que administra las
Infraestructuras de TI, no posee un nivel de conocimientos y aplicación
adecuado …”
8.3%
18.8%
31.3
41.7%
0.0%Muy bueno
Bueno
Regular
Malo
Pésimo
123
47.9%
25.0%
14.6%
4.2%
8.3%Falta de Capacitación
Falta de Recursos
Económicos
Por desconocimiento
Difícil de aplicar
Otra, ¿Cuál?
18) ¿Cuáles son las razones o causas de no aplicar o conocer los
Conceptos Básicos en Seguridad de las Informaciones?
Cuadro N° 21.- Razones o causas de no aplicar o conocer los Conceptos
Básicos en Seguridad de las Informaciones.
Grafico Nº19: Razones o causas de no aplicar o conocer los Conceptos
Básicos en Seguridad de las Informaciones
Análisis. – Estudiando y analizando las razones del Cuadro Nº 21 y Gráfico
Nº 19 del numeral 4.1.2.3 del ítem 19). los informantes coinciden con las
razones o causas por las cuales no se conoce los conceptos básicos en
seguridad de las informaciones, en la cual se observa que, de acuerdo a la
prelación, el 47.9% manifestaron que es por la falta de capacitación, 25 %
por falta de recursos económicos, estas razones representan debilidad
representativa equivalente al 72.9% de la población informante; así mismo,
un 27.1% del potencial humano manifiesta que esta situación se da por
desconocimiento, que son difíciles de aplica y por falta de interés de las
autoridades en capacitar al personal. Razones suficientes para sustentar que
existen:
Frecuencia Porcentaje
Porcentaje válido
Porcentaje acumulado
Vá
lidos
Falta de Capacitación 23 47.9 47.9 47.9
Falta de Recursos Económicos 12 25 25 72.9
Por desconocimiento 7 14.6 14.6 87.5
Difícil de aplicar 2 4.2 4.2 91.7
Otra, ¿Cuál? 4 8.3 8.3 100.0
Total 48 100.0 100,0
124
0
5
10
15
20
25
30
35
40
Principios de laSeguridad de lasInformaciones
Principios de laCiberseguridad
Principios de unaconciencia en
ciberseguridad
Principios de laCiberdefensa
Principios de laCiberguerra
Promedio
Conoce 15 11 8 14 16 12.80
No Conoce 33 37 40 34 32 35.20
1511
8
1416
12.80
3337
40
3432
35.20
19) Marque con una “X” los principios básicos que ud conoce y aplica
en relación a la ciberdefensa y su incidencia en la protección de la
información del Ejército del Perú.
Cuadro N° 22: Principios básicos que conoce y aplica adecuadamente
para mejorar de la ciberdefensa en la protección de la información del
Ejército del Perú
Grafico Nº 20: Principios básicos que conoce y aplica adecuadamente
para mejorar de la ciberdefensa en la protección de la información del
Ejército del Perú
Conoce No
Conoce Población
Encuestada %
Conoce
% No
Conoce
% Total
Principios de la Seguridad de las Informaciones
15 33
48
31.25 68.75
100
Principios de la Ciberseguridad
11 37 22.92 77.08
Principios de una conciencia en ciberseguridad
8 40 16.67 83.33
Principios de la Ciberdefensa
14 34 29.17 70.83
Principios de la Ciberguerra
16 32 33.33 66.67
Promedio 12.80 35.20 26.67 73.33
Razones suficientes para sustentar que, como consecuencia de la falta
de capacitación, falta de recursos económicos, por desconocimiento del
tema, por la dificultad de aplicar los conocimientos y falta de interés de las
autoridades en capacitar al personal, se presenta Desconocimiento o
aplicación inadecuada de la seguridad de las informaciones, en razón
de no aplicar y conocer los conceptos básicos.
125
Lo que nos permite calificar como negativo y lo interpretamos como la
explicación del desconocimiento o aplicación inadecuada de la seguridad
de las informaciones, porque lo correcto es que la cantidad promedio de
principios básicos relacionado con ciberdefensa que conocen el Personal
Militar y Civil del COPERE encargados de administrar las infraestructuras
de TI tienda a los cinco principios considerados.
Figura Nº 26 – Distribución de Frecuencias de los Principios Básicos
Análisis. – La anterior figura nos permite interpretar:
…” La cantidad promedio de Principios Básicos relacionados con
ciberdefensa que conocen el Personal Militar y Civil del COPERE
encargados de administrar las infraestructuras de TI es: 1,33 y, la mayor
cantidad Principios Básicos relacionados con ciberdefensa que conocen y
administra el Personal Militar y Civil del COPERE encargados de administrar
las infraestructuras de TI está comprendido en: 0,811 (1,33 – 0,519) a 1,849
(1,33+ 0,519) “…
20) B2 ¿Marque con una (X) en nivel de conocimiento y aplicación que
tiene Ud. sobre los Principios Básicos descritos anteriormente?
Teóricamente se plantea que, para desarrollar eficientemente la
ciberdefensa y su incidencia en la protección de la información del Ejército
del Perú, se deben conocer y aplicar adecuadamente los Principios
126
6.3%
14.6%
31.347.9%
0.0%Muy bueno
Bueno
Regular
Malo
Pésimo
Básicos que se indican en el Numeral 2.2.1.2. es en ese sentido que de
acuerdo al Cuadro Nº 22 y Gráfico Nº 21 se observa la siguiente situación
que se describe en prelación.
Cuadro N° 23.- Nivel de Conocimiento de los Principios básicos relacionados con la ciberdefensa y su incidencia en la protección de la información del Ejército del Perú
Grafico Nº21: Nivel de Conocimiento de los Principios básicos relacionados con la ciberdefensa y su incidencia en la protección de la información del Ejército del Perú
Análisis. – En consecuencia, a la realidad observada podemos apreciar en
el Cuadro Nº 23 y Gráfico Nº 21 (B2 Principios Básicos que conoce y aplica
en la Seguridad de las Informaciones), que solo existe un 20.9% de los
informantes que posee un nivel de conocimiento Muy bueno y/o Bueno, de
igual manera se observa que el 79.1%, poseen un nivel regular y malo de los
Principios básicos relacionados con la Ciberdefensa, Como resultado
consecuente, se observa:
Frecuencia Porcentaje Porcentaje válido
Porcentaje acumulado
Vá
lidos
Muy bueno 3 6.3 6.3 6.3
Bueno 7 14.6 14.6 20.9
Regular 15 31.3 31.3 52.2
Malo 23 47.9 47.9 100.
Pésimo 0 0.0 0.0 0.0
Total 48 100.0 100,0
“…que existen Desconocimiento o aplicación inadecuada de los
principios relacionados a la ciberdefensa y su incidencia en la protección
de la información del Ejército del Perú, como consecuencia de la no
aplicación y/o el desconocimiento de los principios enunciados...”
127
47.9%
18.8%4.2%
22.9%
6.3%
Falta de Capacitación
Falta de Recursos Económicos
Por desconocimiento
Difícil de aplicar
Otra, ¿Cuál?
21) ¿Cuáles son las razones o causas de no aplicar o conocer los
Principios relacionados con la ciberdefensa y su incidencia en la
protección de la información del Ejército del Perú?
Cuadro N° 24.- Razones o causas de no aplicar o conocer los Principios
relacionados con la ciberdefensa y su incidencia en la protección de la
información del Ejército del Perú.
Grafico Nº22: Razones o causas no aplicar o conocer los Principios
relacionados con la ciberdefensa y su incidencia en la protección de la
información del Ejército del Perú
Análisis. – Estudiando y analizando las razones del Cuadro Nº 24 y Gráfico
Nº 22. los informantes coinciden con las razones o causas por las cuales no
se conoce o aplica los Principios relacionados con la ciberdefensa y su
incidencia en la protección de la información del Ejército del Perú, que el
47.9% manifestaron que es por la falta de capacitación, el 22.9 % porque los
principios son difíciles de aplicar, el 18.8% por falta de recursos económicos,
el 6.3 % por falta de políticas a nivel estado referentes a ciberdefensa y un
4.2% por desconocimiento. Razones suficientes para sustentar que existen:
Frecuencia Porcentaje
Porcentaje válido
Porcentaje acumulado
Vá
lidos
Falta de Capacitación 23 47.9 47.9 47.9
Falta de Recursos Económicos 9 18.8 18.8 66.7
Por desconocimiento 2 4.2 4.2 70.8
Difícil de aplicar 11 22.9 22.9 93.8
Otra, ¿Cuál? 3 6.3 6.3 100.0
Total 48 100.0 100,0
128
2.1% 6.3%
45.8
27.1%
18.8%
Muy bueno
Bueno
Regular
Malo
Pésimo
22) A3 ¿Cómo califica el nivel de conocimiento de los procedimientos de
seguridad informática relacionados con la ciberdefensa y su
incidencia en la protección de la información del Ejército del Perú?
Cuadro N° 25.- Nivel de conocimiento de los procedimientos de
seguridad informática relacionados con la ciberdefensa y su incidencia en
la protección de la información del Ejército del Perú
Grafico Nº 23: Nivel de conocimiento de los procedimientos de
seguridad informática relacionados con la ciberdefensa y su incidencia
en la protección de la información del Ejército del Perú
Frecuencia Porcentaje
Porcentaje válido
Porcentaje acumulado
Vá
lidos
Muy bueno 1 2.1 2.1 2.1
Bueno 3 6.3 6.3 8.3
Regular 22 45.8 45.8 54.2
Malo 13 27.1 27.1 81.3
Pésimo 9 18.8 18.8 100.0
Total 48 100.0 100,0
Razones suficientes para sustentar que, como consecuencia de la falta
de capacitación, dificultad en la aplicación de los principios, la falta de
recursos económicos, la falta de políticas de estado referentes a
ciberdefensa y por desconocimiento de los principios, se presenta
Desconocimiento o aplicación inadecuada de los Principios
relacionados con la ciberdefensa y su incidencia en la protección de la
información del Ejército del Perú, en razón de no aplicarlos y/o
conocerlos.
129
Análisis. – Estudiando y analizando las razones del Cuadro Nº 25 y Gráfico
Nº 23 del numeral 4.1.2.3 del ítem 23). los informantes coinciden en relación
al nivel de conocimiento de los procedimientos de seguridad informática
relacionados con la ciberdefensa y su incidencia en la protección de la
información del Ejército del Perú, donde se observa que el 91.7 % poseen
regular, malo o pésimo nivel de conocimiento y tan solo un 8.4 % poseen un
buen y muy buenos conocimientos. Por las razones puestas de manifiesto
por los informantes nos permiten afirmar:
23) ¿Cuáles son las Razones o causas de no aplicar o conocer los
procedimientos de seguridad informática relacionados con la
ciberdefensa y su incidencia en la protección de la información del
Ejército del Perú?
Cuadro N° 26.- Razones o causas de no aplicar o conocer los
procedimientos de seguridad informática relacionados con la
ciberdefensa y su incidencia en la protección de la información del
Ejército del Perú
Frecuencia Porcentaje
Porcentaje válido
Porcentaje acumulado
Vá
lidos
Falta de Capacitación 18 37.5 37.5 37.5
Falta de Recursos Económicos 4 8.3 8.3 45.8
Por desconocimiento 12 25.0 25.0 70.8
Difícil de aplicar 9 18.8 18.8 89.6
Otra, ¿Cuál? 5 10.4 10.4 100.00
Total 48 100.0 100.0
“…que existe Desconocimiento o aplicación inadecuada de los
procedimientos de seguridad informática relacionados a la
ciberdefensa y su incidencia en la protección de la información del
Ejército del Perú, como consecuencia que los informantes no poseen
los conocimientos necesarios para su aplicación …”
130
37.5%
8.3%25.0%
18.8%
10.4%
Falta de Capacitación
Falta de Recursos
Económicos
Por desconocimiento
Difícil de aplicar
Otra, ¿Cuál?
Grafico Nº24: Razones o causas de no aplicar o conocer los
procedimientos de seguridad informática relacionados con la
ciberdefensa y su incidencia en la protección de la información del
Ejército del Perú.
Análisis. – Estudiando y analizando las razones del Cuadro Nº 26 y Gráfico
Nº 24 del numeral 4.1.2.3 del ítem 24). los informantes coinciden con las
razones o causas de no aplicar o conocer los procedimientos de seguridad
informática relacionados con la ciberdefensa y su incidencia en la protección
de la información del Ejército del Perú, en la cual se observa que, de acuerdo
a la prelación, el 37.5% manifestaron que este hecho se presenta por falta
de capacitación, el 25% por desconocimientos de los procedimientos, el
18.8% porque los procedimientos son difíciles de aplicar, el 10.4% por falta
de planificación e interés de las autoridades responsables y un 8.3 % por
falta de recursos económicos. Por las razones puestas de manifiesto por los
informantes nos permiten afirmar:
Razones suficientes para sustentar que, como consecuencia de falta de
capacitación, desconocimiento de los procedimientos, dificultad de
aplicar los procedimientos, falta de planificación e interés de las
autoridades y falta de recursos económicos, se presentan
Desconocimiento o aplicación inadecuada de los procedimientos de
seguridad informática relacionados con la ciberdefensa y su incidencia
en la protección de la información del Ejército del Perú.
131
0
5
10
15
20
25
30
35
40
Fortalecer losRecursos
Humanos.
Promover losCentros deExcelencia
Promover laProducciónCientífica
Mecanismosseguridad de
lainformación
Impulsar laInteroperabili
dad
AccesoOportuno a lainformación
Promedio
Conoce 16 10 11 15 14 13 13.17
No Conoce 32 38 37 33 34 35 34.83
16
10 11
15 14 13 13.17
32
38 37
33 34 35 34.83
4.1.2.4 DISPOSICIONES NORMATIVAS
24) De entre las siguientes disposiciones normativas que se deben
cumplir en el Plan de Desarrollo de la sociedad de la Información en
el Perú, mencioné las que ud. conoce y cumple para lograr la mejora
de la ciberdefensa en la protección de la información del Ejército del
Perú.
Cuadro N° 27: Disposiciones Normativas del Plan de Desarrollo de la
sociedad de la Información en el Perú que conoce.
Conoce No
Conoce Población
Encuestada %
Conoce
% No
Conoce
% Total
Fortalecer los Recursos Humanos.
16 32
48
33.33 66.67
100
Promover los Centros de Excelencia
10 38 20.83 79.17
Promover la Producción Científica
11 37 22.92 77.08
Mecanismos seguridad de la información
15 33 31.25 68.75
Impulsar la Interoperabilidad
14 34 29.17 70.83
Acceso Oportuno a la información
13 35 27.08 72.92
Promedio 13.17 34.83 22.92 60.42
Grafico Nº 25: Disposiciones Normativas del plan de desarrollo de la
sociedad de la información en el Perú que conoce.
132
Lo que nos permite calificar como negativo y lo interpretamos como la
explicación de los incumplimientos normativos, porque lo correcto es que
la cantidad promedio de Disposiciones Normativas del Plan de Desarrollo
de las Sociedad de la Información en el Perú que conocen y dan
cumplimiento el Personal Militar y Civil del COPERE encargados de
administrar las infraestructuras de TI tienda a las seis disposiciones
consideradas.
Figura Nº 27 – Distribución de Frecuencias de Disposiciones Normativas del Plan de Desarrollo de la sociedad de la Información en el Perú
Análisis. – La anterior figura nos permite interpretar:
…” La cantidad promedio de Disposiciones Normativas del Plan de
Desarrollo de las Sociedad de la Información en el Perú que conocen y dan
cumplimiento el Personal Militar y Civil del COPERE encargados de
administrar las infraestructuras de TI es: 1,65 y, la mayor cantidad de
Disposiciones Normativas del Plan de Desarrollo de las Sociedad de la
Información en el Perú que conocen y dan cumplimiento el Personal Militar
y Civil del COPERE encargados de administrar las infraestructuras de TI está
comprendido en: 1,015 (1,65– 0,635) a 2,285 (1,65+ 0,635)“…
25) B7 A su criterio ¿Cómo califica el grado de cumplimiento del Plan de
Desarrollo de la sociedad de la Información en el Perú-La agenda
Digital 2.0?
133
0.0% 8.3%
64.6
22.9%
4.2%Total cumplimiento
Mayor cumplimiento
Regular cumplimiento
Menor cumplimiento
No se cumple
Cuadro N° 28.- Grado de cumplimiento del Plan de Desarrollo de la
sociedad de la Información en el Perú? La agenda Digital 2.0
Grafico Nº 26: Grado de cumplimiento del Plan de Desarrollo de la
sociedad de la Información en el Perú? La agenda Digital 2.0
Análisis. – Estudiando y analizando las razones del Cuadro Nº 28 y Gráfico
Nº 26 del numeral 4.1.2.4 del ítem 26). los informantes coinciden en relación
al Grado de cumplimiento del Plan de Desarrollo de la sociedad de la
Información en el Perú-La agenda Digital 2.0, en la cual se observa que, de
acuerdo a la prelación, se evidencia un regular cumplimiento en un 64.6 %,
un 22.9 % un menor cumplimiento, un 8.3 % dan un mayor cumplimiento y
un 4.2% manifestaron no dar cumplimiento alguno del mencionado plan. Por
las razones puestas de manifiesto por los informantes nos permiten afirmar:
Frecuencia Porcentaje
Porcentaje válido
Porcentaje acumulado
Vá
lidos
Total cumplimiento 0 0 0 0
Mayor cumplimiento 4 8.3 8.3 8.3
Regular cumplimiento 31 64.6 64.6 72.9
Menor cumplimiento 11 22.9 22.9 95.8
No se cumple 2 4.2 4.2 100.0
Total 48 100.0 100,0
“…Existen Incumplimientos de dispositivos normativos como el
Plan de Desarrollo de la sociedad de la Información en el Perú-La
agenda Digital 2.0, como consecuencia que los informantes dan
regular, menor o simplemente no cumplen con la aplicación del
mencionado dispositivo …”
134
56.3%
25.0%
6.3
8.3%
4.2% Por desconocimiento parcial o
total de sus lineamientos
No he sido Capacitado
Sus lineamientos son difíciles de
aplicar en la realidad
Sus dispositivos no se adecuan
con la realidad de la institución
Otra, ¿Cuál?
26) ¿Cuáles son las razones o causas de no dar cumplimiento al Plan de
Desarrollo de la sociedad de la Información en el Perú- La agenda
Digital 2.0?
Cuadro N° 29.- Razones o Causas de no dar cumplimiento al Plan de
Desarrollo de la sociedad de la Información en el Perú- La agenda Digital 2.0
Grafico Nº27: Razones o Causas de no dar cumplimiento al Plan de
Desarrollo de la sociedad de la Información en el Perú- La agenda Digital 2.0.
Análisis. – Estudiando y analizando las razones del Cuadro Nº 29 y
Gráfico Nº 27 del numeral 4.1.2.4 del ítem 27). los informantes coinciden
con las razones o causas no dar cumplimiento al Plan de Desarrollo de la
sociedad de la Información en el Perú- La agenda Digital 2.0., en la cual
se observa que, de acuerdo a la prelación, el 56.3% manifestaron que
desconocen parcial o total sus lineamientos, el 25% por no haber recibido
capacitación, el 8.3% manifiestan que sus lineamientos no se adecuan a
nuestra realidad, el 6.3% sus lineamientos son difíciles de aplicar a
nuestra realidad institucional y finalmente el 4.2% por falta de
equipamiento, infraestructura y personal especializado. Por las razones
puestas de manifiesto por los informantes nos permiten afirmar:
Frecuencia Porcentaje
Porcentaje válido
Porcentaje acumulado
Vá
lidos
Por desconocimiento parcial o total de sus lineamientos 27 56.3 56.3 56.3
No he sido Capacitado 12 25 25 81.3
Sus lineamientos son difíciles de aplicar en la realidad 3 6.3 6.3 87.5
Sus dispositivos no se adecuan con la realidad de la institución 4 8.3 8.3 95.8
Otra, ¿Cuál? 2 4.2 4.2 100.0
Total 48 100.0 100.0
135
0
10
20
30
40
Potenciamiento de la
Educación yel
Entrenamiento
Implementación de laBase de
Datos delEjército(BDU).
Implementación de
Centro deEntrenamien
to
Modernización de las
Escuelas deformación ycapacitación
Actualizaciónde doctrina
técnica,táctica y
administrativa
Implementación del
Sistema deComando y
Control.
Promedio
Conoce 11 13 14 8 12 11 11.50
No Conoce 37 35 34 40 36 37 36.50
1113 14
812 11 11.50
3735 34
4036 37 36.50
27) De entre las siguientes disposiciones normativas que se deben
cumplir en el Plan de Desarrollo institucional Bolognesi, mencioné
las que ud. conoce y cumple para lograr la mejora de la ciberdefensa
en la protección de la información del Ejército del Perú.
Cuadro N° 30: Disposiciones Normativas del Plan de Desarrollo
Institucional Bolognesi que conoce.
Grafico Nº 28: Disposiciones Normativas del Plan de Desarrollo
Institucional Bolognesi que conoce.
Conoce No
Conoce Pobla.
% Conoce
% No
Conoce
Potenciamiento de la Educación y el Entrenamiento 11 37
48
22.92 77.08
Implementación de la Base de Datos del Ejército (BDU). 13 35 27.08 72.92
Implementación de Centro de Entrenamiento 14 34 29.17 70.83
Modernización de las Escuelas de formación y capacitación
8 40 16.67 83.33
Actualización de doctrina técnica, táctica y administrativa 12 36 25.00 75.00
Implementación del Sistema de Comando y Control. 11 37 22.92 77.08
Promedio 11.50 36.50 20.14 63.19
Razones suficientes para sustentar que, como consecuencia del
desconocen parcial o total sus lineamientos, no haber recibido
capacitación para su cumplimiento, sus lineamientos no están de
acuerdo a nuestra realidad institucional, sus lineamientos son difíciles
de aplicar y finalmente a la falta de equipamiento, infraestructuras y
personal especializado, se presentan Incumplimientos de
dispositivos normativos en la aplicación del Plan de Desarrollo de la
sociedad de la Información en el Perú- La agenda Digital 2.0.
136
Lo que nos permite calificar como negativo y lo interpretamos como la
explicación de los incumplimientos normativos, porque lo correcto es que
la cantidad promedio de Disposiciones Normativas del Plan de Desarrollo
Institucional Bolognesi que conocen y dan cumplimiento el Personal
Militar y Civil del COPERE encargados de administrar las infraestructuras
de TI tienda a las seis disposiciones consideradas.
Figura Nº 28 – Distribución de Frecuencias de Disposiciones Normativas del Plan de Desarrollo Institucional Bolognesi
Análisis. – La anterior figura nos permite interpretar:
…” La cantidad promedio de Disposiciones Normativas del Plan de
Desarrollo Institucional Bolognesi que conocen y dan cumplimiento el
Personal Militar y Civil del COPERE encargados de administrar las
infraestructuras de TI es: 1,071 y, la mayor cantidad de Disposiciones
Normativas del plan de Desarrollo Institucional Bolognesi que conocen y dan
cumplimiento el Personal Militar y Civil del COPERE encargados de
administrar las infraestructuras de TI está comprendido en: 1,389 (2,46–
1,071) a 3,531 (2,46+ 1,071) “…
137
0.0% 4.2%
27.1
64.6%
4.2% Total cumplimiento
Mayor cumplimiento
Regular cumplimiento
Menor cumplimiento
No se cumple
28) B8 A su criterio ¿Cómo califica el grado de cumplimiento del Plan de
Desarrollo institucional Bolognesi?
Cuadro N° 31.- Grado de cumplimiento del Plan de Desarrollo institucional
Bolognesi
Grafico Nº 29: Grado de cumplimiento del Plan de Desarrollo
institucional Bolognesi
Análisis. – Estudiando y analizando las razones del Cuadro Nº 31 y Gráfico
Nº 29 del numeral 4.1.2.4 del ítem 29). los informantes coinciden en relación
al Grado de cumplimiento del Plan de Desarrollo institucional Bolognesi, en
la cual se observa que, de acuerdo a la prelación, se evidencia un menor
cumplimiento en un 64.6 %, un 27.1 % un regular cumplimiento, un 4.2 %
dan un mayor cumplimiento y un 4.2% manifestaron no dar cumplimiento
alguno del mencionado plan. Por las razones puestas de manifiesto por los
informantes nos permiten afirmar:
Frecuencia Porcentaje
Porcentaje válido
Porcentaje acumulado
Vá
lidos
Total cumplimiento 0 0 0 0
Mayor cumplimiento 2 4.2 4.2 4.2
Regular cumplimiento 13 27.1 27.1 31.3
Menor cumplimiento 31 64.6 64.6 95.8
No se cumple 2 4.2 4.2 100.0
Total 48 100.0 100,0
“…Existen Incumplimientos de dispositivos normativos como el
Plan de Desarrollo institucional Bolognesi, como consecuencia que los
informantes dan menor, regular o simplemente no cumplen con la
aplicación del mencionado dispositivo …”
138
37.5%
25.0%
20.8
8.3%
8.3%Por desconocimiento parcial o total
de sus lineamientos
No he sido Capacitado
Sus lineamientos son difíciles de
aplicar en la realidad
Sus dispositivos no se adecuan con
la realidad de la institución
Otra, ¿Cuál?
29) ¿Cuáles son las razones o causas de no dar cumplimiento Plan de
Desarrollo institucional Bolognesi?
Cuadro N° 32.- Razones o Causas de no dar cumplimiento al
cumplimiento Plan de Desarrollo institucional Bolognesi
Grafico Nº30: Razones o Causas de no dar cumplimiento al
cumplimiento Plan de Desarrollo institucional Bolognesi
Análisis. – Estudiando y analizando las razones del Cuadro Nº 32 y Gráfico
Nº 30 del numeral 4.1.2.4 del ítem 30). los informantes coinciden con las
razones o causas no dar cumplimiento al Plan de Desarrollo institucional
Bolognesi., en la cual se observa que, de acuerdo a la prelación, el 37.5%
manifestaron que desconocen parcial o total sus lineamientos, el 25% por no
haber recibido capacitación, el 20.8% manifiestan que sus lineamientos son
difíciles de aplicar a nuestra realidad institucional , el 8.3% sus lineamientos
no se adecuan a nuestra realidad institucional y finalmente el 8.3% por falta
de equipamiento, infraestructura y personal especializado. Por las razones
puestas de manifiesto por los informantes nos permiten afirmar:
Frecuencia Porcentaje
Porcentaje válido
Porcentaje acumulado
Vá
lidos
Por desconocimiento parcial o total de sus lineamientos 18 37.5 37.5 37.5
No he sido Capacitado 12 25.0 25.0 62.5
Sus lineamientos son difíciles de aplicar en la realidad 10 20.8 20.8 83.3
Sus dispositivos no se adecuan con la realidad de la institución 4 8.3 8.3 91.7
Otra, ¿Cuál? 4 8.3 8.3 100.0
Total 48 100.0 100.0
139
0
5
10
15
20
25
30
35
40
PolíticasInstitucionale
s deTelemática
Componentesdel SubSistema
cibernético
Presupuestoy Proyectosde Inversión
Publica
Factores deldiseño delSistema deTelemática
Capacidadesdel Sistema
de Comandoy control
Componentesdel subSistema
Informático
Promedio
Conoce 16 16 12 16 10 12 13.67
No Conoce 32 32 36 32 38 36 34.33
16 16
12
16
1012
13.67
32 32
36
32
3836
34.33
30) De entre las siguientes disposiciones normativas que se deben
cumplir en la Directiva Única de Funcionamiento del Sistema de
Telemática y Estadifica del Ejercito (DUFSITELE), mencioné las que
ud. conoce y cumple para lograr la mejora de la ciberdefensa en la
protección de la información del Ejército del Perú.
Cuadro N° 33: Disposiciones Normativas de la DUFSITELE
Conoce No
Conoce Población
Encuestada %
Conoce % No
Conoce
Políticas Institucionales de Telemática 16 32
48
33.33 66.67
Componentes del Sub Sistema cibernético 16 32 33.33 66.67
Presupuesto y Proyectos de Inversión Publica 12 36 25.00 75.00
Factores del diseño del Sistema de Telemática 16 32 33.33 66.67 Capacidades del Sistema de Comando y control
10 38 20.83 79.17
Implementación del Sistema de Comando y Control.
12 36 25.00 75.00
Promedio 13.67 34.33 24.31 59.03
Grafico Nº 31: Disposiciones Normativas de la DUFSITELE que conoce.
Razones suficientes para sustentar que, como consecuencia del
desconocen parcial o total sus lineamientos, no haber recibido
capacitación para su cumplimiento, sus lineamientos son difíciles de
aplicar, sus lineamientos no están de acuerdo a nuestra realidad
institucional y finalmente a la falta de equipamiento, infraestructuras y
personal especializado, se presentan Incumplimientos de
dispositivos normativos en la aplicación del Plan de Desarrollo
institucional Bolognesi
140
Lo que nos permite calificar como negativo y lo interpretamos como la
explicación de los incumplimientos normativos, porque lo correcto es que
la cantidad promedio de Disposiciones Normativas de la DUFSITLE que
conocen y dan cumplimiento el Personal Militar y Civil del COPERE
encargados de administrar las infraestructuras de TI tienda a las seis
disposiciones consideradas.
Figura Nº 29 – Distribución de Frecuencias de Disposiciones Normativas de la DUFSITELE
Análisis. – La anterior figura nos permite interpretar:
…” La cantidad promedio de Disposiciones Normativas de la DUFSITELE
que conocen y dan cumplimiento el Personal Militar y Civil del COPERE
encargados de administrar las infraestructuras de TI es: 1,71 y la mayor
cantidad de Disposiciones Normativas de la DIFSITELE que conocen y dan
cumplimiento el Personal Militar y Civil del COPERE encargados de
administrar las infraestructuras de TI está comprendido en: 1,059 (1,71–
0,651) a 2,361 (1,71+ 0,651) “…
31) B9 A su criterio ¿Cómo califica el grado de cumplimiento de la
Directiva Única de Funcionamiento del Sistema de Telemática y
Estadifica del Ejercito (DUFSITELE)?
141
14.6%
33.3%
31.3
20.8%
0.0%Total cumplimiento
Mayor cumplimiento
Regular cumplimiento
Menor cumplimiento
No se cumple
Cuadro N° 34.- Grado de cumplimiento de la Directiva Única de
Funcionamiento del Sistema de Telemática y Estadifica del Ejercito
(DUFSITELE)
Grafico Nº 32: Grado de cumplimiento de la Directiva Única de
Funcionamiento del Sistema de Telemática y Estadifica del Ejercito
(DUFSITELE)
Análisis. – Estudiando y analizando las razones del Cuadro Nº 34 y Gráfico
Nº 32 del numeral 4.1.2.4 del ítem 32). los informantes coinciden en relación
al Grado de cumplimiento de la Directiva Única de Funcionamiento del
Sistema de Telemática y Estadifica del Ejercito (DUFSITELE), en la cual se
observa que, de acuerdo a la prelación, se evidencia un mayor cumplimiento
en un 33.3 %, un 31.3 % un regular cumplimiento, un 20.8 % en un menor
cumplimiento y un 14.6% manifestaron dar un total cumplimiento. Por las
razones puestas de manifiesto por los informantes nos permiten afirmar:
Frecuencia Porcentaje
Porcentaje válido
Porcentaje acumulado
Vá
lidos
Total cumplimiento 7 14.6 14.6 14.6
Mayor cumplimiento 16 33.3 33.3 47.9
Regular cumplimiento 15 31.3 31.3 79.2
Menor cumplimiento 10 20.8 20.8 100.0
No se cumple 0 0 0 0
Total 48 100.0 100,0
“…Existen Incumplimientos de dispositivos normativos como la
Directiva Única de Funcionamiento del Sistema de Telemática y
Estadifica del Ejercito (DUFSITELE), como consecuencia que los
informantes dan regular y menor cumplimiento a la aplicación del
mencionado dispositivo …”
142
20.8%
56.3%
14.6
4.2%
4.2%Por desconocimiento parcial o
total de sus lineamientos
No he sido Capacitado
Sus lineamientos son difíciles
de aplicar en la realidad
Sus dispositivos no se adecuan
con la realidad de la institución
Otra, ¿Cuál?
32) Cuáles son las razones o causas de no dar cumplimiento a la
Directiva Única de Funcionamiento del Sistema de Telemática y
Estadifica del Ejercito (¿DUFSITELE)?
Cuadro N° 35.- Razones o Causas de no dar cumplimiento a la Directiva
Única de Funcionamiento del Sistema de Telemática y Estadifica del
Ejercito (DUFSITELE
Grafico Nº33: Razones o Causas de no dar cumplimiento a la Directiva
Única de Funcionamiento del Sistema de Telemática y Estadifica del
Ejercito (DUFSITELE)
|
Análisis. – Estudiando y analizando las razones del Cuadro Nº 35 y
Gráfico Nº 33 del numeral 4.1.2.4 del ítem 33). los informantes coinciden
con las razones o causas no dar cumplimiento no dar cumplimiento a la
Directiva Única de Funcionamiento del Sistema de Telemática y Estadifica
del Ejercito (DUFSITELE)., en la cual se observa que, de acuerdo a la
prelación, el 50.3% manifestaron no haber sido capacitados, , el 20.8%
desconocen parcial o total sus lineamientos, el 14.6% sus lineamientos
Frecuencia Porcentaje
Porcentaje válido
Porcentaje acumulado
Vá
lidos
Por desconocimiento parcial o total de sus lineamientos 10 20.8 20.8 20.8
No he sido Capacitado 27 56.3 56.3 77.1
Sus lineamientos son difíciles de aplicar en la realidad 7 14.6 14.6 97.7
Sus dispositivos no se adecuan con la realidad de la institución 2 4.2 4.2 95.8
Otra, ¿Cuál? 2 4.2 4.2 100.0
Total 48 100.0 100.0
143
son difíciles de aplicar a nuestra realidad institucional , el 4.2% sus
lineamientos no se adecuan a nuestra realidad institucional y finalmente
el 4.2% por falta de equipamiento, infraestructura y personal
especializado. Por las razones puestas de manifiesto por los informantes
nos permiten afirmar:
33) De entre las siguientes disposiciones normativas que se deben
cumplir en la Directiva Nº 001 - Lineamientos de seguridad de la
información para la Ciberdefensa en el Ejército del Perú, mencioné
las que ud. conoce y cumple para lograr la mejora de la ciberdefensa
en la protección de la información del Ejército del Perú.
Cuadro N° 36: Disposiciones Normativas de la Directiva Nº 001-
Lineamientos de seguridad de la información para la Ciberdefensa en el
Ejército del Perú)
Conoce No
Conoce Población
% Conoce
% No
Conoce Desarrollo del Programa Nacional de Ciberdefensa
9 39
48
18.75 81.25
Gestión homogénea de las redes 14 34 29.17 70.83 Estándares y Certificaciones de Seguridad
11 37 22.92 77.08
Programa de concientización y Formación 11 37 22.92 77.08 Mecanismos de Coordinación y Respuesta
14 34 29.17 70.83
Despliegue de Sistemas de Alerta, Protección
10 38 20.83 79.17
Promedio 11.50 36.50 20.49 62.85
Razones suficientes para sustentar que, como consecuencia de no
haber recibido capacitación para su cumplimiento, desconocimiento
parcial o total sus lineamientos, sus lineamientos son difíciles de aplicar,
sus lineamientos no están de acuerdo a nuestra realidad institucional y
finalmente a la falta de equipamiento, infraestructuras y personal
especializado, se presentan Incumplimientos de dispositivos
normativos en la aplicación Directiva Única de Funcionamiento del
Sistema de Telemática y Estadifica del Ejercito.
144
0
5
10
15
20
25
30
35
40
Desarrollodel
ProgramaNacional de
Ciberdefensa
Gestiónhomogéneade las redes
Estándares yCertificacion
es deSeguridad
Programa deconcientizaci
ón yFormación
Mecanismosde
Coordinación y
Respuesta
Desplieguede Sistemasde Alerta,Protección
Promedio
Conoce 9 14 11 11 14 10 11.50
No Conoce 39 34 37 37 34 38 36.50
9
1411 11
1410 11.50
39
3437 37
3438 36.50
Grafico Nº 34: Disposiciones Normativas de la Directiva Nº 001-
Lineamientos de seguridad de la información para la Ciberdefensa en el
Ejército del Perú que conoce.
Figura Nº 30 – Distribución de Frecuencias de Disposiciones Normativas de la Directiva Lineamientos de seguridad de la información
para la Ciberdefensa en el Ejército del Perú
Análisis. – La anterior figura nos permite interpretar:
…” La cantidad promedio de Disposiciones Normativas de la Directiva
Lineamientos de seguridad de la información para la Ciberdefensa en el
Ejército del Perú que conocen y dan cumplimiento el Personal Militar y Civil
del COPERE encargados de administrar las infraestructuras de TI es: 1,44 y
la mayor cantidad de Disposiciones Normativas de la Directiva Lineamientos
145
0.0%
12.5
27.1%
60.4%
Total cumplimiento
Mayor cumplimiento
Regular cumplimiento
Menor cumplimiento
No se cumple
Lo que nos permite calificar como negativo y lo interpretamos como la
explicación de los incumplimientos normativos, porque lo correcto es que
la cantidad promedio de Disposiciones Normativas de la Directiva
Lineamientos de seguridad de la información para la Ciberdefensa en el
Ejército del Perú que conocen y dan cumplimiento el Personal Militar y
Civil del COPERE encargados de administrar las infraestructuras de TI
tienda a las seis disposiciones consideradas.
de seguridad de la información para la Ciberdefensa en el Ejército del Perú
que conocen y dan cumplimiento el Personal Militar y Civil del COPERE
encargados de administrar las infraestructuras de TI está comprendido en:
0,86 (1,44– 0,58) a 2,02 (1,44+ 0,58) “…
34) B10 A su criterio ¿Cómo califica el grado de cumplimiento de la
Directiva Nº 001/CGE/DITELE/SD SIDE (Lineamientos de seguridad
de la información para la Ciberdefensa en el Ejército del Perú)?
Cuadro N° 37.- Grado de cumplimiento de la Directiva Lineamientos de
seguridad de la información para la Ciberdefensa en el Ejército del Perú
Grafico Nº 35: Grado de cumplimiento de la Directiva Lineamientos de
seguridad de la información para la Ciberdefensa en el Ejército del Perú
Frecuencia Porcentaje
Porcentaje válido
Porcentaje acumulado
Vá
lidos
Total cumplimiento 0 0 0 0
Mayor cumplimiento 0 0 0 0
Regular cumplimiento 10 20.8 20.8 20.8
Menor cumplimiento 25 52.1 52.1 72.9
No se cumple 13 27.1 27.1 100.0
Total 48 100.0 100,0
146
Análisis. – Estudiando y analizando las razones del Cuadro Nº 37 y Gráfico
Nº 35 del numeral 4.1.2.4 del ítem 35). los informantes coinciden en relación
al Grado de cumplimiento de la Directiva Nº 001/CGE/DITELE/SD SIDE
(Lineamientos de seguridad de la información para la Ciberdefensa en el
Ejército del Perú), en la cual se observa que, de acuerdo a la prelación, se
evidencia que el 60.4% de informantes no cumplen con sus lineamientos, el
27.1% dan un menor cumplimiento y tan solo el 12.5% dan regular
cumplimiento. Por las razones puestas de manifiesto por los informantes nos
permiten afirmar:
35) ¿Cuáles son las razones o causas de no dar cumplimiento a la
Directiva Nº 001/CGE/DITELE/SD SIDE (Lineamientos de seguridad
de la información para la Ciberdefensa en el Ejército del Perú)?
Cuadro N° 38.- Razones o Causas de no dar cumplimiento a la Directiva
Nº 001-Lineamientos de seguridad de la información para la Ciberdefensa
en el Ejército del Perú
Frecuencia Porcentaje
Porcentaje válido
Porcentaje acumulado
Vá
lidos
Por desconocimiento parcial o total de sus lineamientos 32 66.7 66.7 66.7
No he sido Capacitado 10 20.8 20.8 87.5
Sus lineamientos son difíciles de aplicar en la realidad 4 8.3 8.3 95.8
Sus dispositivos no se adecuan con la realidad de la institución 1 2.1 2.1 97.9
Otra, ¿Cuál? 1 2.1 2.1 100.0
Total 48 100.0 100.0
“…Existen Incumplimientos de dispositivos normativos como en
la Directiva Nº 001/CGE/DITELE/SD SIDE (Lineamientos de
seguridad de la información para la Ciberdefensa en el Ejército del
Perú), como consecuencia que los informantes dan regular, menor o
simplemente no dan cumplimiento mencionado dispositivo, impidiendo
su aplicación …”
147
66.7%20.8%
8.3%
2.1% 2.1% Por desconocimiento parcial o
total de sus lineamientos
No he sido Capacitado
Sus lineamientos son difíciles
de aplicar en la realidad
Sus dispositivos no se adecuan
con la realidad de la institución
Otra, ¿Cuál?
Grafico Nº36: Razones o Causas de no dar cumplimiento a la Directiva
Nº 001-Lineamientos de seguridad de la información para la
Ciberdefensa en el Ejército del Perú)
Análisis. – Estudiando y analizando las razones del Cuadro Nº 38 y Gráfico
Nº 36 del numeral 4.1.2.4 del ítem 36). los informantes coinciden con las
razones o causas no dar cumplimiento a la Directiva Nº
001/CGE/DITELE/SD SIDE (Lineamientos de seguridad de la información
para la Ciberdefensa en el Ejército del Perú., en la cual se observa que, de
acuerdo a la prelación, el 66.7% manifestaron no haber sido capacitados, ,
el 20.8% desconocen parcial o total sus lineamientos, el 14.6% sus
lineamientos son difíciles de aplicar a nuestra realidad institucional , el 4.2%
sus lineamientos no se adecuan a nuestra realidad institucional y finalmente
el 4.2% por falta de equipamiento, infraestructura y personal especializado.
Por las razones puestas de manifiesto por los informantes nos permiten
afirmar:
Razones suficientes para sustentar que, como consecuencia de no
haber recibido capacitación para su cumplimiento, desconocimiento
parcial o total sus lineamientos, sus lineamientos son difíciles de
aplicar, sus lineamientos no están de acuerdo a nuestra realidad
institucional y finalmente a la falta de equipamiento, infraestructuras y
personal especializado, se presentan Incumplimientos de
dispositivos normativos en la aplicación Directiva Única de
Funcionamiento del Sistema de Telemática y Estadifica del Ejercito
(DUFSITELE)
148
0.0%
10.4
41.7%47.9%
Total cumplimiento
Mayor cumplimiento
Regular cumplimiento
Menor cumplimiento
No se cumple
36) A4 A su criterio ¿Cómo califica el grado de cumplimiento de los
dispositivos normativos relacionados con la ciberdefensa y su
incidencia en la protección de la información del Ejército del Perú?
Cuadro N° 39 Grado de cumplimiento de los dispositivos normativos
relacionados con la ciberdefensa y su incidencia en la protección de la
información del Ejército del Perú
Grafico Nº 37: Grado de cumplimiento de los dispositivos normativos
relacionados con la ciberdefensa y su incidencia en la protección de la
información del Ejército del Perú
Análisis. – Estudiando y analizando las razones del Cuadro Nº 39 y Gráfico
Nº 37 del numeral 4.1.2.4 del ítem 37). los informantes coinciden en relación
al Grado de cumplimiento de los dispositivos normativos relacionados con la
ciberdefensa y su incidencia en la protección de la información del Ejército
del Perú, en la cual se observa que, de acuerdo a la prelación, se evidencia
que el 47.9% de informantes no cumplen con los lineamientos, el 41.7% dan
un menor cumplimiento y tan solo el 10.4% dan regular cumplimiento. Por
las razones puestas de manifiesto por los informantes nos permiten afirmar:
Frecuencia Porcentaje
Porcentaje válido
Porcentaje acumulado
Vá
lidos
Total cumplimiento 0 0 0 0
Mayor cumplimiento 0 0 0 0
Regular cumplimiento 5 10.4 10.4 10.4
Menor cumplimiento 20 41.7 41.7 52.1
No se cumple 23 47.9 47.9 100.0
Total 48 100.0 100,0
149
70.8%16.7%
6.3%
2.1% 4.2% Por desconocimiento parcial o
total de sus lineamientos
No he sido Capacitado
Sus lineamientos son difíciles
de aplicar en la realidad
Sus dispositivos no se adecuan
con la realidad de la institución
Otra, ¿Cuál?
37) ¿Cuáles son las razones o causas de no dar cumplimiento dispositivo
normativos relacionados con la ciberdefensa y su incidencia en la
protección de la información del Ejército del Perú?
Cuadro N° 40.- Razones o causas de no dar cumplimiento dispositivo
normativos relacionados con la ciberdefensa y su incidencia en la protección
de la información del Ejército del Perú
Grafico Nº38: Razones o causas de no dar cumplimiento dispositivo
normativos relacionados con la ciberdefensa y su incidencia en la protección
de la información del Ejército del Perú
Frecuencia Porcentaje
Porcentaje válido
Porcentaje acumulado
Vá
lidos
Por desconocimiento parcial o total de sus lineamientos 34 70.8 70.8 70.8
No he sido Capacitado 08 16.7 16.7 87.5
Sus lineamientos son difíciles de aplicar en la realidad 3 6.3 6.3 93.8
Sus dispositivos no se adecuan con la realidad de la institución 1 2.1 2.1 95.8
Otra, ¿Cuál? 2 4.2 4.2 100.0
Total 48 100.0 100.0
“…Existen Incumplimientos de dispositivos normativos
relacionados con la ciberdefensa y su incidencia en la protección de la
información del Ejército del Perú, como consecuencia que los
informantes no dan cumplimiento, o dan cumplimiento de manera
regular o menor, impidiendo su aplicación …”
150
Análisis. – Estudiando y analizando las razones del Cuadro Nº 40 y Gráfico
Nº 38 del numeral 4.1.2.4 del ítem 38). los informantes coinciden con las
razones o causas no dar cumplimiento a los dispositivo normativos
relacionados con la ciberdefensa y su incidencia en la protección de la
información del Ejército del Perú., en la cual se observa que, de acuerdo a
la prelación, el 70.8% desconocen parcial o total sus lineamientos, el 16.3%
manifestaron no haber sido capacitados, el 6.3% sus lineamientos son
difíciles de aplicar a nuestra realidad institucional , el 4.2% por falta de
equipamiento, infraestructura, personal especializado y políticas de estado
sobre ciberdefensa y finalmente el 2.1% manifestaron que sus lineamientos
no se adecuan a nuestra realidad institucional. Por las razones puestas de
manifiesto por los informantes nos permiten afirmar:
4.2. CONTRASTACIÓN DE HIPÓTESIS
Los resultados obtenidos fueron analizados en el NIVEL INFERENCIAL,
según los objetivos y las hipótesis formuladas.
Con la estadística inferencial se ha desarrollado inferencias a partir de las
pruebas NO PARAMÉTRICAS, las cuales no requieren asumir normalidad
de la población y que en su mayoría se basan en el ordenamiento de los
datos. El análisis adecuado se realizó con la PRUEBA BINOMIAL para la
población que permite averiguar si la distribución empírica de una variable
categórica se ajusta o no (se parece o no) a una determinada distribución
teórica (UNIFORME, BINOMIAL, MULTINOMIAL, etc.). Esta hipótesis de
ajuste, o mejor, de bondad de ajuste, se pone a prueba utilizando un
Razones suficientes para sustentar que, como consecuencia del
desconocimiento parcial o total sus lineamientos, del no haber recibido
capacitación para su cumplimiento, sus lineamientos son difíciles de
aplicar, por falta de equipamiento, infraestructuras, personal
especializado, políticas de estado en ciberdefensa y finalmente debido
a que sus lineamientos no están de acuerdo a nuestra realidad
institucional, se presentan Incumplimientos de dispositivos
normativos en la aplicación de dispositivos relacionados con la
ciberdefensa y su incidencia en la protección de la información del
Ejército del Perú
151
estadístico originalmente propuesto por Pearson (1900; y Cochran, 1952)
para comparar las frecuencias observadas o empíricas con las esperadas o
teóricas de cada categoría, es decir, un estadístico diseñado para comparar
las frecuencias de hecho obtenidas en una muestra concreta (frecuencias
observadas: ni) con las frecuencias que deberíamos encontrar si la variable
realmente siguiera la distribución teórica propuesta en la hipótesis nula
(frecuencias esperadas: mi).
4.2.1 Contrastación de la Hipótesis Específicas
4.2.1.1 Hipótesis específicas “a”:
a) Planteamiento de la Hipótesis estadística:
H0 = Hipótesis nula: “…No se presentan deficiencias en los
Programas de Capacitación, para el Personal Militar o Civil que
Administran las infraestructuras de TI; por no contar con un adecuado
nivel de capacitación en Ciberdefensa; o por no tener un nivel de
conocimiento adecuado de los lineamientos que se disponen en la
Norma Técnica Peruana NTP-ISO/IEC 17799, sobre buenas prácticas
para la gestión de la seguridad de la información…”
Ha = Hipótesis alterna: “…Se presentan deficiencias en los
Programas de Capacitación, para el Personal Militar o Civil que
Administran las infraestructuras de TI; por no contar con un adecuado
nivel de capacitación en Ciberdefensa; o por no tener un nivel de
conocimiento adecuado de los lineamientos que se disponen en la
Norma Técnica Peruana NTP-ISO/IEC 17799, sobre buenas prácticas
para la gestión de la seguridad de la información…”
b) Nivel de significación = 5%
c) Prueba Estadística a usar: Se utilizará la prueba Binomial para una
muestra grande, es decir: N > 25 con una aproximación a la
distribución normal.
152
d) Criterio de decisión:
Si P-value < 0,05 se rechaza la H0 y se acepta la Ha.
Si P-value >= 0,05 Se acepta la H0 y se rechaza la Ha.
e) Desarrollo de la prueba:
• Programas de Capacitación: Pregunta 2.1 “Personal Capacitado
en Ciberdefensa”
Prueba Binomial
Categoría N Proporción observada
Prop. de prueba
Sig. asintót.
(bilateral)
C. Prevención
Grupo 1 No 33 .69 .50 .013(a)
Grupo 2 Si 15 .31
Total 48 1.00
C.Defensa
Grupo 1 No 32 .67 .50 .029(a)
Grupo 2 Si 16 .33
Total 48 1.00
C. Detección
Grupo 1 No 37 .77 .50 .000(a)
Grupo 2 Si 11 .23
Total 48 1.00
C. Respuesta
Grupo 1 Si 12 .25 .50 .001(a)
Grupo 2 No 36 .75
Total 48 1.00
C .Explotación
Grupo 1 Si 10 .21 .50 .000(a)
Grupo 2 No 38 .79
Total 48 1.00
a Basado en la aproximación Z.
• Programas de Capacitación: Pregunta 2.2 y 2.3
Resumen del procesamiento de los casos con prueba de Chi Cuadrado
Casos
Nivel de Capacitación de Capacidades de
Ciberdefensa * Causas de no estar Capacitado
Válidos Perdidos Total
N Porcentaje N Porcentaje N Porcentaje
48 100.0% 0 .0% 48 100.0%
Pruebas de Chi-Cuadrado
Valor gl Sig. asintótica
(bilateral)
Chi-cuadrado de Pearson 53.577(a) 12 .000
Razón de verosimilitudes 33.434 12 .001
Asociación lineal por lineal .846 1 .358
N de casos válidos 48
a 17 casillas (85.0%) tienen una frecuencia esperada inferior a 5. La frecuencia mínima esperada es .06.
153
Medidas Simétricas
Valor Sig.
aproximada
Nominal por nominal
Phi 1.056 .000
V de Cramer .610 .000
Coeficiente de contingencia .726 .000
N de casos válidos 48
a Asumiendo la hipótesis alternativa. b Empleando el error típico asintótico basado en la hipótesis nula.
• Resultados Parciales de las presuntas 2.1, 2.2 y 2.3
De acuerdo al resultado obtenido con el SPSS de la pregunta 2.1
se tiene:
➢ En el grupo 1 se observa que conocen las Capacidades de
Ciberdefensa.
➢ En el grupo 2 se observa que no conocen las Capacidades de
Ciberdefensa.
Por tanto, podemos asegurar con un 95% de confianza (Ps =
(0.013, 0.029,0.00,0.001 y 0.00) < 0.05) que el Personal Militar
y Civil del COPERE que tienen la responsabilidad de
administrar y controlar las diferentes infraestructuras de TI
desconocen las Capacidades de Ciberdefensa.
De acuerdo a los resultados obtenidos con el SPS de las preguntas
2.2 y 2.3 se tiene que existe una Asociación Fuerte (Coeficiente
contingencia =0.7263) entre el nivel de conocimiento de las
capacidades de ciberdefensa y las razones o causas de que el
Personal Militar y Civil del COPERE encargados de administrar las
infraestructuras de TI no esté capacitado en Ciberdefensa (Chi
Cuadrado = 0.00)
154
• Programas de Capacitación: Pregunta 2.4 “Norma Técnica Peruana ISO/IEC 17799”
Prueba Binomial
Categoría N Proporción observada
Prop. de
prueba
Sig. asintót.
(bilateral)
Seg. Ligada al Personal
Grupo 1 Si 14 .29 .50 .006(a)
Grupo 2 No 34 .71
Total 48 1.00
Seg. Física y del Entorno
Grupo 1 No 33 .69 .50 .013(a)
Grupo 2 Si 15 .31
Total 48 1.00
G. Comunicaciones y Operaciones
Grupo 1 Si 15 .31 .50 .013(a)
Grupo 2 No 33 .69
Total 48 1.00
Adm y Control de Acceso
Grupo 1 No 32 .67 .50 .029(a)
Grupo 2 Si 16 .33
Total 48 1.00
Desarrollo y Manto de Sistemas
Grupo 1 Si 12 .25 .50 .001(a)
Grupo 2 No 36 .75
Total 48 1.00
Aspectos Org. De la Seguridad
Grupo 1 No 35 .73 .50 .002(a)
Grupo 2 Si 13 .27
Total 48 1.00
a Basado en la aproximación Z.
• Programas de Capacitación: Pregunta 2.5 y 2.6
Resumen del procesamiento de los casos con prueba de Chi Cuadrado
Casos
Nivel de Conocimiento de la NTP * Causas o
Razones de no Conocerlas o Aplicarlas
Válidos Perdidos Total
N Porcentaje N Porcentaje N Porcentaje
48 100.0% 0 .0% 48 100.0%
Pruebas de Chi-Cuadrado
Valor gl
Sig. asintótica (bilateral)
Chi-cuadrado de Pearson 72.218(a) 9 .000
Razón de verosimilitudes 50.844 9 .000
Asociación lineal por lineal 15.711 1 .000
N de casos válidos 48
a 11 casillas (68.8%) tienen una frecuencia esperada inferior a 5. La frecuencia mínima esperada es .25.
155
Medidas Simétricas
Valor Sig.
aproximada
Nominal por nominal
Phi 1.227 .000
V de Cramer .708 .000
Coeficiente de contingencia .775 .000
N de casos válidos 48
a Asumiendo la hipótesis alternativa. b Empleando el error típico asintótico basado en la hipótesis nula.
• Resultados Parciales de las presuntas 2.4, 2.5 y 2.6
De acuerdo al resultado obtenido con el SPSS de la pregunta 2.4
se tiene:
➢ En el grupo 1 se observa que conocen las disposiciones de la
NTP ISO/IEC 17799.
➢ En el grupo 2 se observa que no conocen las disposiciones de
la NTP ISO/IEC 17799.
Por tanto, podemos asegurar con un 95% de confianza (Ps =
(0.006, 0.013, 0.013, 0.029, 0.001 y 0.002) < 0.05) que el
Personal Militar y Civil del COPERE que tienen la
responsabilidad de administrar y controlar las diferentes
infraestructuras de TI desconocen las disposiciones de la NTP
ISO/IEC 17799.
De acuerdo a los resultados obtenidos con el SPS de las preguntas
2.5 y 2.6 se tiene que existe una Asociación fortísima
(Coeficiente contingencia =0.775) entre el nivel de conocimiento
de la NTP ISO/IEC 17799 y las razones o causas de que el
Personal Militar y Civil del COPERE encargados de administrar las
infraestructuras de TI no conozcan o apliquen la NTP ISO/IEC
17799 (Chi Cuadrado = 0.00).
156
• Programas de Capacitación: Pregunta 2.7 y 2.8
Resumen del procesamiento de los casos con prueba de Chi Cuadrado
Casos
Nivel de Programas de Capacitación en Ciberdefensa * Protección de la Información del EP
Válidos Perdidos Total
N Porcentaje N Porcentaje N Porcentaje
48 100.0% 0 .0% 48 100.0%
Pruebas de Chi-Cuadrado
Valor gl Sig. asintótica
(bilateral)
Chi-cuadrado de Pearson 37.593(a) 8 .000
Razón de verosimilitudes 47.438 8 .000
Asociación lineal por lineal 4.126 1 .042
N de casos válidos 48
a 11 casillas (68.8%) tienen una frecuencia esperada inferior a 5. La frecuencia mínima esperada es .25.
Medidas Simétricas
Valor Sig.
aproximada
Nominal por nominal
Phi .885 .000
V de Cramer .626 .000
Coeficiente de contingencia .663 .000
N de casos válidos 48
a Asumiendo la hipótesis alternativa. b Empleando el error típico asintótico basado en la hipótesis nula.
• Resultados Parciales de las presuntas 2.7 y 2.8
De acuerdo al resultado obtenido con el SPSS de las preguntas
2.7 y 2.8 se tiene que existe una Asociación fuerte (Coeficiente
contingencia =0.663) entre el nivel de los Programas de
Capacitación en Ciberdefensa y la Protección de la Información
del ejercito del Perú (Chi Cuadrado = 0.00).
f) Conclusión parcial:
Por lo tanto, de acuerdo a los resultados parciales obtenidos con la
prueba Binomial, en donde los valores de P son menores a (P< 0.05),
es por esa razón que se rechaza la H0, y se acepta la Ha; así mismo,
se ha obtenido mediante prueba de chi cuadrado que existe
asociación en el nivel de capacitación en ciberdefensa y las razones
157
o causas por las que no está capacitado, asociación en el nivel de
conocimiento de la NTP ISO/IEC 17799 y las razones o causas por
las que no las conoce o no las aplica y la asociación del nivel de los
programas de capacitación con la protección de la información del
Ejército del Perú, todos ellos con un valor de significación asintótica
de 0.00. Por lo tanto, existe información estadística suficiente para
afirmar que existe solución a la falta de programas de capacitación
para el Personal Militar y Civil que Administran las infraestructuras de
TI; lo cual posibilitará contar con un adecuado nivel de capacidades
en ciberdefensa y contar con un nivel de conocimiento adecuado de
los lineamientos que se disponen en la Norma Técnica Peruana NTP-
ISO/IEC 17799, los cuales contribuirán a solucionar o mejorar la
protección de la información en el Ejército del Perú..
4.2.1.2 Hipótesis específicas “b”:
a) Planteamiento de la Hipótesis estadística:
H0 = Hipótesis nula: “…No se observa, carencia de Recursos
Disponibles para Ciberdefensa; por no contar un adecuado nivel de
Asignación presupuestal o por no contar con un adecuado nivel de
funcionalidad de las Estructuras Estratégicas necesarias que
brinden seguridad a la información…”.
Ha = Hipótesis alterna: “…Se observa, carencia de Recursos
Disponibles para Ciberdefensa; por no contar un adecuado nivel de
Asignación presupuestal o por no contar con un adecuado nivel de
funcionalidad de las Estructuras Estratégicas necesarias que
brinden seguridad a la información…”.
b) Nivel de significación = 5%
c) Prueba Estadística a usar: Se utilizará la prueba Binomial para una
muestra grande, es decir: N > 25 con una aproximación a la
distribución normal.
158
d) Criterio de decisión:
Si P-value < 0,05 se rechaza la H0 y se acepta la Ha.
Si P-value >= 0,05 Se acepta la H0 y se rechaza la Ha.
e) Desarrollo de la prueba:
• Recursos Disponibles: Pregunta 3.1 “Asignación Presupuestal
para Ciberdefensa”
Prueba Binomial
Categoría N Proporción observada
Prop. de prueba
Sig. asintót. (bilateral)
Proyecto de Inversión Publica
Grupo 1 Si 16 .33 .50 .029(a)
Grupo 2 No 32 .67
Total 48 1.00
Demanda adicional al MEF
Grupo 1 No 33 .69 .50 .013(a)
Grupo 2 Si 15 .31
Total 48 1.00
Convenios con Instituciones Privadas
Grupo 1 No 36 .75 .50 .001(a)
Grupo 2 Si 12 .25
Total 48 1.00
Considerarlo en el Programa Presupuestal Anual
Grupo 1 No 34 .71 .50 .006(a)
Grupo 2 Si 14 .29
Total 48 1.00
a Basado en la aproximación Z.
• Recursos Disponibles: Pregunta 3.2 y 3.3
Resumen del procesamiento de los casos con prueba de Chi Cuadrado
Casos
Nivel de Asignación Presupuestal * Causas
de no tener presupuesto
Válidos Perdidos Total
N Porcentaje N Porcentaje N Porcentaje
48 100.0% 0 .0% 48 100.0%
Pruebas de Chi-Cuadrado
Valor gl Sig. asintótica
(bilateral)
Chi-cuadrado de Pearson 29.583(a) 8 .000
Razón de verosimilitudes 27.962 8 .001
Asociación lineal por lineal .161 1 .688
N de casos válidos 48
a 12 casillas (80.0%) tienen una frecuencia esperada inferior a 5. La frecuencia
mínima esperada es .42
159
Medidas Simétricas
Valor Sig.
aproximada
Nominal por nominal
Phi .785 .000
V de Cramer .555 .000
Coeficiente de contingencia .618 .000
N de casos válidos 48
a Asumiendo la hipótesis alternativa. b Empleando el error típico asintótico basado en la hipótesis nula.
• Resultados Parciales de las presuntas 3.1, 3.2 y 3.3
De acuerdo al resultado obtenido con el SPSS de la pregunta 3.1
se tiene:
➢ En el grupo 1 se observa que conocen las formas o maneras
de obtener asignación Presupuestal para ciberdefensa.
➢ En el grupo 2 se observa que no conocen las formas o maneras
de obtener asignación Presupuestal para ciberdefensa.
Por tanto, podemos asegurar con un 95% de confianza (Ps =
(0.029, 0.013, 0.001 y 0.006) < 0.05) que el Personal Militar y
Civil del COPERE que tienen la responsabilidad de administrar
y controlar las diferentes infraestructuras de TI desconocen las
formas o maneras de obtener asignación Presupuestal para
ciberdefensa.
De acuerdo a los resultados obtenidos con el SPS de las preguntas
3.2 y 3.3 se tiene que existe una Asociación Fuerte (Coeficiente
contingencia =0.618) entre el nivel de asignación presupuestal
para ciberdefensa y las causas o razones por las que las
autoridades no asignan presupuestos para ciberdefensa en favor
de la protección de la información del ejercito del Perú (Chi
Cuadrado = 0.00)
160
• Recursos Disponibles: Pregunta 3.4 “Infraestructuras Estratégicas”
Prueba Binomial
Categoría N Proporción observada
Prop. de prueba
Sig. asintót. (bilateral)
Personal
Grupo 1 No 32 .67 .50 .029(a) Grupo 2 Si 16 .33 Total 48 1.00
Instalaciones
Grupo 1 Si 15 .31 .50 .013(a) Grupo 2 No 33 .69 Total 48 1.00
Equipos
Grupo 1 No 34 .71 .50 .006(a) Grupo 2 Si 14 .29 Total 48 1.00
Servicios
Grupo 1 No 32 .67 .50 .029(a) Grupo 2 Si 16 .33 Total 48 1.00
Redes
Grupo 1 No 33 .69 .50 .013(a) Grupo 2 Si 15 .31 Total 48 1.00
Sistemas de Información
Grupo 1 No 32 .67 .50 .029(a) Grupo 2 Si 16 .33
Total 48 1.00
a Basado en la aproximación Z.
• Recursos Disponibles: Pregunta 3.5 y 3.6
Resumen del procesamiento de los casos con prueba de Chi Cuadrado
Casos
Nivel de Infraestructuras estratégicas * Causas o
Razones de no tener infraestructuras
Estratégicas
Válidos Perdidos Total
N Porcentaje N Porcentaje N Porcentaje
48 100.0% 0 .0% 48 100.0%
Pruebas de Chi-Cuadrado
Valor gl Sig. asintótica
(bilateral)
Chi-cuadrado de Pearson 38.426(a) 8 .000
Razón de verosimilitudes 28.951 8 .000
Asociación lineal por lineal 7.364 1 .007
N de casos válidos 48
a 12 casillas (80.0%) tienen una frecuencia esperada inferior a 5. La frecuencia mínima esperada es .17.
161
Medidas Simétricas
Valor Sig.
aproximada
Nominal por nominal
Phi .895 .000
V de Cramer .633 .000
Coeficiente de contingencia .667 .000
N de casos válidos 48
a Asumiendo la hipótesis alternativa. b Empleando el error típico asintótico basado en la hipótesis nula.
• Resultados Parciales de las presuntas 3.4, 3.5 y 3.6
De acuerdo al resultado obtenido con el SPSS de la pregunta 3.4
se tiene:
➢ En el grupo 1 se observa que conocen las infraestructuras
Estratégicas.
➢ En el grupo 2 se observa que no conocen las infraestructuras
Estratégicas.
Por tanto, podemos asegurar con un 95% de confianza (Ps =
(0.029, 0.013, 0.006, 0.029, 0.013 y 0.029) < 0.05) que el
Personal Militar y Civil del COPERE que tienen la
responsabilidad de administrar y controlar las diferentes
infraestructuras de TI desconocen de las infraestructuras
estratégicas.
De acuerdo a los resultados obtenidos con el SPS de las preguntas
3.5 y 3.6 se tiene que existe una Asociación fuerte (Coeficiente
contingencia =0.667) entre el nivel de funcionalidad de las
infraestructuras estratégicas y las causas o razones por las que no
se disponer de un nivel adecuado de infraestructuras estratégicas
para ciberdefensa (Chi Cuadrado = 0.00)
162
• Recursos Disponibles: Pregunta 3.7 y 3.8
Resumen del procesamiento de los casos con prueba de Chi Cuadrado
Casos
Nivel de Recursos Disponibles para Ciberdefensa * Protección de la Información del EP
Válidos Perdidos Total
N Porcentaje N Porcentaje N Porcentaje
48 100.0% 0 .0% 48 100.0%
Pruebas de Chi-Cuadrado
Valor gl Sig. asintótica
(bilateral)
Chi-cuadrado de Pearson 48.084(a) 8 .000
Razón de verosimilitudes 13.318 8 .000
Asociación lineal por lineal 2.204 1 .38
N de casos válidos 48
a 12 casillas (80.0%) tienen una frecuencia esperada inferior a 5. La frecuencia mínima esperada es .17.
Medidas Simétricas
Valor Sig.
aproximada
Nominal por nominal
Phi 1.001 .000
V de Cramer .708 .000
Coeficiente de contingencia .707 .000
N de casos válidos 48
a Asumiendo la hipótesis alternativa. b Empleando el error típico asintótico basado en la hipótesis nula.
• Resultados Parciales de las presuntas 3.7 y 3.8
De acuerdo a los resultados obtenidos con el SPS de las preguntas
3.7 y 3.8 se tiene que existe una Asociación fuerte (Coeficiente
contingencia =0.707) entre el nivel de los Recursos Disponibles
para Ciberdefensa y la Protección de la Información del ejercito del
Perú (Chi Cuadrado = 0.00).
f) Conclusión parcial:
Por lo tanto, de acuerdo a los resultados parciales obtenidos con la
prueba Binomial, en donde los valores de P son menores a (P< 0.05),
es por esa razón que se rechaza la H0, y se acepta la Ha; así mismo,
se ha obtenido mediante prueba de chi cuadrado que existe
asociación en el nivel de asignación Presupuestal y las razones o
causas por las que las autoridades no asignan presupuestos,
163
asociación en el nivel de funcionalidad de las Infraestructuras
Estratégicas y las razones o causas de que el personal no conozca
las Infraestructuras Estratégicas y la asociación de recursos
disponibles para ciberdefensa con la protección de la información del
Ejército del Perú, todos ellos con un valor de significación asintótica
de 0.00. Por lo tanto, existe información estadística suficiente para
afirmar que existe solución a las carencias de recursos disponibles
para ciberdefensa; lo cual posibilitará contar con un adecuado nivel
de Asignación presupuestal y contar con un adecuado nivel de
funcionalidad de las Estructuras Estratégicas, los cuales contribuirán
a solucionar o mejorar la protección de la información en el Ejército
del Perú.
4.2.1.3 Hipótesis específicas “c”:
a) Planteamiento de la Hipótesis estadística:
H0 = Hipótesis nula: “…No se observa desconocimiento o aplicación
inadecuada de los procedimientos de seguridad informática; por no
contar con un adecuado nivel de conocimiento de los Conceptos y
Principios básicos relacionados con Ciberdefensa …”.
Ha = Hipótesis alterna: “…Se observa desconocimiento o aplicación
inadecuada de los procedimientos de seguridad informática; por no
contar con un adecuado nivel de conocimiento de los Conceptos y
Principios básicos relacionados con Ciberdefensa …”.
b) Nivel de significación = 5%
c) Prueba Estadística a usar: Se utilizará la prueba Binomial para una
muestra grande, es decir: N > 25 con una aproximación a la
distribución normal.
d) Criterio de decisión:
Si P-value < 0,05 se rechaza la H0 y se acepta la Ha.
Si P-value >= 0,05 Se acepta la H0 y se rechaza la Ha.
164
e) Desarrollo de la prueba:
• Procedimientos de Seguridad Informática: Pregunta 4.1
“Conceptos Básicos relacionados con Ciberdefensa”
Prueba Binomial
Categoría N Proporción observada
Prop. de prueba
Sig. asintót. (bilateral)
Seguridad de las Informaciones
Grupo 1 Si 16 .33 .50 .029(a)
Grupo 2 No 32 .67
Total 48 1.00
Ciberseguridad
Grupo 1 No 38 .79 .50 .000(a)
Grupo 2 Si 10 .21
Total 48 1.00
Ciberdefensa
Grupo 1 No 39 .81 .50 .000(a)
Grupo 2 Si 9 .19
Total 48 1.00
Ciberguerra
Grupo 1 No 37 .77 .50 .000(a)
Grupo 2 Si 11 .23
Total 48 1.00
Protección de la Información
Grupo 1 No 33 .69 .50 .013(a)
Grupo 2 Si 15 .31
Total 48 1.00
Ciberespacio
Grupo 1 No 34 .71 .50 .006(a)
Grupo 2 Si 14 .29
Total 48 1.00
a Basado en la aproximación Z.
• Procedimientos de Seguridad Informática: Pregunta 4.2 y 4.3
Resumen del procesamiento de los casos con prueba de Chi Cuadrado
Casos
Nivel de conocimiento de los Conceptos
Básicos Ciberdefensa * Causas o Razones de
no conocer los Conceptos Básicos
Válidos Perdidos Total
N Porcentaje N Porcentaje N Porcentaje
48 100.0% 0 .0% 48 100.0%
Pruebas de Chi-Cuadrado
Valor gl Sig. asintótica
(bilateral)
Chi-cuadrado de Pearson 90.890(a) 12 .000
Razón de verosimilitudes 68.735 12 .000
Asociación lineal por lineal 31.309 1 .000
N de casos válidos 48
a 17 casillas (85.0%) tienen una frecuencia esperada inferior a 5. La frecuencia mínima esperada es .17
165
Medidas Simétricas
Valor Sig.
aproximada
Nominal por nominal
Phi 1.376 .000
V de Cramer .794 .000
Coeficiente de contingencia .809 .000
N de casos válidos 48
a Asumiendo la hipótesis alternativa. b Empleando el error típico asintótico basado en la hipótesis nula.
• Resultados Parciales de las presuntas 4.1, 4.2 y 4.3
De acuerdo al resultado obtenido con el SPSS de la pregunta 4.1
se tiene:
➢ En el grupo 1 se observa que conocen los conceptos básicos
relacionados con Ciberdefensa.
➢ En el grupo 2 se observa que no conocen los conceptos
básicos relacionados con Ciberdefensa.
Por tanto, podemos asegurar con un 95% de confianza (Ps =
(0.029, 0.0, 0.0, 0.0, 0.013 y 0.006) < 0.05) que el Personal
Militar y Civil del COPERE que tienen la responsabilidad de
administrar y controlar las diferentes infraestructuras de TI
desconocen los conceptos básicos relacionados con
Ciberdefensa.
De acuerdo a los resultados obtenidos con el SPS de las preguntas
4.2 y 4.3 se tiene que existe una Asociación fortísima
(Coeficiente contingencia =0.809) entre el nivel de conocimiento
de los conceptos básicos relacionados con ciberdefensa y las
razones o causas de que el Personal Militar y Civil del COPERE
encargados de administrar las infraestructuras de TI no conozca
los conceptos básicos (Chi Cuadrado = 0.00)
166
• Procedimientos de Seguridad Informática: Pregunta 4.4
“Principios Básicos relacionados con Ciberdefensa”
Prueba Binomial
Categoría N Proporción observada
Prop. de prueba
Sig. asintót. (bilateral)
P. Seguridad de las Informaciones
Grupo 1 Si 15 .31 .50 .013(a)
Grupo 2 No 33 .69
Total 48 1.00
P. Ciberseguridad
Grupo 1 No 37 .77 .50 .000(a)
Grupo 2 Si 11 .23
Total 48 1.00
P. de una conciencia de Ciberseguridad
Grupo 1 No 40 .83 .50 .000(a)
Grupo 2 Si 8 .17
Tota 48 1.00
P. Ciberdefensa
Grupo 1 Si 14 .29 .50 .006(a)
Grupo 2 No 34 .71
Total 48 1.00
P. Ciberguerra
Grupo 1 No 32 .67 .50 .029(a)
Grupo 2 Si 16 .33
Total 48 1.00
a Basado en la aproximación Z.
• Procedimientos de Seguridad Informática: Pregunta 4.5 y 4.6
Resumen del procesamiento de los casos con prueba de Chi Cuadrado
Casos
Nivel de conocimiento de los Principios
Básicos Ciberdefensa * Causas o Razones de
no conocer los Principios Básicos
Válidos Perdidos Total
N Porcentaje N Porcentaje N Porcentaje
48 100.0% 0 .0% 48 100.0%
Pruebas de Chi-Cuadrado
Valor gl Sig. asintótica
(bilateral)
Chi-cuadrado de Pearson 44.097(a) 12 .000
Razón de verosimilitudes 28.672 12 .004
Asociación lineal por lineal 2.092 1 .148
N de casos válidos 48
a 17 casillas (85.0%) tienen una frecuencia esperada inferior a 5. La frecuencia mínima esperada es .13.
167
Medidas Simétricas
Valor Sig.
aproximada
Nominal por nominal
Phi .958 .000
V de Cramer .553 .000
Coeficiente de contingencia .692 .000
N de casos válidos 48
a Asumiendo la hipótesis alternativa. b Empleando el error típico asintótico basado en la hipótesis nula.
• Resultados Parciales de las presuntas 4.4, 4.5 y 4.6
De acuerdo al resultado obtenido con el SPSS de la pregunta 2.4
se tiene:
➢ En el grupo 1 se observa que conocen los Principios básicos
relacionados con Ciberdefensa.
➢ En el grupo 2 se observa que no conocen los Principios básicos
relacionados con Ciberdefensa.
Por tanto, podemos asegurar con un 95% de confianza (Ps =
(0.013, 0.0, 0.0, 0.006 y 0.029) < 0.05) que el Personal Militar
y Civil del COPERE que tienen la responsabilidad de
administrar y controlar las diferentes infraestructuras de TI
desconocen los Principios Básicos Relacionados con
Ciberdefensa.
De acuerdo a los resultados obtenidos con el SPS de las preguntas
4.5 y 4.6 se tiene que existe una Asociación fuerte (Coeficiente
contingencia =0.692) entre el nivel de conocimiento de los
principios básicos relacionados con ciberdefensa y las razones o
causas de que el Personal Militar y Civil del COPERE encargados
de administrar las infraestructuras de TI no conozcan los Principios
Básicos (Chi Cuadrado = 0.00).
168
• Procedimientos de Seguridad Informática: Pregunta 4.7 y 4.8
Resumen del procesamiento de los casos con prueba de Chi Cuadrado
Casos
Nivel de conocimiento de los Procedimientos de seguridad informática * Protección de la Información del EP
Válidos Perdidos Total
N Porcentaje N Porcentaje N Porcentaje
48 100.0% 0 .0% 48 100.0%
Pruebas de Chi-Cuadrado
Valor gl Sig. asintótica
(bilateral)
Chi-cuadrado de Pearson 45.863(a) 16 .000
Razón de verosimilitudes 48.565 16 .000
Asociación lineal por lineal 5.859 1 .015
N de casos válidos 48
a 23 casillas (92.0%) tienen una frecuencia esperada inferior a 5. La frecuencia mínima esperada es .08.
Medidas Simétricas
Valor Sig.
aproximada
Nominal por nominal
Phi .977 .000
V de Cramer .489 .000
Coeficiente de contingencia .699 .000
N de casos válidos 48
a Asumiendo la hipótesis alternativa. b Empleando el error típico asintótico basado en la hipótesis nula.
• Resultados Parciales de las presuntas 4.7 y 4.8
De acuerdo al resultado obtenido con el SPSS de las preguntas
4.7 y 4.8 se tiene que existe una Asociación fuerte (Coeficiente
contingencia =0.699) entre el nivel de conocimiento de los
Procedimientos de seguridad informática y la Protección de la
Información del ejercito del Perú (Chi Cuadrado = 0.00).
f) Conclusión parcial:
Por lo tanto, de acuerdo a los resultados parciales obtenidos con la
prueba Binomial, en donde los valores de P son menores a (P< 0.05),
es por esa razón que se rechaza la H0, y se acepta la Ha; así mismo,
se ha obtenido mediante prueba de chi cuadrado que existe
asociación en el nivel de conocimiento de los conceptos básicos
169
relacionado con ciberdefensa y las razones o causas por las que el
Personal no tiene conocimiento de los mencionados conceptos
básicos, asociación en el nivel de conocimiento de los principios
básicos relacionado con ciberdefensa y las razones o causas por las
que el personal no tiene conocimiento de los mencionados Principios
básicos y la asociación del nivel de conocimiento de los
procedimientos de seguridad informática con la protección de la
información del Ejército del Perú, todos ellos con un valor de
significación asintótica de 0.00. Por lo tanto, existe información
estadística suficiente para afirmar que existe solución al
desconocimiento o la mala aplicación de los procedimientos de
seguridad informática; lo cual posibilitará tener un adecuado nivel de
conocimiento de los Conceptos y Principios básicos relacionados con
Ciberdefensa, los cuales contribuirán a solucionar o mejorar la
protección de la información en el Ejército del Perú.
4.2.1.4 Hipótesis específicas “d”:
a) Planteamiento de la Hipótesis estadística:
H0 = Hipótesis nula: “…No se presenta incumplimientos de
disposiciones normativos relacionados a ciberdefensa; por no tener
un adecuado grado de cumplimiento del Plan de Desarrollo de la
Sociedad de la Información en el Perú. La Agenda Digital 2.0, o el Plan
de desarrollo Institucional “Bolognesi”, Directiva única para el
funcionamiento del sistema de telemática y estadística del Ejército
(DUFSITELE) y la Directiva Nº Directiva Nº 001 sobre los Lineamientos
de seguridad de la información para la Ciberdefensa en el Ejército del
Perú …”.
Ha = Hipótesis alterna: “…Se presenta incumplimientos de
disposiciones normativos relacionados a ciberdefensa; por no tener
un adecuado grado de cumplimiento del Plan de Desarrollo de la
Sociedad de la Información en el Perú. La Agenda Digital 2.0, o el Plan
de desarrollo Institucional “Bolognesi”, Directiva única para el
170
funcionamiento del sistema de telemática y estadística del Ejército
(DUFSITELE) y la Directiva Nº Directiva Nº 001 sobre los Lineamientos
de seguridad de la información para la Ciberdefensa en el Ejército del
Perú …”.
b) Nivel de significación = 5%
c) Prueba Estadística a usar: Se utilizará la prueba Binomial para una
muestra grande, es decir: N > 25 con una aproximación a la
distribución normal.
d) Criterio de decisión:
Si P-value < 0,05 se rechaza la H0 y se acepta la Ha.
Si P-value >= 0,05 Se acepta la H0 y se rechaza la Ha.
e) Desarrollo de la prueba:
• Disposiciones Normativas: Pregunta 5.1 “Plan de Desarrollo de
la Sociedad de la Información en el Perú”
Prueba Binomial
Categoría N Proporción observada
Prop. de prueba
Sig. asintót. (bilateral)
Fortalecer los RH
Grupo 1 No 32 .67 .50 .029(a)
Grupo 2 Si 16 .33
Total 48 1.00
Promover los Centros de Excelencia
Grupo 1 Si 10 .21 .50 .000(a)
Grupo 2 No 38 .79
Total 48 1.00
Promover la Prod Científica
Grupo 1 No 37 .77 .50 .000(a)
Grupo 2 Si 11 .23
Total 48 1.00
Implementar Mec. Seg.
Grupo 1 No 33 .69 .50 .013(a)
Grupo 2 Si 15 .31
Total 48 1.00
Impulsar la Interoperabilidad
Grupo 1 No 34 .71 .50 .006(a)
Grupo 2 Si 14 .29
Total 48 1.00
Implementar Mec. Acceso a la Info.
Grupo 1 No 35 .73 .50 .002(a)
Grupo 2 Si 13 .27
Total 48 1.00
a Basado en la aproximación Z.
171
• Disposiciones Normativas: Pregunta 5.2 y 5.3
Resumen del procesamiento de los casos con prueba de Chi Cuadrado
Casos
Grado de cumplimiento del Plan de Desarrollo de la
Sociedad de la Información en el Perú * Causas o
Razones de no cumplir la mencionada normativa
Válidos Perdidos Total
N Porcentaje N Porcentaje N Porcentaje
48 100.0% 0 .0% 48 100.0%
Pruebas de Chi-Cuadrado
Valor gl Sig. asintótica
(bilateral)
Chi-cuadrado de Pearson 51.228(a) 12 .000
Razón de verosimilitudes 44.496 12 .000
Asociación lineal por lineal 3.926 1 .048
N de casos válidos 48
a 17 casillas (85.0%) tienen una frecuencia esperada inferior a 5. La frecuencia mínima esperada es .08
Medidas Simétricas
Valor Sig.
aproximada
Nominal por nominal
Phi 1.033 .000
V de Cramer .596 .000
Coeficiente de contingencia .719 .000
N de casos válidos 48
a Asumiendo la hipótesis alternativa. b Empleando el error típico asintótico basado en la hipótesis nula.
• Resultados Parciales de las presuntas 5.1, 5.2 y 5.3
De acuerdo al resultado obtenido con el SPSS de la pregunta 5.1
se tiene:
➢ En el grupo 1 se observa que conoce y cumplen las
disposiciones normativas del Plan de Desarrollo de la Sociedad
de la Información en el Perú.
➢ En el grupo 2 se observa que no conoce y cumplen las
disposiciones normativas del Plan de Desarrollo de la Sociedad
de la Información en el Perú.
172
Por tanto, podemos asegurar con un 95% de confianza (Ps =
(0.029, 0.0, 0.0, 0.013, 0.006 y 0.002) < 0.05) que el Personal
Militar y Civil del COPERE que tienen la responsabilidad de
administrar y controlar las diferentes infraestructuras de TI
desconocen y no cumplen el Plan de Desarrollo de la Sociedad
de la Información en el Perú.
De acuerdo a los resultados obtenidos con el SPS de las preguntas
5.2 y 5.3 se tiene que existe una Asociación fuerte (Coeficiente
contingencia =0.719) entre el nivel de conocimiento y cumplimiento
del Plan de Desarrollo de la Sociedad de la Información en el Perú
y las razones o causas de que el Personal Militar y Civil del
COPERE encargados de administrar las infraestructuras de TI
desconozcan y no cumplen el Plan de Desarrollo de la Sociedad
de la Información en el Perú (Chi Cuadrado = 0.00).
• Disposiciones Normativas: Pregunta 5.4 “Plan de Desarrollo
institucional Bolognesi”
Prueba Binomial
Categoría N Proporción observada
Prop. de prueba
Sig. asintót. (bilateral)
Potenciamiento de la Educación
Grupo 1 No 37 .77 .50 .000(a)
Grupo 2 Si 11 .23
Total 48 1.00
Implementación de la BDU
Grupo 1 Si 13 .27 .50 .002(a)
Grupo 2 No 35 .73
Total 48 1.00
Implementación del centro de entrenamiento
Grupo 1 No 34 .71 .50 .006(a)
Grupo 2 Si 14 .29
Total 48 1.00
Modernización de las Escuelas de Formación y capacitación
Grupo 1 No 40 .83 .50 .000(a)
Grupo 2 Si 8 .17
Total 48 1.00
Actualización y creación de doctrina técnica, táctica y adm
Grupo 1 No 36 .75 .50 .001(a)
Grupo 2 Si 12 .25
Total 48 1.00
Implementación del
sistema C2
Grupo 1 No 37 .77 .50 .000(a)
Grupo 2 Si 11 .23
Total 48 1.00
a Basado en la aproximación Z.
173
• Disposiciones Normativas: Pregunta 5.5 y 5.6
Resumen del procesamiento de los casos con prueba de Chi Cuadrado
Casos
Grado de cumplimiento del Plan de Desarrollo
institucional Bolognesi * Causas o Razones de no
cumplir la mencionada normativa
Válidos Perdidos Total
N Porcentaje N Porcentaje N Porcentaje
48 100.0% 0 .0% 48 100.0%
Pruebas de Chi-Cuadrado
Valor gl Sig. asintótica
(bilateral)
Chi-cuadrado de Pearson 40.779(a) 12 .000
Razón de verosimilitudes 31.900 12 .001
Asociación lineal por lineal 7,752 1 .005
N de casos válidos 48
a 17 casillas (85.0%) tienen una frecuencia esperada inferior a 5. La frecuencia mínima esperada es .17.
Medidas Simétricas
Valor Sig.
aproximada
Nominal por nominal
Phi .922 .000
V de Cramer .532 .000
Coeficiente de contingencia .678 .000
N de casos válidos 48
a Asumiendo la hipótesis alternativa. b Empleando el error típico asintótico basado en la hipótesis nula.
• Resultados Parciales de las presuntas 5.4, 5.5 y 5.6
De acuerdo al resultado obtenido con el SPSS de la pregunta 5.4
se tiene:
➢ En el grupo 1 se observa que conoce y cumplen las
disposiciones normativas del Plan de Desarrollo institucional
Bolognesi.
➢ En el grupo 2 se observa que no conoce y cumplen las
disposiciones normativas del Plan de Desarrollo institucional
Bolognesi.
174
Por tanto, podemos asegurar con un 95% de confianza (Ps =
(0.0, 0.002, 0.006, 0.0, 0.001 y 0.0) < 0.05) que el Personal
Militar y Civil del COPERE que tienen la responsabilidad de
administrar y controlar las diferentes infraestructuras de TI
desconocen y no cumplen el Plan de Desarrollo institucional
Bolognesi.
De acuerdo a los resultados obtenidos con el SPS de las preguntas
5.5 y 5.6 se tiene que existe una Asociación fuerte (Coeficiente
contingencia =0.678) entre el nivel de conocimiento y cumplimiento
del Plan de Desarrollo institucional Bolognesi y las razones o
causas de que el Personal Militar y Civil del COPERE encargados
de administrar las infraestructuras de TI desconozcan y no
cumplen el Plan de Desarrollo institucional Bolognesi (Chi
Cuadrado = 0.00).
• Disposiciones Normativas: Pregunta 5.7 “Directiva Única de
Funcionamiento del Sistema de Telemática y Estadifica del
Ejercito”
Prueba Binomial
Categoría N Proporción observada
Prop. de prueba
Sig. asintót. (bilateral)
Políticas Institucionales de Telemática
Grupo 1 No 32 .67 .50 .029(a)
Grupo 2 Si 16 .33
Total 48 1.00
Componentes del sub sistema Cibernético
Grupo 1 No 32 .67 .50 .029(a)
Grupo 2 Si 16 .33
Total 48 1.00
Presupuesto y Proyectos de Inversión Publica
Grupo 1 No 36 .75 .50 .001(a)
Grupo 2 Si 12 .25
Total 48 1.00
Factores del Diseño del sistema de Telemática
Grupo 1 No 32 .67 .50 .029(a)
Grupo 2 Si 16 .33
Total 48 1.00
Implementación de las Capacidades de
sistema de C2
Grupo 1 Si 10 .21 .50 .000(a)
Grupo 2 No 38 .79
Total 48 1.00
Componentes del sub Sistema de Telemática
Grupo 1 No 36 .75 .50 .001(a)
Grupo 2 Si 12 .25
Total 48 1.00
a Basado en la aproximación Z.
175
• Disposiciones Normativas: Pregunta 5.8 y 5.9
Resumen del procesamiento de los casos con prueba de Chi Cuadrado
Casos
Grado de cumplimiento de la DUFSITELE * Causas o Razones de no cumplir la
mencionada normativa
Válidos Perdidos Total
N Porcentaje N Porcentaje N Porcentaje
48 100.0% 0 .0% 48 100.0%
Pruebas de Chi-Cuadrado
Valor gl Sig. asintótica
(bilateral)
Chi-cuadrado de Pearson 40.075(a) 12 .000
Razón de verosimilitudes 38.571 12 .001
Asociación lineal por lineal 7.870 1 .005
N de casos válidos 48
a 17 casillas (85.0%) tienen una frecuencia esperada inferior a 5. La frecuencia mínima esperada es .29.
Medidas Simétricas
Valor Sig.
aproximada
Nominal por nominal
Phi .914 .000
V de Cramer .528 .000
Coeficiente de contingencia .675 .000
N de casos válidos 48
a Asumiendo la hipótesis alternativa. b Empleando el error típico asintótico basado en la hipótesis nula.
• Resultados Parciales de las presuntas 5.7, 5.8 y 5.9
De acuerdo al resultado obtenido con el SPSS de la pregunta 5.7
se tiene:
➢ En el grupo 1 se observa que conoce y cumplen las
disposiciones normativas de la Directiva Única de
Funcionamiento del Sistema de Telemática y Estadifica del
Ejercito.
➢ En el grupo 2 se observa que no conoce y cumplen las
disposiciones normativas de la Directiva Única de
Funcionamiento del Sistema de Telemática y Estadifica del
Ejercito.
Por tanto, podemos asegurar con un 95% de confianza (Ps =
(0.029, 0.029, 0.001, 0.029, 0.0 y 0.001) < 0.05) que el
Personal Militar y Civil del COPERE que tienen la
responsabilidad de administrar y controlar las diferentes
176
infraestructuras de TI desconocen y no cumplen la Directiva
Única de Funcionamiento del Sistema de Telemática y
Estadifica del Ejercito.
De acuerdo a los resultados obtenidos con el SPS de las preguntas
5.8 y 5.9 se tiene que existe una Asociación fuerte (Coeficiente
contingencia =0.675) entre el nivel de conocimiento y cumplimiento
Directiva Única de Funcionamiento del Sistema de Telemática y
Estadifica del Ejercito y las razones o causas de que el Personal
Militar y Civil del COPERE encargados de administrar las
infraestructuras de TI desconozcan y no cumplen la Directiva
Única de Funcionamiento del Sistema de Telemática y Estadifica
del Ejercito (Chi Cuadrado = 0.00).
• Disposiciones Normativas: Pregunta 5.10 “Directiva Nº 01 -
Lineamientos de seguridad de la información para la Ciberdefensa
en el Ejército del Perú”
Prueba Binomial
Categoría N Proporción observada
Prop. de prueba
Sig. asintót. (bilateral)
Desarrollo del Programa Nacional de Ciberdefensa en el Ejército del Perú
Grupo 1 No 39 .81 .50 .000(a)
Grupo 2 Si 9 .19
Total 48 1.00
Gestión homogénea de las redes en el Ejército del Perú
Grupo 1 No 34 .71 .50 .006(a)
Grupo 2 Si 14 .29
Total 48 1.00
Uso de estándares y certificaciones de seguridad
Grupo 1 Si 11 .23 .50 .000(a)
Grupo 2 No 37 .77
Total 48 1.00
Programa de concientización y Formación para la cultura en seguridad
Grupo 1 No 37 .77 .50 .000(a)
Grupo 2 Si 11 .23
Total 48 1.00
Mejorar los mecanismos de coordinación y respuesta a incidentes cibernéticos
Grupo 1 No 34 .71 .50 .006(a)
Grupo 2 Si 14 .29
Total 48 1.00
Despliegue de sistemas de alerta, protección y sus interconexiones
Grupo 1 No 38 .79 .50 .000(a)
Grupo 2 Si 10 .21
Total 48 1.00
a Basado en la aproximación Z.
177
• Disposiciones Normativas: Pregunta 5.11 y 5.12
Resumen del procesamiento de los casos con prueba de Chi Cuadrado
Casos
Grado de cumplimiento de la Directiva Nº 01 -
Lineamientos de seguridad de la información para la
Ciberdefensa en el Ejército del Perú * Causas o
Razones de no cumplir la mencionada normativa
Válidos Perdidos Total
N Porcentaje N Porcentaje N Porcentaje
48 100.0% 0 .0% 48 100.0%
Pruebas de Chi-Cuadrado
Valor gl Sig. asintótica
(bilateral)
Chi-cuadrado de Pearson 41.188(a) 8 .000
Razón de verosimilitudes 56.416 8 .000
Asociación lineal por lineal 8.392 1 .004
N de casos válidos 48
a 11 casillas (73.3%) tienen una frecuencia esperada inferior a 5. La frecuencia mínima esperada es .21.
Medidas Simétricas
Valor Sig.
aproximada
Nominal por nominal
Phi .992 .000
V de Cramer .701 .000
Coeficiente de contingencia .704 .000
N de casos válidos 48
a Asumiendo la hipótesis alternativa. b Empleando el error típico asintótico basado en la hipótesis nula.
• Resultados Parciales de las presuntas 5.10, 5.11 y 5.12
De acuerdo al resultado obtenido con el SPSS de la pregunta 5.10
se tiene:
➢ En el grupo 1 se observa que conoce y cumplen las
disposiciones normativas de la Directiva Nº 01 -Lineamientos
de seguridad de la información para la Ciberdefensa en el
Ejército del Perú.
➢ En el grupo 2 se observa que no conoce y cumplen las
disposiciones normativas de la Directiva Nº 01 -Lineamientos
de seguridad de la información para la Ciberdefensa en el
Ejército del Perú.
178
Por tanto, podemos asegurar con un 95% de confianza (Ps =
(0.0, 0.006, 0.0, 0.0, 0.006 y 0.0) < 0.05) que el Personal Militar
y Civil del COPERE que tienen la responsabilidad de
administrar y controlar las diferentes infraestructuras de TI
desconocen y no cumplen Directiva Nº 01 -Lineamientos de
seguridad de la información para la Ciberdefensa en el Ejército
del Perú.
De acuerdo a los resultados obtenidos con el SPS de las preguntas
5.11 y 5.12 se tiene que existe una Asociación fuerte (Coeficiente
contingencia =0.704) entre el nivel de conocimiento y cumplimiento
de la Directiva Nº 01 -Lineamientos de seguridad de la información
para la Ciberdefensa en el Ejército del Perú y las razones o causas
de que el Personal Militar y Civil del COPERE encargados de
administrar las infraestructuras de TI desconozcan y no cumplen
la Directiva Nº 01 -Lineamientos de seguridad de la información
para la Ciberdefensa en el Ejército del Perú (Chi Cuadrado = 0.00).
• Disposiciones Normativas: Pregunta 5.13 y 5.14
Resumen del procesamiento de los casos con prueba de Chi Cuadrado
Casos
Grado de cumplimiento de los dispositivos normativos relacionados con la ciberdefensa * Protección de la Información del EP
Válidos Perdidos Total
N Porcentaje N Porcentaje N Porcentaje
48 100.0% 0 .0% 48 100.0%
Pruebas de Chi-Cuadrado
Valor gl Sig. asintótica
(bilateral)
Chi-cuadrado de Pearson 33.683(a) 8 .000
Razón de verosimilitudes 23.409 8 .003
Asociación lineal por lineal 3.233 1 .072
N de casos válidos 48
N de casos válidos 48
a 13 casillas (86.7%) tienen una frecuencia esperada inferior a 5. La frecuencia mínima esperada es .10.
179
Medidas Simétricas
Valor Sig.
aproximada
Nominal por nominal
Phi .838 .000
V de Cramer .592 .000
Coeficiente de contingencia .642 .000
N de casos válidos 48
a Asumiendo la hipótesis alternativa. b Empleando el error típico asintótico basado en la hipótesis nula.
• Resultados Parciales de las presuntas 5.13 y 5.14
De acuerdo al resultado obtenido con el SPSS de las preguntas
5.13 y 5.14 se tiene que existe una Asociación fuerte (Coeficiente
contingencia =0.642) entre el nivel de cumplimiento de los
dispositivos normativos relacionado con ciberdefensa y la
Protección de la Información del ejercito del Perú (Chi Cuadrado =
0.00).
f) Conclusión parcial:
Por lo tanto, de acuerdo a los resultados parciales obtenidos con la
prueba Binomial, en donde los valores de P son menores a (P< 0.05),
es por esa razón que se rechaza la H0, y se acepta la Ha; así mismo,
se ha obtenido mediante prueba de chi cuadrado que existe
asociación en el Grado de cumplimiento del Plan de Desarrollo de la
Sociedad de la Información en el Perú y las razones o causas por las
que el Personal no conoce o no cumplen las disposiciones normativas
del mencionado plan, asociación del Grado de cumplimiento del Plan
de Desarrollo Institucional Bolognesi y las razones o causas por las
que el Personal no conoce o no cumplen las disposiciones normativas
del mencionado plan, la asociación del Grado de cumplimiento de la
Directiva Única de Funcionamiento del Sistema de Telemática y
Estadifica del Ejercito y las razones o causas por las que el Personal
no conoce o no cumplen las disposiciones normativas de la
mencionada directiva, la asociación del Grado de cumplimiento de la
Directiva Nº 01-Lineamientos de seguridad de la información para la
180
Ciberdefensa en el Ejército del Perú y las razones o causas por las
que el Personal no conoce o no cumplen las disposiciones normativas
de la mencionada directiva y la asociación del grado de cumplimiento
de las disposiciones normativas relacionadas con la protección de la
información del Ejército del Perú, todos ellos con un valor de
significación asintótica de 0.00. Por lo tanto, existe información
estadística suficiente para afirmar que existe solución a los
Incumplimientos normativos relacionados con ciberdefensa; lo cual
posibilitará tener un adecuado grado de cumplimiento del Plan de
Desarrollo de la Sociedad de la Información en el Perú. La Agenda
Digital 2.0, el Plan de desarrollo Institucional “Bolognesi”, la Directiva
única para el funcionamiento del sistema de telemática y estadística
del Ejército (DUFSITELE) y la Directiva Nº 001 sobre los Lineamientos
de seguridad de la información para la Ciberdefensa en el Ejército del
Perú; los cuales contribuirán a solucionar o mejorar la protección de
la información en el Ejército del Perú.
4.2.2 Contrastación de la Hipótesis Global o Principal
a) Planteamiento de la Hipótesis estadística:
H0 = Hipótesis nula: No se presenta dificultades que impiden el
mejoramiento de la Ciberdefensa y su incidencia en la protección de la
información del Ejército del Perú, porque: “… No existen deficiencias
en los programas de capacitación; o porque no existen carencias
de recursos disponibles para ciberdefensa; o por no existe
desconocimiento o no se aplica de manera adecuada de los
procedimientos de seguridad informática; o porque no se
presentan incumplimientos normativos de disposiciones internas o
externas referidos a la ciberdefensa…”
H1 = Hipótesis alterna: Se presenta dificultades que impiden el
mejoramiento de la Ciberdefensa y su incidencia en la protección de la
información del Ejército del Perú, porque: “…existen deficiencias en
181
los programas de capacitación; o por carencias de recursos
disponibles para ciberdefensa; o por desconocimiento o no se
aplica de manera adecuada de los procedimientos de seguridad
informática; o por presentar incumplimientos normativos de
disposiciones internas o externas referidos a la ciberdefensa…”
Nivel de significación = 5%
b) Prueba Estadística a usar: Se utilizará la prueba Binomial para una
muestra grande, es decir: N > 25 con una aproximación a la
distribución normal.
c) Criterio de decisión:
Si P-value < 0,05 se rechaza la H0 y se acepta la Ha.
Si P-value >= 0,05 Se acepta la H0 y se rechaza la Ha.
d) Desarrollo de la prueba:
Se ha tomado como premisas para contrastar la hipótesis global, las
conclusiones parciales de cada hipótesis específica, donde se obtuvo
con un 95% de confianza, que los valores de Ps de las hipótesis
especificas son menores a 0.05 (Ps > 0.55) y las asociaciones de los
diferentes indicadores que tienen una significación asintótica de 0.00.
e) Conclusión:
De acuerdo al párrafo anterior, se rechaza la hipótesis nula y se
aceptó la hipótesis alterna, y por lo cual se prueba deficiencias en los
programas de capacitación, carencias de recursos disponibles para
ciberdefensa, desconocimiento o la mala aplicación de los
procedimientos de seguridad informática y los incumplimientos de la
normatividad relacionados a ciberdefensa.
182
4.3 DISCUSIÓN DE LOS RESULTADOS
Discusión y análisis de la Ciberdefensa y su incidencia en la protección de la
información del Ejército del Perú. Caso COPERE 2013 – 2014.
El presente trabajo es el resultado de haber estudiado, discutido y analizado el
conocimiento y uso de conceptos, principios, teorías, técnicas y otros
enunciados o postulados por parte del investigador en el desarrollo de la
Ciberdefensa y su incidencia en la protección de la información del Ejército del
Perú. Caso COPERE 2013 – 2014.
El propósito de esta discusión y análisis es afirmar y demostrar que: “…existen
deficiencias en los programas de capacitación; o carencias de recursos
disponibles para ciberdefensa; o por desconocimiento o mala aplicación
de los procedimientos de seguridad informática al no aplicar
adecuadamente los conceptos y principios básicos; o por
incumplimientos de dispositivos normativos referidos a ciberdefensa;
para el mejoramiento de la Ciberdefensa y su incidencia en la protección
de la Información del Ejercito del Perú …”
Esta discusión y análisis de la Ciberdefensa y su incidencia en la protección de
la información del Ejército del Perú, ha permitido aplicar:
a) Relevamiento directo de los datos y/o información fuente:
Se han obtenido los datos y la información por medio del método de la
encuesta a la muestra de la población informante seleccionada, así como
se ha aplicado técnicas de observación directa, entrevistas, consultas,
de igual forma el análisis de la información generada por cada
procedimiento inherente al mejoramiento de la Ciberdefensa y su incidencia
en la protección de la Información del Ejercito del Perú.
b) Criterios y metodologías altamente técnicas:
Se han realizado reuniones de trabajo con las autoridades y funcionarios
de las secciones y Departamentos de Telemática del COPERE,
responsables de implementar y mejorar la protección de la Información que
maneja el COPERE; así mismo, se contado con la participación del
personal de la Dirección de Telemática y Estadística del Ejercito del Perú,
183
responsables de las seguridad de las informaciones, Tecnologías de
Información y sistemas de información; dichas reuniones han permitido
afirmar, ratificar, esclarecer y enriquecer el presente diagnóstico
posibilitando contar con una visión de la realidad actual ampliamente
objetiva y constructiva para el mejoramiento de la Ciberdefensa y su
incidencia en la protección de la Información del Ejercito del Perú.
c) La fuente de información básica se ha agrupado para efectos del
estudio en los siguientes aspectos de la contrastación de las
hipótesis:
• Rechazar la hipótesis nula de la hipótesis global o principal presentada
y aceptar la hipótesis de investigación (alterna); por lo tanto, existe
solución a las deficiencias de programas de capacitación, Carencia de
recursos disponibles para ciberdefensa, desconocimiento o mala
aplicación de los procedimientos de seguridad informática e
incumplimientos normativos relacionados con ciberdefensa, que
dificultan el mejoramiento de la Ciberdefensa y su incidencia en la
protección de la información del Ejército del Perú. Caso: COPERE 2013
– 2014. En cuanto a que los valores de p de todas las hipótesis
especificas son menores a 0.05 (Ps> 0.05).
• Rechazar la hipótesis nula de la Hipótesis Específica “a”, presentada y
aceptar la hipótesis de investigación (alterna); por lo tanto, existe
solución a las deficiencias en los programas de capacitación, que
dificultan el mejoramiento de la Ciberdefensa y su incidencia en la
protección de la información del Ejército del Perú. En cuanto a que los
valores de P son menores que 0.05 (Ps> 0.05).
• Rechazar la hipótesis nula de la Hipótesis Específica “b”, presentada y
aceptar la hipótesis de investigación (alterna); por lo tanto, existe
solución a las carencias de recursos disponibles para ciberdefensa que
dificultan el mejoramiento de la Ciberdefensa y su incidencia en la
protección de la información del Ejército del Perú. En cuanto a que los
valores de P son menores que 0.05 (Ps> 0.05).
184
• Rechazar la hipótesis nula de la Hipótesis Específica “c”, presentada y
aceptar la hipótesis de investigación (alterna); por lo tanto, existe
solución al desconocimiento o mala aplicación de los procedimientos de
seguridad informática que dificultan el mejoramiento de la Ciberdefensa
y su incidencia en la protección de la información del Ejército del Perú.
En cuanto a que los valores de P son menores que 0.05 (Ps> 0.05).
• Rechazar la hipótesis nula de la Hipótesis Específica “d”, presentada y
aceptar la hipótesis de investigación (alterna); por lo tanto, existe
solución a los Incumplimientos Normativos relacionados con
ciberdefensa que dificultan el mejoramiento de la Ciberdefensa y su
incidencia en la protección de la información del Ejército del Perú. En
cuanto a que los valores de P son menores que 0.05 (Ps> 0.05).
185
CAPÍTULO V: CONCLUSIONES Y RECOMENDACIONES
5.1. Conclusiones
Cada conclusión parcial se basa en el resultado de la contratación de una
hipótesis especifica.
5.1.1. Conclusión parcial N.º 1
5.1.1.1. Contrastación con la hipótesis específica “a”
En el numeral N.º 2.4.2. se ha enunciado la siguiente hipótesis
específica “a”:
“…Se presentan deficiencias en los Programas de Capacitación, para
el Personal Militar o Civil que Administran las infraestructuras de TI; por no
contar con un adecuado nivel de capacitación en Ciberdefensa; o por no
tener un nivel de conocimiento adecuado de los lineamientos que se
disponen en la Norma Técnica Peruana NTP-ISO/IEC 17799, sobre buenas
prácticas para la gestión de la seguridad de la información…”
Tomando como premisas el análisis de los resultados obtenidos en el
numeral 4.1.2 y 4.2.1.1; todas las cuales se han obtenido de la tabulación de
las respuestas a las preguntas consideradas en la guía de entrevista Nº01;
se establecer que:
a) Podemos afirmar con un 95% de confianza que el Personal Militar y Civil
del COPERE que tienen la responsabilidad de administrar y controlar las
diferentes infraestructuras de TI; así como, el personal responsable de
brindar seguridad de las redes y sistemas de información de las
instalaciones del CGE desconocen o no aplican adecuadamente las
capacidades de ciberdefensa, debido que el promedio de capacidades de
ciberdefensa que conocen es de 1,33 de un total de 05 capacidades que
el personal debe conocer; de igual manera sucede con la NTP ISO/IEC
17799 ya que su promedio de conocimiento y aplicabilidad es de 1.77 de
un total de 6 conceptos que deben conocerse y aplicarse.
186
b) De acuerdo a los resultados de la prueba binomial se ha obtenido que los
valores de P son menores a 0.5, por lo tanto, se confirma estadísticamente
que el Personal Militar y Civil del COPERE que tienen la responsabilidad
de administrar y controlar las diferentes infraestructuras de TI; así como,
el personal responsable de brindar seguridad de las redes y sistemas de
información de las instalaciones del CGE desconocen o no aplican
adecuadamente las capacidades de ciberdefensa, así como también que
se confirma que existe asociación fuerte entre el nivel de capacitación en
ciberdefensa y las razones o causas por las que no está capacitado (Coef.
Contingencia:0.7263), asociación fortísima entre el nivel de conocimiento
de la NTP ISO/IEC 17799 y las razones o causas por las que no las
conoce o no las aplica (Coef. Contingencia:0.775 ) y una asociación fuerte
entre el nivel de los programas de capacitación con la protección de la
información del Ejército del Perú (Coef. Contingencia:0.663), debido a los
resultados obtenidos con la prueba estadística de chi cuadrado con un
valor de significación asintótica de 0.00.
c) Podemos afirmar con un 95% de confianza; que el 93.7% de informantes
no están capacitados en ciberdefensa, y tan solo 6.3% tienen
conocimiento del tema.
Siendo las causas: la falta de planificación en un 41.7%, la falta de
interés de las autoridades en un 25%, la falta de infraestructuras de TI en
un 18.8%, Falta de personal especialista en 10.4% y finalmente por falta
de recursos económicos en un 4.2%.
d) Podemos afirmar con un 95% de confianza; que el 70.8% del personal
informante tiene un regular y menor nivel del conocimiento de la Norma
Técnica Peruana NTP/ISO/IEC 17799 – “Código de buenas prácticas para
la gestión de la seguridad de la información, y tan solo el 29.1% poseen
un mayor y total nivel de conocimiento de la mencionada norma.
187
Siendo las causas el desconocimiento parcial o total de la mencionada
norma en un 54.2%, la falta capacitación en un 31.3%, los lineamientos
son difíciles de aplicar en un 8.3%, y finalmente sus dispositivos no se
adecuan a la realidad institucional en un 6.3%.
e) Podemos afirmar con un 95% de confianza; que el 87.6% del personal
informante esta poco o nada satisfecho con el nivel de los programas de
capacitación y tan solo el 12.5% están satisfechos con los programas de
capacitaciones relacionados con Ciberdefensa.
Siendo las causas la mala planificación en un 25%, la falta de docentes
especialistas en estos temas en un 25%, la falta instalaciones adecuadas
en un 22.9%, la mala designación de alumnos a los programas de
capacitación en un 18.8% y finalmente un 8.3% % por otros motivos como
falta de interés del escalón superior en realizar este tipo de cursos por no
ser prioridad en estos momentos.
Contrastación: Podemos establecer que esta hipótesis alternativa “a”:
Se prueba totalmente ante la falta de Personal Militar o Civil que conozca y
aplique las capacidades de ciberdefensa; así como, conozca y aplique las
recomendaciones emitidas en la Norma Técnica Peruana NTP/ISO/IEC
17799; lo que trae como consecuencia que el nivel de los programas de
capacitación relacionados con ciberdefensa no sea el adecuado para brindar
protección a la información del Ejército del Perú.
Como resultado consecuente, se observa la existencia de Deficiencias en
el nivel de capacitación del Personal Militar y Civil encargadas administrar
las infraestructuras de TI, Deficiencias en el nivel de conocimiento de la
Norma Técnica Peruana NTP/ISO/IEC 17799, Deficiencias en el nivel de
los programas de capacitación relacionados con la ciberdefensa y su
incidencia en la protección de la información del Ejército del Perú
188
5.1.1.2. Enunciado de la Conclusión 1
El resultado de la contratación de la hipótesis alternativa “a”, nos da base
para formular la conclusión parcial 1, mediante el siguiente enunciado:
“…Esta probado que existen Deficiencias en los programas de
capacitación relacionados a ciberdefensa para la protección de la
Información del Ejército del Perú, porque no se cuenta con personal
Militar o Civil que administra las infraestructuras de TI, que cuenten con
un adecuado nivel de capacitación en temas relacionados a la
ciberdefensa; o que este personal no posea el nivel de conocimiento
adecuado de la Norma Técnica Peruana NTP/ISO/IEC 17799, para poner
en práctica su aplicación y así de esta manera mejorar la protección de
la Información del Ejército del Perú…”.
5.1.2. Conclusión parcial N.º 2
5.1.2.1. Contrastación con la hipótesis específica “b”
En el numeral N.º 2.4.2. se ha enunciado la siguiente sub hipótesis “b”:
“…Se observa, carencia de Recursos Disponibles para Ciberdefensa;
por no contar un adecuado nivel de Asignación presupuestal o por no contar
con un adecuado nivel de funcionalidad de las Estructuras Estratégicas
necesarias que brinden seguridad a la información…”.
a) Podemos afirmar con un 95% de confianza que el Personal Militar y Civil
del COPERE que tienen la responsabilidad de administrar y controlar las
diferentes infraestructuras de TI; así como, el personal responsable de
brindar seguridad de las redes y sistemas de información de las
instalaciones del CGE desconocen las maneras o formas de obtener
asignación presupuestal para ciberdefensa, debido que la cantidad
promedio de formas o maneras es de 1,19 de un total de 04 formas o
maneras consideradas, las cuales el personal debe conocer; de igual
manera sucede con las Infraestructuras estratégicas ya que su promedio
de conocimiento y aplicabilidad es de 1.92 de un total de 6 infraestructuras
estratégicas consideradas.
189
b) De acuerdo a los resultados de la prueba binomial se ha obtenido que los
valores de P son menores a 0.5, por lo tanto, se confirma estadísticamente
que el Personal Militar y Civil del COPERE que tienen la responsabilidad
de administrar y controlar las diferentes infraestructuras de TI; así como,
el personal responsable de brindar seguridad de las redes y sistemas de
información de las instalaciones del CGE desconocen las maneras o
formas de obtener asignación presupuestal para ciberdefensa, así como
también que se confirma que existe asociación fuerte entre de nivel de
asignación presupuestal para ciberdefensa y las razones o causas por las
por las que las autoridades no asignan presupuestos para ciberdefensa
en favor de la protección de la información del ejercito del Perú (Coef.
Contingencia: 0..618), asociación fuerte entre el nivel de funcionalidad de
las infraestructuras estratégicas y las causas o razones por las que no se
disponer de un nivel adecuado de infraestructuras estratégicas para
ciberdefensa (Coef. Contingencia:0.667) y una asociación fuerte entre el
nivel de los Recursos Disponibles para Ciberdefensa y la protección de la
información del Ejército del Perú (Coef. Contingencia:0.707), debido a los
resultados obtenidos con la prueba estadística de chi cuadrado con un
valor de significación asintótica de 0.00.
c) Podemos afirmar con un 95% de confianza; que el 91.7% de informantes
manifestaron que el nivel de asignación presupuestal para ciberdefensa
es desfavorable o adversa; y tan solo el 8.3% manifestaron que esta es
medianamente favorable.
Siendo las causas: la falta de planificación en un 29.2%, por otras
razones como falta de políticas en ciberdefensa a nivel estado o la falta
de conciencia de seguridad en un 29.2%, por falta de recursos disponibles
en un 16.7%, por no ser prioridad del estado en estos momentos en un
14.6%; y finalmente por falta de interés de las autoridades en un 10.4%.
190
d) Podemos afirmar con un 95% de confianza; que el 91.7% manifestaron
que el nivel de funcionalidad de las infraestructuras estratégicas es
desfavorable o adversa, y tan solo el 8.3% manifiestan que es
medianamente favorable.
Siendo las causas: la falta asignación presupuestal en un 56.3%; o la
falta de equipamiento que brinden ciberseguridad (Protección, Monitoreo,
exploración) en un 25%, por falta de personal capacitado que pueda
desarrollar herramientas informáticas que brinden ciberdefensa en un
8.3%, o por otras razones, como la falta de políticas en ciberdefensa a
nivel estado o software especializado en un 6.3% y finalmente por falta de
interés de las autoridades en un 4.2%.
e) Podemos afirmar con un 95% de confianza; que el 95.9% del personal
informante manifiesta que nivel de recursos disponibles relacionados con
la Ciberdefensa es desfavorable o adverso y tan solo el 4.2%
manifestaron que es medianamente favorable.
Siendo las causas la falta de políticas de estado en temas de
ciberdefensa en un 35.4%, por falta de planificación en un 27.1%, Por no
ser una prioridad para el estado en un 20.8%, y finalmente por falta de
conocimientos y falta de interés de las autoridades en un 16.6%.
Contrastación: Podemos establecer que esta hipótesis especifica “b”, se
prueba totalmente, debido a que no se posee un nivel de asignación
Presupuestal adecuado para el empleo de la Ciberdefensa; así mismo, no
se posee un nivel adecuado de Funcionalidad de las infraestructuras
estratégicas para el uso de ciberdefensa y finalmente, el nivel de recursos
disponibles relacionados con ciberdefensa no es el adecuado para brindar
protección a la información del Ejército del Perú.
Como resultado consecuente, se observa la existencia Carencias en el
nivel asignación Presupuestal, Carencias en el nivel de Funcionalidad de
las infraestructuras estratégicas y Carencias en el nivel de recursos
191
disponibles relacionados con ciberdefensa y su incidencia en la protección
de la información del Ejército del Perú
5.1.2.2. Enunciado de la Conclusión 2
El resultado de la contratación de la hipótesis específica “b”, nos da
base para formular la conclusión parcial 2, mediante el siguiente
enunciado:
“…Esta probado que existen Carencias de Recursos Disponibles
relacionados a ciberdefensa para la protección de la Información del
Ejército del Perú, porque no se cuenta con un adecuado nivel de
asignación presupuestal destinado a ciberdefensa; o porque no se
posea un adecuado nivel de Funcionalidad de las infraestructuras
estratégicas, que permitan mejorar la protección de la Información
del Ejército del Perú…”.
5.1.3. Conclusión parcial N.º 3
5.1.3.1. Contrastación con la sub hipótesis “c”
En el numeral N.º 2.4.2. se ha enunciado la siguiente sub hipótesis “c”:
“…Se observa desconocimiento o aplicación inadecuada de los
procedimientos de seguridad informática; por no contar con un adecuado
nivel de conocimiento de los Conceptos y Principios básicos relacionados
con Ciberdefensa …”.
Tomando como premisas el análisis de los resultados obtenidos en el
numeral 4.1.2 y 4.2.1.1; todas las cuales se han obtenido de la tabulación de
las respuestas a las preguntas consideradas en la guía de entrevista Nº01;
se establecer que:
a) Podemos afirmar con un 95% de confianza que el Personal Militar y Civil
del COPERE que tienen la responsabilidad de administrar y controlar las
diferentes infraestructuras de TI; así como, el personal responsable de
brindar seguridad de las redes y sistemas de información de las
instalaciones del CGE, desconocen o no aplican adecuadamente los
192
Conceptos Básicos relacionados con ciberdefensa, debido que que la
cantidad promedio de conceptos básicos relacionado con ciberdefensa
que conocen y aplicas es de 1,56 de un total de 06 conceptos
considerador que el personal debe conocer y aplicar; de igual manera
sucede con los principios básicos relacionado con ciberdefensa, ya que
su promedio de conocimiento y aplicabilidad es de 1.33 de un total de 5
principios que deben conocerse y aplicarse.
b) De acuerdo a los resultados de la prueba binomial se ha obtenido que los
valores de P son menores a 0.5, por lo tanto, se confirma estadísticamente
que el Personal Militar y Civil del COPERE que tienen la responsabilidad
de administrar y controlar las diferentes infraestructuras de TI; así como,
el personal responsable de brindar seguridad de las redes y sistemas de
información de las instalaciones del CGE desconocen o no aplican
adecuadamente conceptos básicos relacionados con ciberdefensa, así
como también que se confirma que existe asociación fortísima entre el
nivel de conocimiento de los conceptos básicos relacionados con
ciberdefensa y las razones o causas de no conocerlos (Coef.
Contingencia:0.809), asociación fuerte entre el nivel de conocimiento de
los principios básicos relacionados con ciberdefensa y las razones o
causas de no conocerlos o no las aplicarlos (Coef. Contingencia:0.692) y
una asociación fuerte entre el nivel de conocimiento de los Procedimientos
de seguridad informática y la protección de la información del Ejército del
Perú (Coef. Contingencia:0.699), debido a los resultados obtenidos con la
prueba estadística de chi cuadrado con un valor de significación asintótica
de 0.00.
c) Podemos afirmar con un 95% de confianza; que el 72.9% de informantes
manifestaron que poseen un nivel regular y malo de los conceptos básicos
de Seguridad de las Informaciones; y tan solo el 27.1% manifestaron que
esta es medianamente favorable.
193
Siendo las causas: la falta de capacitación en un 47.9%, por falta de
recursos económicos en un 25%, el desconocimiento de estos temas en
14.6%, por otras razones como la falta de interés de las autoridades en
capacitar al personal; y finalmente por la dificultad de aplicar estos
conceptos en un 4.2%.
d) Podemos afirmar con un 95% de confianza; que el 54.2% no respondieron
o conocen someramente estos principios relacionados a ciberdefensa, el
16.7% conoce o aplica los principios de seguridad de las informaciones,
12.5% conoce o aplica los principios de ciberseguridad, el 8.3 conoce o
plica los principios de ciberdefensa, el 6.3% conoce o aplica los principios
de ciberguerra, y el 2.1% conoce los principios de conciencia de
ciberseguridad.
Siendo las causas: la falta de capacitación en un 47.9%, los principios
son difíciles de aplicar en un 22.9%, la falta de recursos económicos en
un 18.8%, otras causas como la falta de políticas a nivel estado referentes
a ciberdefensa en un 6.3% y finalmente por desconocimiento de estos
principios en un 4.2%
e) Podemos afirmar con un 95% de confianza; que el 91.6% del personal
informante manifiesta que nivel de conocimiento de los procedimientos de
seguridad informática es regular, malo o pésimo y tan solo el 8.4%
manifiesta que es bueno o muy bueno.
Siendo las causas la falta de capacitación en un 37.5%, por
desconocimiento en un 25%, por difíciles de aplicar en un 18.8%, por otras
causas como la falta de políticas a nivel estado referentes a ciberdefensa
en un 10.4% y finalmente por falta de recursos económicos en un 4.2%.
Contrastación: Podemos establecer que esta hipótesis específica “c”, se
prueba totalmente, debido a que no se posee un nivel de conocimiento
adecuado de los conceptos básicos relacionados con ciberdefensa; así
194
mismo, no se posee un nivel adecuado de conocimiento de los principios
básicos relacionados a ciberdefensa y finalmente el nivel de conocimiento
de los procedimientos de seguridad informática no es el adecuado para
brindar protección a la información del Ejército del Perú.
Como resultado consecuente, se observa un bajo nivel de conocimiento de
los conceptos básicos de seguridad de las informaciones, un bajo nivel de
conocimiento de los principios básicos relacionados a ciberdefensa y
finalmente, un bajo nivel de conocimiento de los procedimientos de
seguridad informática relacionados con ciberdefensa y su incidencia en la
protección de la información del Ejército del Perú
5.1.3.2. Enunciado de la Conclusión 3
El resultado de la contratación de la hipótesis específica “c”, nos da
base para formular la conclusión parcial 3, mediante el siguiente
enunciado:
“…Esta probado que existen Desconocimiento o aplicación incorrecta
de los procedimientos de seguridad informática relacionados a
ciberdefensa para la protección de la Información del Ejército del Perú,
porque no se cuenta con un adecuado nivel de conocimiento de los
conceptos básicos relacionados con ciberdefensa; o porque no se posea
un adecuado nivel de conocimiento de los principios básicos
relacionados a ciberdefensa, que permitan mejorar la protección de la
Información del Ejército del Perú…”.
5.1.4. Conclusión parcial N.º 4
5.1.4.1. Contrastación con la hipótesis específica “d”
En el numeral N.º 2.4.2. se ha enunciado la siguiente sub hipótesis “d”:
“…Se presenta incumplimientos de disposiciones normativos relacionados
a ciberdefensa; por no tener un adecuado grado de cumplimiento del Plan
de Desarrollo de la Sociedad de la Información en el Perú. La Agenda Digital
195
2.0, o el Plan de desarrollo Institucional “Bolognesi”, Directiva única para el
Funcionamiento del Sistema de Telemática y Estadística del Ejército
(DUFSITELE) y la Directiva Nº Directiva Nº 001 sobre los Lineamientos de
seguridad de la información para la Ciberdefensa en el Ejército del Perú …”.
Tomando como premisas el análisis de los resultados obtenidos en el
numeral 4.1.2 y 4.2.1.1; todas las cuales se han obtenido de la tabulación de
las respuestas a las preguntas consideradas en la guía de entrevista Nº01;
se establecer que:
a) Podemos afirmar con un 95% de confianza que el Personal Militar y Civil
del COPERE que tienen la responsabilidad de administrar y controlar las
diferentes infraestructuras de TI; así como, el personal responsable de
brindar seguridad de las redes y sistemas de información de las
instalaciones del CGE, incumplen o no conocen el del Plan de Desarrollo
de las Sociedad de la Información en el Perú, debido que la cantidad
promedio de disposiciones normativas que conocen y aplicas es de 1,65
de un total de seis disposiciones que el personal debe conocer y aplicar;
de igual manera sucede con el plan de Desarrollo Institucional Bolognesi
ya que la cantidad promedio de disposiciones que conocen y aplican es
1,071 de un total de seis disposiciones consideradas; con la DUFSITELE
ya que la cantidad promedio de disposiciones que conocen y aplican es
de 1.41 de un total de seis disposiciones consideradas; con la Directiva
Lineamientos de seguridad de la información para la Ciberdefensa en el
Ejército del Perú ya que la cantidad promedio de disposiciones que
conocen y aplican es de 1.44 de un total de seis disposiciones
consideradas.
b) De acuerdo a los resultados de la prueba binomial se ha obtenido que los
valores de P son menores a 0.5, por lo tanto, se confirma estadísticamente
que el Personal Militar y Civil del COPERE que tienen la responsabilidad
de administrar y controlar las diferentes infraestructuras de TI; así como,
el personal responsable de brindar seguridad de las redes y sistemas de
información de las instalaciones del CGE incumplen o no conocen el Plan
196
de Desarrollo de la Sociedad de la Información en el Perú , así como
también que se confirma que existe asociación fuerte entre en nivel de
conocimiento y cumplimiento del Plan de Desarrollo de la Sociedad de la
Información en el Perú con las razones o causas por las cuales
desconocen y no cumplen (Coef. Contingencia:0.719), asociación fuerte
entre el Plan de Desarrollo institucional Bolognesi y las razones o causas
por las cuales desconocen y no cumplen (Coef. Contingencia:0.678),
asociación fuerte entre la Directiva Única de Funcionamiento del Sistema
de Telemática y Estadifica del Ejercito y las razones o causas por las
cuales desconocen y no cumplen (Coef. Contingencia:0.675) y asociación
fuerte entre la Directiva Nº 01 -Lineamientos de seguridad de la
información para la Ciberdefensa en el Ejército del Perú y las razones o
causas por las cuales desconocen y no cumplen (Coef.
Contingencia:0.704), asociación fuerte entre el nivel de cumplimiento de
los dispositivos normativos relacionado con ciberdefensa y la Protección
de la Información del ejercito del Perú (Coef. Contingencia:0.642), debido
a los resultados obtenidos con la prueba estadística de chi cuadrado con
un valor de significación asintótica de 0.00.
c) Podemos afirmar con un 95% de confianza; que el 91.7% de informantes
manifestaron dar cumplimiento al Plan de Desarrollo de la Sociedad de la
Información en el Perú. La Agenda Digital 2.0 en un nivel regular, menor
o no cumplen, y tan solo el 8.3% dan mayor cumplimiento al mencionado
plan.
Siendo las causas: el desconocimiento parcial o total de sus
lineamientos en un 56.3%, por no haber sido capacitados en un 25%,
porque sus dispositivos no se adecuan a la realidad de la institución en un
8.3%, debido a que sus lineamientos son difíciles de aplicar en la realidad
en un 6.3%y finalmente por otras razones como por falta de equipamiento,
infraestructura y personal especializado en un 4.2%.
197
d) Podemos afirmar con un 95% de confianza; que el 95.8% de informantes
manifestaron dar cumplimiento al Plan de desarrollo Institucional
“Bolognesi, en un nivel regular, menor o no cumplen, y tan solo el 4.2%
dan mayor cumplimiento al mencionado plan.
Siendo las causas: el desconocimiento parcial o total de sus
lineamientos en un 37.5%, por no haber sido capacitados en un 25%,
debido a que sus lineamientos son difíciles de aplicar en la realidad en un
20.8% porque sus dispositivos no se adecuan a la realidad de la institución
en un 8.3%, y finalmente por otras razones como por falta de
equipamiento, infraestructura y personal especializado en un 8.3%.
e) Podemos afirmar con un 95% de confianza; que el 52.1% de informantes
manifestaron dar cumplimiento a la Directiva única para el funcionamiento
del sistema de telemática y estadística del Ejército (DUFSITELE) en un
nivel regular o menor, y el 47.9 % dan mayor o total cumplimiento a la
mencionada directiva.
Siendo las causas: no haber sido capacitados en un 56.3%, por
desconocimiento parcial o total de sus lineamientos en un 20.8%, debido
a que sus lineamientos son difíciles de aplicar en la realidad en un 14.6%,
porque sus dispositivos no se adecuan a la realidad de la institución en un
4.2%, y finalmente por otras razones como por falta de equipamiento,
infraestructura y personal especializado en un 4.2%.
f) Podemos afirmar con un 95% de confianza; que el 100% de informantes
manifestaron dar cumplimiento a la Directiva Nº 001/CGE/DITELE/SD
SIDE (Lineamientos de seguridad de la información para la Ciberdefensa
en el Ejército del Perú) en un nivel regular, menor o no cumplen.
Siendo las causas: el desconocimiento parcial o total de sus
lineamientos en un 66.7%, por no haber sido capacitados en un 20.8%,
debido a que sus lineamientos son difíciles de aplicar en la realidad en un
8.3%, porque sus dispositivos no se adecuan a la realidad de la institución
198
en un 2.1%, y finalmente por otras razones como por falta de
equipamiento, infraestructura y personal especializado en un 2.1%.
g) Podemos afirmar con un 95% de confianza; que el 100% de informantes
manifestaron dar cumplimiento a las disposiciones normativas
relacionadas con ciberdefensa en un nivel regular, menor o no cumplen.
Siendo las causas: el desconocimiento parcial o total de sus
lineamientos en un 70.8%, por no haber sido capacitados en un 16.7%,
debido a que sus lineamientos son difíciles de aplicar en la realidad en un
6.3, por otras razones como por falta de equipamiento, infraestructura y
personal especializado en un 4.2%, y finalmente porque sus dispositivos
no se adecuan a la realidad de la institución en un 2.1%,
Como resultado consecuente, se observa la existencia de
incumplimientos normativos en el grado de cumplimiento del plan de
Desarrollo de la Sociedad de la Información en el Perú. La Agenda Digital
2.0, incumplimientos normativos en el grado de cumplimiento del plan
de desarrollo Institucional “Bolognesi”, incumplimientos normativos en
el grado de cumplimiento de la Directiva única para el funcionamiento del
sistema de telemática y estadística del Ejército (DUFSITELE),
incumplimientos normativos en el grado de cumplimiento de la Directiva
Nº 001/CGE/DITELE/SD SIDE (Lineamientos de seguridad de la
información para la Ciberdefensa en el Ejército del Perú), y finalmente
incumplimientos normativos en el grado de cumplimiento de
dispositivos normativos relacionados con ciberdefensa y su incidencia en
la protección de la información del Ejército del Perú.
5.1.4.2. Enunciado de la Conclusión 4
El resultado de la contratación de la hipótesis específica “d”, nos da base
para formular la conclusión parcial 4, mediante el siguiente enunciado:
199
“…Esta probado que existen Incumplimientos Normativos
relacionados a ciberdefensa para la protección de la Información del
Ejército del Perú, debido a que no se da un adecuado grado de
cumplimiento del plan de Desarrollo de la Sociedad de la Información
en el Perú. La Agenda Digital 2.0; o porque no se da un adecuado grado
de cumplimiento del plan de desarrollo Institucional “Bolognesi”; o
porque no se da un adecuado grado de cumplimiento de la Directiva
única para el funcionamiento del sistema de telemática y estadística
del Ejército (DUFSITELE); o porque no se da un adecuado grado de
cumplimiento de la la Directiva Nº 001/CGE/DITELE/SD SIDE
(Lineamientos de seguridad de la información para la Ciberdefensa
en el Ejército del Perú), que permitan mejorar la protección de la
Información del Ejército del Perú…”.
5.1.5. CONCLUSIÓN GENERAL
5.1.5.1. Contrastación con la Hipótesis General
En el numeral N.º 2.4.1. se ha enunciado la siguiente hipótesis general:
Se presenta dificultades que impiden el mejoramiento de la Ciberdefensa
y su incidencia en la protección de la información del Ejército del Perú,
porque “…Existen deficiencias en los programas de capacitación; o
por carencias de recursos disponibles para ciberdefensa; o
desconocimiento o aplicación de los conceptos o principios
relacionados con ciberdefensa; o por presentar incumplimientos
normativos de disposiciones internas o externas referidos a la
ciberdefensa…”
Tomando como premisas las conclusiones parciales que figuran en los
numerales 5.1.1.2, 5.1.2.2, 5.1.3.2 y 5.1.4.2, se puede establecer que se
prueba las deficiencias de los programas de capacitación, la carencia de
recursos disponibles para ciberdefensa, desconocimiento o aplicación
incorrecta de los procedimientos de seguridad informática y los
incumplimientos de dispositivos normativos internos y externos
relacionados con ciberdefensa.
200
5.1.5.2. Enunciado de la Conclusión General
El resultado de la contrastación de la hipótesis global, da base para
formular en un 95% de confianza la conclusión general de la presente
investigación mediante el siguiente enunciado:
“Se presenta dificultades que impiden el mejoramiento de la
Ciberdefensa y su incidencia en la protección de la información del
Ejército del Perú, porque esta investigación ha probado la existencia de
deficiencias en los programas de capacitación, al no disponer de
Personal Militar o Civil que cuente con un adecuado nivel de capacitación
en ciberdefensa; así como, no tener un nivel adecuado de conocimiento
de la Norma Técnica Peruana NTP/ISO/IEC 17799 – “Código de buenas
prácticas para la gestión de la seguridad de la información; la existencia
de carencia de recursos disponibles para ciberdefensa, al no
disponer de un nivel adecuado de asignación presupuestal, para ser
utilizado en ciberdefensa; así como, no disponer de un nivel adecuado
de funcionalidad de las infraestructuras estratégicas para el uso en
ciberdefensa; la existencia de desconocimiento o aplicación
incorrecta de los procedimientos de seguridad que dificultan el
mejoramiento de la Ciberdefensa y su incidencia en la protección de la
información del Ejército del Perú, como consecuencia que el personal
Militar o civil no conoce o aplica adecuadamente los conceptos y
principios básicos relacionados con ciberdefensa; y la existencia de
incumplimientos de dispositivos normativos que puedan darse de
forma internas o externas referidos al Decreto Supremo N° 66-2011-
PCM, Plan de Desarrollo de la Sociedad de la Información en el Perú. La
Agenda Digital 2.0., o Plan Estratégico Institucional “Bolognesi” o la
Directiva Única de Funcionamiento del Sistema de Telemática y
Estadifica del Ejercito (DUFSITELE) o la Directiva - Lineamientos de
seguridad de la información para la Ciberdefensa en el Ejército del Perú,
como consecuencia que el personal Militar o civil desconoce o no aplica
las mencionadas disposiciones normativas…”
Nota: El Enunciado anterior se ha validado en un 95% de confianza, debido a
que cada una de sus variables dicotomizadas han sido contrastada con la
PRUEBA DE BINOMIAL Y CHI CUADRADO.
201
5.2. RECOMENDACIONES
5.2.1. RECOMENDACIÓNES PARCIALES
5.2.1.1. RECOMENDACIÓN PARA CORREGIR LAS DEFICIENCIAS
Las deficiencias encontradas en los los programas de capacitación
relacionados a ciberdefensa para la protección de la Información del
Ejército del Perú, se debe fundamentalmente por que no se dispone
de personal militar o civil que cuente con un adecuado nivel de
capacitación en temas relacionados a la ciberdefensa; o porque este
personal no posea el nivel de conocimiento adecuado de la Norma
Técnica Peruana NTP/ISO/IEC 17799, para poner en práctica su
aplicación.
Por estas razones se observa que: “…en los programas de
capacitación se hacen las cosas, pero con algunas fallas o
errores; en consecuencia, tenemos... deficiencias...”
Ante esta realidad comprobada se recomienda:
5.2.1.1.1. Desarrollo de un plan de capacitación integral permanente y
sostenida dirigido al personal que administra las
infraestructuras de TI. -
A fin de instruir, entrenar, adiestrar el Potencial Humano en
nuestra Institución, con énfasis al personal que administra las
infraestructuras de TI (Servidores, redes, Firewalls, Sistemas de
Información) quienes tienen la capacidad de tomar decisiones y son los que
conducen la Gestión de la seguridad de la información aplicando principios
científicos y técnicas de protección de la información (Políticas de seguridad,
manejo de protocolos, Encriptación de información, manejo de sistema de
monitoreo y detección de intrusos, etc. ); así como, conocer y aplicar bien los
conceptos más usados o avanzadas, tal como se indica en el numeral 2.2. y
la Norma Técnica Peruana NTP/ISO/IEC 17799.
202
5.2.1.1.2. Gestionar la adquisición de Infraestructuras de TI, para poner
en práctica los conocimientos que se van adquiriendo.
Para que el Personal Militar y Civil que administra infraestructuras de
TI pueda afianzar los conocimientos teóricos, y ponerlos en práctica en nuestra
realidad, es necesario contar con el equipamiento que ayude a aumentar la
competitividad y desarrollo; debido que en nuestros tiempos se ha hecho
dispensable el uso de tecnologías del primer nivel; es en ese sentido, que se
hace necesario realizar las gestiones pertinente al comnado del Ejército,
sustentando las amenazas latentes que enfrentamos, las cuales pueden traer
graves daños a la información y al prestigio de la Institución.
5.2.1.1.3. Realizar una evaluación de personal, y evaluación de
Desempeño o Competencias.
Con el propósito de seleccionar el potencial humano con las
mejores condiciones, es importante que se evalué al personal que administra
las infraestructuras de TI, para garantizar que todas las técnicas que se
desarrollen en los programas de capacitación, puedan ser asimiladas por
este personal, y así de esta manera las ponga en práctica sin deficiencias
técnicas.
5.2.1.1.4. Realizar convenios con entidades educativas especializadas
en temas de seguridad de las informaciones, Ciberseguridad y
ciberdefensa, con el propósito de mejorar la protección de la
información del Ejército del Perú.
Es importante que se coordine con las Instituciones educativas
especializadas como Universidades, Tecnológicos e Institutos privados u
nacionales para que celebren convenios educativos y se pueda desarrollar
especializaciones, diplomados, o carreras técnicas especializadas a fin de
superar las deficiencias que existe frente a la formación y preparación del
Personal Militar o Civil que administra las infraestructuras de TI.
203
El beneficio que se logrará es contar con personal con capacidad e iniciativa
para desarrollar nuevas inventivas que permitan mejorar la seguridad de las
informaciones; así como, disminuir las debilidades en cuanto a las severas
deficiencias del Potencial Humano. Esta recomendación importante en virtud
de mejorar la protección de la información y superar las deficiencias con
un flujo de suministro externo de Potencial Humano suficiente y capacitado
para garantizar el desarrollo de los procesos, procedimientos y toda actividad
que demande la Gestión de la seguridad de las informaciones.
5.2.1.2. RECOMENDACIÓN PARA CORREGIR LAS CARENCIAS
Las carencias encontradas en los Recursos Disponibles relacionados
a ciberdefensa para la protección de la Información del Ejército del
Perú, se debe fundamentalmente por que no se cuenta con un
adecuado nivel de asignación presupuestal destinado a ciberdefensa;
o porque no se posea un adecuado nivel de Funcionalidad de las
infraestructuras estratégicas, que permitan mejorar la protección de la
Información del Ejército del Perú…”.
Por estas razones se observa que: “… los recursos disponibles
asignados a ciberdefensa no son suficientes o son escasos; en
consecuencia, tenemos... carencias...”
Ante esta realidad comprobada se recomienda:
5.2.1.2.1. Impulsar los proyectos de inversión Pública para obtener
recursos económicos que permitan la implementación de un
centro de respuesta temprana para ataques cibernéticos
(CERT)
Ante las latentes amenazas cibernéticas que debemos enfrentar,
es de suma importancia para la institución, que se organice equipos de
trabajo para que realicen la formulación de Proyectos de Inversión Publica
referentes a la implementación, adquisición de equipos, sistemas
información, etc. que permitan mejorar la ciberdefensa de la red de datos,
siendo este método el más adecuado para solicitar la asignación de
204
presupuesto; es en ese sentido, que hay que seguir el ejemplo de otras
instituciones armadas, en la cual realizan diversos PIPs como la
implementación de la integración sistema C2 WIRACOCHA - DMS TISIS
para el helicóptero HMM (SH-2G), y más importante aún es el apoyar a la
Dirección de Telemática y Estadística del Ejército, para que se pueda
concretar el proyecto de Inversión Pública “CREACION DEL CENTRO DE
GESTION DE SERVICIOS EN CIBERSEGURIDAD E INVESTIGACION,
DESARROLLO E INNOVACION (I+D+I) EN TECNOLOGIAS DE LA
INFORMACION Y LA COMUNICACIÓN (TIC) DEL EJERCITO DEL PERU”, y
tenga este prioridad para la Dirección de Inversiones del Ejercito (DINVE) y
este pueda sustentar su viabilidad y su necesidad ante el Ministerio de
Defensa, a fin gestionar la asignación de presupuesto que es requerido para
su implementación.
5.2.1.3. RECOMENDACIÓN PARA REDUCIR AL MÍNIMO EL
DESCONOCIMIENTO O APLICACIÓN INADECUADA DE LOS
PROCEDIMIENTOS DE SEGURIDAD INFORMÁTICA
Las dificultades encontradas en los procedimientos de seguridad
informática relacionados a ciberdefensa para la protección de la
Información del Ejército del Perú, evidencian que los responsables de
ejecutar y conducir los Procedimientos de seguridad informática que se
siguen o aplican, así como en las diversas Técnicas Empleadas, deben
de conocer y aplicar una serie de planteamientos teóricos-científicos,
como: conceptos, leyes científicas, axiomas, principios, técnicas,
procedimientos, modelos, sistemas, etc.; todos ellos deben ser
“atingentes”; es decir que estén directamente relacionados con las áreas
de la realidad (programación, soporte técnico, monitoreo, sistemas,
seguridad informática, etc.) áreas que se han tomado como objeto de
estudios, así mismo nos permite “ver” si en verdad en la realidad, son
conocidos, si son aplicados con criterios técnicos y/o científico.
205
Sin embargo, se observa que existen diferencias, entre lo que hacen y
lo que deben hacer, entonces hemos identificado problemas.
Ante esta realidad comprobada se recomienda:
5.2.1.3.1. Capacitar de manera integral a todo el personal que realiza
labores de administración de infraestructuras estratégicas.
Teóricamente se plantea que, para desarrollar y conducir de
manera eficiente y eficaz los procedimientos de seguridad informática, se
debe conocer y aplicar bien los conceptos y principios Básicos relacionados
con la ciberdefensa que se indican en el Numeral 2.2.1.1; es en ese sentido,
que para poder hacer frente eficazmente a los retos y amenazas actuales y
futuros en el ciberespacio, es absolutamente imprescindible que el Personal
Militar o Civil que cumple esta delicada e importante función reciban una
adecuada formación integral en todos aquellos aspectos técnicos, tácticos y
procedimentales en los que se fundamenta la capacidad de ciberdefensa,
esta formación integral debe abarcar la combinación de la formación teórica
y el entrenamiento práctica, a fin de poder aprender, desarrollar o mejorar
sus capacidades y habilidades; esto se logra a través de Certificaciones,
Talleres , Seminarios, Congresos, simulaciones y entrenamientos, etc.
5.2.1.3.2. Realizar ensayos para afrontar ciberataques, para
entrenamiento del personal.
Un método muy usado por las empresas en los últimos tiempos es
que el personal que labora en áreas críticas, se les programe situaciones
que simules eventos inesperados (Ciberataques), para que el personal se
familiarice y ponga en prácticas los procedimientos de seguridad informática
adecuados, permitiéndoles explotar sus habilidades, con el fin de obtener la
resiliencia de los sistemas. Para poder llevar a cabo este fin se hace
indispensable contar con simuladores de entrenamiento que permitan
simular cualquier red, realizar un análisis forense para conocer los detalles
del ataque, prevenir ciberataques y aprender técnicas de ciberdefensa; por
206
lo tanto, nuestra institución debe gestionar la adquisición de este tipo de
simuladores a través de una PIP. Un ejemplo de este tipo de software es el
SACO (Simulador Avanzado para la Ciberdefensa Organizada), un proyecto
de la empresa INDRA que persigue formar profesionales en el ámbito de la
ciberdefensa y ciberseguridad.
5.2.1.3.3. Realizar pasantías en otras instituciones especializadas
Existen instituciones públicas (MGP, PNP-División de
Investigaciones de Delitos de Alta Tecnología (DIVINTAD), que tienen
personal mejor capacitado, con mejores experiencias en temas de
ciberdefensa y de los cuales se puede aprender; es en ese sentido, que se
recomienda que el escalón superior o autoridad competente autorizar al
Personal Militar o Civil que tenga las aptitudes necesarias, ser enviado o
destacado temporalmente a estas organizaciones para poder acopiar todas
las experiencias de éxito que hayan podido obtener, a fin de aprender las
técnicas y procedimientos utilizados para mitigar o neutralizar las amenazas;
y así de esta manera obtener conocimiento práctico, el cual pueda ser
adecuado a nuestra institución.
5.2.1.4. RECOMENDACIÓN PARA ASEGURAR EL CUMPLIMIENTO DE
DISPOSITIVOS NORMATIVOS RELACIONADOS A CIBERDEFENSA.
Los incumplimientos de disposiciones normativos relacionados a
ciberdefensa para la protección de la Información del Ejercito del Perú;
se debe fundamentalmente por que no se cuenta con un adecuado grado
de cumplimiento de algunas disposiciones del Decreto Supremo N° 66-
2011-PCM- Plan de Desarrollo de la Sociedad de la Información en el
Perú. La Agenda Digital 2.0, o el Plan de desarrollo Institucional
“Bolognesi”, Directiva única para el funcionamiento del sistema de
telemática y estadística del Ejército (DUFSITELE) y la Directiva Nº
001/CGE/DITELE/SD SIDE (Lineamientos de seguridad de la
información para la Ciberdefensa en el Ejército del Perú).
Por estas razones se observa que: “… se ha podido verificar y
comprobar que; basta que una de las disposiciones normativas internas
o externa no se desarrolle o se ejecute, para sustentar que existe un
problema y debemos nombrarlos como incumplimientos…”
207
Ante esta realidad comprobada se recomienda:
5.2.1.4.1. Establecer mecanismos para Incrementar la difusión de las
disposiciones normativas al personal que Administra las
infraestructuras Tecnológicas.
En la actualidad, diversas directivas que llegan a las unidades son
recibidas y distribuidas para conocimiento del personal, pero son pocos o
ninguno que toma una verdadera conciencia de su estricto cumplimiento,
solo se limitan a firmar el famoso “Tomo conocimiento”; es en ese sentido,
que se debe implantar mecanismos de difusión que obliguen al personal a
conocer el contenido, para que estos puedan cumplir sus lineamientos. A
continuación, se presentan algunas alternativas que se podría realizar:
• Confeccionar folletos o trípticos con las informaciones más importantes.
• Incluir sus lineamientos en los silabus de las escuelas de formación.
• Ser consideradas como bibliografía para los exámenes de ascenso.
• Realizar su difusión en página web del Ejercito.
5.2.1.4.2. Aplicar y dar cumplimiento de manera correcta a las
Disposiciones relacionadas a Ciberdefensa.
Los lineamientos de los documentos normativos deben ser de
estricto cumplimiento por parte del personal responsable; es por tanto, que
los jefes de departamento deberán verificar el cumplimiento de las funciones
descritas y dispuestas, a fin de garantizar el cumplimiento de las funciones,
procedimientos; así mismo, el órganos de control (Inspectoría) debe incluir
estos documentos en las listas de verificación y velar su fiel cumplimiento, o
de lo contrario tomar las acciones necesarias para corregir estos
incumplimientos.
208
5.2.1.4.3. Presentar recomendaciones para mejorar disposiciones
normativas y que se adecuen a la realidad institucional.
Muchas de los lineamientos que son incluidos en documentos
normativos, no se ajustan a la realidad, por falta de equipamiento,
capacitación, desconocimiento practico de la situación, etc.; es por tal razón,
que de suscitarse esta eventualidad, el personal responsable debe
inmediatamente enviar sus observaciones a la entidad que formula el
documento normativo para ser considerado e incluir su recomendación de
cómo se debe dar la normatividad.
5.2.2. RECOMENDACIÓN GENERAL
La presente recomendación está dirigida a todo el personal responsable del
desarrollo e implementación de la ciberdefensa en nuestra institución, tomando como
base las razones por las cuales se sustentan las deficiencias en los programas de
capacitación, carencias en los recursos disponibles para ciberdefensa,
desconocimiento o aplicación inadecuada de los procedimientos de seguridad
informática e incumplimientos de disposiciones normativas relacionadas con
ciberdefensa; es en ese sentido, que es fundamental corregir las deficiencias, mejorar
las carencias, minimizar el desconocimientos o aplicación inadecuada y eliminar el
incumplimiento de la normatividad en el más breve plazo. Y para lograr esto debemos
comprender que la modernización, el mejoramiento continuo de la seguridad de las
informaciones y específicamente las capacidades de ciberdefensa, se lograran en la
medida en que los responsables de conducir y desarrollar los diversos procedimientos
técnicos, conozcan y ejecuten los principios teorías y todos los conceptos que el
marco conceptual exige, esto contribuirá a incrementar el grado de conocimiento y el
nivel de cumplimiento, y para esto se debe priorizar la capacitación especializada del
personal calificado con grado de experiencia profesional comprobada, lo cual puede
desarrollarse mediante la recomendaciones específicas 5.2.1.1 y 5.2.1.3; así como,
desterrar las carencias de asignación presupuestaria, la cual se puede obtenerse
mediante la recomendación especifica 5.2.1.2, disminuir proporcionalmente los
incumplimientos de dispositivos normativos internas o externas, aplicando
mecanismos que permitan conocer la normatividad como se recomienda en la
especifica 5.2.1.4
209
REFERENCIAS
REFERENCIAS BIBLIOGRAFICAS
Alexander A. (2007). Diseño de un Sistema de Seguridad de Información. ISO
27001:2015, Colombia-Bogotá. Edit Alfa Omega Colombiana S.A
Clarke, R. & Knake, R. (2011). Guerra en la red, los Nuevos Campos de Batalla.
Barcelona. Edit Planeta.
Caballero A (2011). Metodología innovadora integral para planes y tesis. Perú-Lima:
Edit. Instituto Metodológico Alen Caro.
Ferreyra M (2015). Cyber Security VS. Cyber Defense Portuguese view on
Distinction. Portugal: Universidad de Lisboa.
López M. & Quezada C. (2006). Fundamentos de Seguridad Informática. México:
UNAM. Facultad de Ingeniería.
Torres C (2007). Orientaciones Básicas de Metodología de La Investigación
Científica. Perú-Lima: Edit C.Torres
REFERENCIAS DE TESIS
Camacho J. (2016). Evolución de la Ciberseguridad y la Seguridad de las
Informaciones en Colombia. Para optar el grado de especialista en
administración de la seguridad. Universidad Militar de Nueva Granada.
Colombia.
Castro E. (2015). Estudio prospectivo de la ciberdefensa en la Fuerzas Armadas de
Ecuador. Para optar el grado de especialista en Estudios Estratégicos de la
Defensa. Universidad de las Fuerzas Armadas. Ecuador
210
Condori H. (2012) en la investigación denominada “Un Modelo de Evaluación de
Factores Críticos de Éxito en la Implementación de la Seguridad en Sistemas
de Información para determinar su influencia en la intención del usuario”, Para
optar el grado académico de Magister en Ingeniería de Sistemas y
computación con mención en Tecnologías de las Información. Universidad
Inca Garcilaso de la Vega, Perú.
Guerrero, J. (2015). en la investigación denominada “Programa de Capacitación en
Inteligencia Emocional con Técnicas Cognitivo-conductuales para los
Directivos de Educación”. Para optar el grado académico de Doctor, Mérida
Venezuela.
Guamán J. (2015) en la investigación denominada “Diseño de un sistema de
gestión de seguridad de la información para Instituciones Militares”. Para optar
el grado académico de Magister en Gestión de las comunicaciones y
Tecnologías de la Información. Escuela Politécnica Nacional, Ecuador.
Leiva E. (2015). Estrategias Nacionales de Ciberseguridad: Estudio comparativo
basado en un enfoque top-down desde una visión global a una visión local.
Para optar el grado de especialista en Ingeniería de Sistemas de información.
Universidad Tecnológica Nacional. Argentina.
Parra R. (2016) en la investigación denominada “Proyecto Legal para un Esquema
Nacional de Ciberseguridad”, Para optar el grado académico de licenciado en
derecho. Universidad de San Martin de Porres, Perú.
Rayme R. (2007) en la investigación denominada “Gestión de la Seguridad de la
Información y los servicios críticos de las universidades”. Para optar el grado
académico de Magister en administración con mención en Gestión
Empresarial. Universidad Mayor de San Marcos, Perú
211
Vargas E. (2014) en la investigación denominada “Ciberseguridad y Ciberdefensa:
¿qué implicaciones tienen para la seguridad nacional?”. Para optar el grado
académico de Magister en alta Gerencia de la Defensa Nacional. Universidad
Militar de Nueva Granada, Bogotá.
Villalba D. (2015) en la investigación denominada “La ciberseguridad en España
2011 – 2015. Una propuesta de modelo de organización”. Para optar el grado
académico de Doctor. Universidad Nacional de Educación a Distancia,
España.
REFERENCIAS DE TEXTOS ESPECIALES
Caro M. (2011). La Nueva Política de Ciberdefensa de la OTAN, DIEEEI37.
España-Barcelona: Instituto español de estudios estratégicos. Recuperado
de: http://www.ieee.es/Galerias/fichero/docs_informativos/2011/DIEEEI37-
2011LaPoliticadeCiberdefensaOTAN.MJCaro.pdf
Caro M. (2011). Alcance y ámbito de la seguridad nacional en el ciberespacio.
España-Barcelona: Instituto español de estudios estratégicos. Recuperado
de: https://dialnet.unirioja.es/descarga/articulo/3837251.pdf
Colle, R (2000). “Internet: un cuerpo enfermo y un campo de batalla”, en Revista
Latina de Comunicación Social, Nº 30, junio. Recuperado de:
http://www.ull.es/publicaciones/ latina/aa2000qjn/91colle.htm
Conner (1991) “A historical comparison of resource-based theory and five schools
of thought within industrial organizational economics”. Recuperado de:
http://www.zonaeconomica.com/recursos
Cortes P. (2014), El concepto doctrinal “Actividades Ciberelectromagnéticas”
(CEMA), en el Ejército de tierra de los Estados Unidos”. Recuperado de:
http://www.estudiosmilitares.es/comunicaciones/Pedro%20Cortés%20Ruiz.p
df
212
Department of the Army (2014), FM 3-38 - Cyber Electromagnetic Activities. USA:
Department of the Arny, Recuperado de: https://fas.org/irp/doddir/army/fm3-
38.pdf
Department of the Navy (2012)- Joint Publication 3-13, Information Operations, US-
Cybercommand, Recuperado de: https://fas.org/irp/doddir/dod/jp3_13.pdf.
Dhruva Jaishankar (2014), Resilience and the Future Balance of Power, Survival,
vol. 56, Recuperado de: http://www.tandfonline.com/doi/abs/10.1080/0039
6338.2014.920153
Feliu L. (2013.) Seguridad Nacional y Ciberdefensa, Aproximación Conceptual:
Ciberseguridad Y Ciberdefensa, Madrid-España: Escuela Superior de
Ingenieros de Telecomunicaciones, Recuperado de: http://catedraisdefe.etsit.
upm.es/wp -content/uploads/2013/01/Ponencia-Luis-Feliu.pdf
Gómez A. (2014). Ciberseguridad y Ciberdefensa dos elementos de la ciberguerra.
Chile: Fuerza Terrestre del Ejército de Chile, Recuperado de:
https://www.google.com.pe/url?sa=t&rct=j&q=&esrc=s&source=web&cd=10&
cad=rja&uact=8&ved=0ahUKEwj3sOPkntLUAhXI6CYKHdDLAOIQFghhMAk
&url=http%3A%2F%2Fwww.ejercito.cl%2Fdescargador.php%3Ffile%3D1428
945381_216865318.pdf%26path%3Ddocumentos&usg=AFQjCNEA91VaRy
M-yjuXmtV8kirwZwZaFA
Hernández A. & Candon A. (2013). Guerra Cibernética – Aspectos Organizativos”.
España: Curso de Defensa Nacional, Recuperado de:
http://www.defensa.gob.es/ceseden/Galerias/ealede/cursos/curDefNacional/fi
cheros/Ciberseguridad_nuevo_reto_del_siglo_XXI_Guerra_cibernetica_aspe
ctos_organizativos.pdf
Joyanes, L. (2011). Introducción al Estado del arte de la ciberseguridad. España-
Barcelona: Instituto español de estudios estratégico. Recuperado de:
https://dialnet.unirioja.es/ejemplar/296108
213
Kuehl, D. T. (1957). From Cyberspace to Cyberpower: Defining the Problem. En F.
D. Kraner, S. Starr, & L. K. Wentz (Eds.), 2009 . National Defense University.
Recuperado de: http://ctnsp.dodlive.mil/files/2014/03/Cyberpower-I-Chap-
02.pdf
Llongueras, A. (2013). “La guerra inexistente, la ciberguerra “. Madrid-España:
Editorial Académica MIA. Recuperado de: https://www.academia.edu
/6182513/La_Ciberguerra_la_guerra_inexistente
Ministerio de Defensa de España (2010). Ciberseguridad. retos y amenazas a la
Seguridad Nacional en el Ciberespacio. España: Instituto español de Estudios
Estratégicos, Recuperado de: https://www.cni.es/comun/recursos/descargas/
Cuaderno_IEEE_149_Ciberseguridad.pdf
Ministerio de Defensa de España (2013). Necesidad de una Conciencia Nacional
de Ciberseguridad. España: Escuela de altos estudio de la defensa.,
Recuperado de: http://www.defensa.gob.es/ceseden/Galerias/destacados/pu
blicaciones/monografias/ficheros/137_NECESIDAD_DE_UNA_CONCIENCI
A_NACIONAL_DE_CIBERSEGURIDAD_LA_CIBERDEFENSA_UN_RETO_
PRIORITARIO.pdf
Ministerio de Defensa de España (2010). Ciberseguridad. retos y amenazas a la
Seguridad Nacional en el Ciberespacio. Recuperdo de:
http://www.ieee.es/Galerias/fichero/cuadernos/CE_149_Ciberseguridad.pdf
MTIC - Ministerio de Tecnología de la Información y las Comunicaciones (2014).
Ciberseguridad-Agenda estratégica de Innovación, Recuperado de
https://www.mintic.gov.co/portal/604/articles-6120_recurso_2.pdf
Miranda S. (2014). La ciberguerra como amenaza a los sistemas de defensa
integrados y basados en redes del teatro de operaciones. Escuela Superior
de Guerra Conjunta de las FFAA. Argentina. Recuperado de:
http://www.cefadigital.edu.ar/bitstream/123456789/150/1/TFI%2030-014%20
MIRANDA.pdf
214
OEA – TREND MICRO, Reporte sobre Seguridad Cibernética e Infraestructura
Crítica en las Américas, Abril 2015., Recuperado de:
https://www.sites.oas.org/cyber/Documents/2015%20-%20OEA%20Trend%
20Micro%20Reporte%20Seguridad%20Cibernetica%20y%20Porteccion%20
de%20la%20Inf%20Critica.pdf.
Suarez H & Pelaez J (2015), Ciber Resiliencia-Aproximación a un marco de
medición, Recuperado de: https://www.incibe.es/extfrontinteco/img/
File/Estudios/int_ciber_resiliencia_marco_medicion.pdf
Timothy F (2012). El profesional de la ciberguerra – principios para desarrollar la
próxima generación; Air&space Power Journal en español, recuperado de:
http://www.cefadigital.edu.ar/bitstream/123456789/176/1/TFI%2061-2013%
20GIUDICI.pdf
REFERENCIAS WEB
Badillo M. (2011). Guerra cibernética, la nueva amenaza. México: ONG Voltaire.
Recuperado de http://www.voltairenet.org/article171119.html
Cotar C. (2015). Ecuador crea su 6to Comando de Ciberdefensa Nacional.
Recuperado de: http://latamahora.blogspot.pe/2014/09/ecuador-crea-su-6to-
comando-de.html
Conner (1991) “A historical comparison of resource-based theory and five schools
of thought within industrial organizational economics”.
http://www.zonaeconomica.com/recursos. Información sustraída: 24/01/2017
CAPITAL.PE – Portal digital de Radio Capital. “Anonymous Perú hackea web de
entidades estatales”. Publicado el 28 de Julio de 2013. Recuperado de:
http://www.capital.com.pe/2013-07-28-anonymous-peru-hackea-web-de-
entidades-estatales-noticia_617378.html Información sustraída: 06/03/2016
215
ELCOMERCIO.COM.PE – Portal digital del comercio “Anonymous atacó varios
sitios web del Estado Peruano”. Publicado 09 de Setiembre de 2011.
Recuperado de http://elcomercio.pe/tecnologia/actualidad/anonymous-ataco-
hoy-varios-sitios-web-estado-peruano-noticia-1284976 Información sustraída:
03/03/2016.
ELCOMERCIO.COM.PE – Portal digital de el Comercio “Twitter: Anonymous Perú
hackeó web de la Municipalidad de Lima” Publicado el 06 de Marzo de 2015.
Recuperado de: http://elcomercio.pe/redes-sociales/twitter/twitter-
anonymous-peru-hackeo-web-municipalidad-lima-noticia-
1795706?ref=flujo_tags_223948 &ft=nota_13&e=titulo Información sustraída:
06/03/2016
Fajón E (2015). Diferentes Velocidades de la Ciberdefensa en el ámbito de la
OTAN. El Mundo. Recuperado de: http://www.elmundo.es/tecnologia
/2015/03/25/5512dffd22601db4688b47.html.
Fajón E (2015). Comando de Ciberdefensa iniciara con $ 8 millones. Diario EL
TELÉGRAFO recuperado de: http://www.eltelegrafo.com.ec/noticias/politica
/2/comando-de-ciberdefensa-
LAPRENSA.PERU.COM - “RENIEC niega hackeo de su base de datos, pero
Anonymous ratifica ataque”. Publicado el 13 de Marzo de 2015. Recuperado
de: http://laprensa.peru.com/actualidad/noticia-anoymous-peru-base-datos-
reniec-niega-hacker-violacion-seguridad-40750
NATO.INT – Portal de la OTAN, Centro de Excelencia de la OTAN. Recuperado de:
https://ccdcoe.org/cyber-definitions.html, Información sustraída: 22/05/2016
Mexidor D. (2011); Ciberguerra: mercenarismo en la red; Las razones de Cuba.
recuperado de: http://www.granma.cu/granmad/secciones/razones_de_cuba/
artic-06.html .
216
Peru21.pe – Portal digital del Diario Peru21. “Anonymous filtra 1000 documentos
del gobierno peruano”. Publicado el 07 de febrero de 2012. Recuperado de:
http;//peru21.pe/2012/02/07/actualidad/anonymous-filtra-mil-documentos-
gobierno-peruano-2010892 Información sustraída: 06/03/2016
PERU.com: “Anonymous publica casi 200 correos de Policía Informática” Publicado
el 04 de Marzo de 2012. Recuperado de: http://peru.com/2012/03/04/
actualidad/nacionales/anonymous-publica-casi-200-correos-policia-
informatica-noticia-45207 Información sustraída: 06/03/2016
Provoste J (2015). Seguridad, Ciberdefensa y Ciberguerra en chile. recuperado de:
https://www.joshuaprovoste.com/seguridad-ciberdefensa-y-ciberguerra-en-
chile/
RPP.COM.PE – Portal digital de RPP Noticias. “La Libertad. Anonymous Hackea a
empresa de agua Sedalib” Publicado el 08 de Julio de 2013. Recuperado de:
http://www.rpp.com.pe/2013-07-08-la-libertad-anonymous-hackea-a-
empresa-de-agua-sedalib-noticia_611239.html Información sustraída:
06/03/2016.
Ryckman M. (2017); Que es una asignación Presupuestaria; La voz de Houston.
Recuperado de: http://pyme.lavoztx.com/qu-es-una-asignacin-presupuestaria
-12718.html.
Sánchez G. (2008): “Ciberterrorismo: la guerra del siglo XXI”, España: el viejo Topo.
Recuperado de: https://www.researchgate.net/publication/28244181_Cibe
rterrorismo_La_guerra_del_siglo_XXI
Sputnik Mundo. Colombia refuerza su presupuesto para planes de ciberseguridad.
recuperado de: https://mundo.sputniknews.com/americalatina/20170202
1066646346-colombia-ciberseguridad/
217
Thomas T. (2001). Las estrategias electrónicas de China». USA: Military Review,
Recuperado de: http://catalogo.anepe.cl/cgi-bin/koha/opac-detail.pl? biblionu
mber=28402
UIT -Unión Internacional de Telecomunicaciones. “Resolución 181, recomendación
UIT-TX 1205” 2010. Recuperado de http://www.ub.edu.ar/centros_de_estudio
/cedef/13_diciembre_2015.pdf. Información sustraída: 29/12/2016.
Zea F. (2013). Ciberdefensa en la Fuerzas Armadas, perspectiva conjunta, España:
Estado Mayor de la Defensa. Recuperado de: http://www.academia.edu
/16838270/Plan_de_Acci%C3%B3n_de_Ciberdefensa_Militar
Whitman M. E., Enemy at the Gate: “Threats to Information Security” ,2003.
Recuperado de: http://digitalcommons.kennesaw.edu/cgi/viewcontent.cgi?
article=2421&context=facpubs
http://www.ejercito.mil.pe/index.php/rese%C3%B1a-historica-copere
http://www.ejercito.mil.pe/index.php/organizacion/190-comandos/copere
www.uv.es/legalskills/validez/en_qu_se_diferencia_una_norma_de_una_disposici
n_normativa.html. Información sustraída fecha: 15/03/16
DOCUMENTOS NORMATIVOS:
DUFSITELE - “Directiva Única para el Funcionamiento del Sistema de Telemática
y Estadística del Ejército. “ 3ra Edición 2017-2019.
ISO/IEC Estándar Internacional ISO/IEC 17999. (2005) Tecnología de la
Información – Técnicas de seguridad – Código para la práctica de la gestión
de la seguridad de la información.
LSICEP – Ejercito del Perú- DITELE “Dtva Nª 001 - Lineamientos de Seguridad de
la Información para la Ciberdefensa en el Ejército del Perú”, 2015.
218
RFGSSIEP- Ejercito del Perú- DITELE ”Dtva Nº 002 - Responsabilidades y
Funciones para la gestión de la seguridad de los sistemas de información en
el Ejército del Perú. 2015.
NTP‐ISO/ IEC 17799 - Norma Técnica Peruana ”Tecnología de la Información”,
2004.
PCM-PEQW. (2013-2017). Presidencia del Consejo de Ministros - Lineamientos
que establecen el contenido mínimo de los Planes Estratégicos de Gobierno
Electrónico.
PDIB- “Plan de Desarrollo Institucional “Bolognesi 2021”.
PDSIP – “Plan de Desarrollo de la Sociedad de la Información en el Perú”,
Agenda Digital 2.0, 2011.
PSIEP –“Política de Seguridad de la Información del Ejército del Perú”, 2014
219
ANEXOS
220
ANEXO Nº 01. IDENTIFICACIÓN DE LA PROBLEMÁTICA, PRIORIZACIÓN PROVISIONAL, SELECCIÓN E INTEGRACIÓN DEL PROBLEMA
“CIBERDEFENSA Y SU INCIDENCIA
EN LA PROTECCIÓN DE LA INFORMACIÓN DEL EJÉRCITO DEL PERÚ. CASO: COPERE 2013 – 2014”
PROBLEMATICA
CRITERIOS DE SELECCIÓN Y PRIORIZACIÓN
Suma de criterios positivos
Priorización inicial
El investigador tiene acceso a los datos
Investigador tiene experiencia previa en la solución de este tipo de problemas
La solución contribuirá la solución de otros problemas
Se incumple con más frecuencia en la realidad
El Ejército considera de interés implementar esta Problemática
a. Ausencia de una legislación destinada a aplicar herramientas de "informática forense”
No No Si Si No 2 9
b. Deficiencias en los programas de capacitación en ciberdefensa
Si No Si SI Si 4 3
c. Vulnerabilidad del diseño de la red perimetral
No No Si SI No 2 8
d. Falta de documentación técnica de los sistemas de información
SI SI Si No No 3 7
e. Carencias de Recursos Disponibles para ciberdefensa
Si Si Si Si Si 5 1
f. Desconocimiento en los requisitos funcionales y no funcionales de los sistemas de Información
Si No Si Si No 3 6
g. Desconocimiento de los procedimientos de seguridad informática.
Si SI Si Si Si 5 4
h. Incumplimientos de disposiciones normativas sobre ciberdefensa
Si Si Si SI Si 5 2
i. Falta de una Legislación en temas de Ciberdefensa
No No Si Si Si 3 5
Problema: Provisionalmente Priorizado, seleccionado e integrado
221
Anexo N° 02 - Matriz de Consistencia
TITULO: “LA CIBERDEFENSA Y SU INCIDENCIA EN LA PROTECCION DE LA INFORMACION DEL EJÉRCITO DEL PERÚ. CASO: COPERE. 2013 - 2014”
PROBLEMAS OBJETIVOS HIPÓTESIS VARIABLES METODOLOGIA
PROBLEMA PRINCIPAL
¿Cuáles son las dificultades que impiden el mejoramiento de la Ciberdefensa y su incidencia en la protección de la información del Ejército del Perú?
PROBLEMAS SECUNDARIOS
a. ¿Cuáles son las causas o razones por las cuales se presentan deficiencias en los programas de capacitación para Personal Militar y Civil que Administran las infraestructuras de TI?
b. ¿Cuáles son las causas o razones por las cuales se presenta carencias de recursos disponibles para Ciberdefensa?
c. ¿Cuáles son las causas o razones por las cuales se desconoce o no se aplica de manera adecuada los procedimientos de seguridad informática?
d. ¿Cuáles son las causas o razones por las cuales se incumple las disposiciones normativas relacionadas con Ciberdefensa?
OBJETIVO GENERAL Determinar las dificultades que impiden el mejoramiento de la Ciberdefensa y su incidencia en la protección de la información del Ejército del Perú, con el propósito de identificar las causas que la generan y tener base para proponer el uso de nuevos conocimientos, que contribuyan a solucionar o mejorar la protección de la información del Ejército del Perú. OBJETIVOS ESPECIFICOS: a. Identificar las causas o razones por las
cuales se presenta deficiencias en los programas de capacitación para el Personal Militar y Civil que Administran las infraestructuras de TI; con el propósito de contar con un adecuado nivel de capacidades en Ciberdefensa y un nivel de conocimiento adecuado de los lineamientos que se disponen en la Norma Técnica Peruana NTP-ISO/IEC 17799, los cuales contribuirán a solucionar o mejorar la protección de la información en el Ejército del Perú.
b. Identificar las causas o razones por las cuales se observa carencia de recursos disponibles para Ciberdefensa; con el propósito de contar con un adecuado nivel de Asignación presupuestal y con un adecuado nivel de funcionalidad de las Estructuras Estratégicas; los cuales contribuirán a solucionar o mejorar la protección de la información en el Ejército del Perú.
HIPÓTESIS GENERAL Se presenta dificultades que impiden el mejoramiento de la Ciberdefensa y su incidencia en la protección de la información del Ejército del Perú, porque: “…existen deficiencias en los programas de capacitación; o por carencias de recursos disponibles para ciberdefensa; o por desconocimiento o no se aplica de manera adecuada de los procedimientos de seguridad informática; o por presentar incumplimientos normativos de disposiciones internas o externas referidos a la ciberdefensa…” HIPÓTESIS ESPECIFICAS Hipótesis Especifica “a”: Se presentan deficiencias en los Programas de Capacitación, para el Personal Militar o Civil que Administran las infraestructuras de TI; por no contar con un adecuado nivel de capacitación en Ciberdefensa; o por no tener un nivel de conocimiento adecuado de los lineamientos que se disponen en la Norma Técnica Peruana NTP-ISO/IEC 17799, sobre buenas prácticas para la gestión de la seguridad de la información. Hipótesis Especifica “b”: Se observa, carencia de Recursos Disponibles para Ciberdefensa; por no contar un adecuado nivel de Asignación presupuestal o por no contar con un adecuado nivel de funcionalidad de las Estructuras Estratégicas necesarias que brinden seguridad a la información.
VARIABLES VARIABLE INDEPENDIENTE La Ciberdefensa VARIABLE DEPENDIENTE La Protección de la Información Causa Minoritaria VARIABLES INTERVINIENTES 1. Variables de la Realidad Programas de Capacitación Indicador: Nivel de los programas de
capacitación. Recursos Disponibles para Ciberdefensa
Indicador: Nivel de Recursos Procedimientos de Seguridad Informática Indicador: Nivel de conocimiento Disposiciones Normativas relacionadas con
Ciberdefensa. Indicador: Grado de Cumplimiento
Causa Mayoritaria 2. Variables del Marco Referencial a) Variables Teóricas Conceptos básicos.
Indicador: Nivel de conocimiento Principios básicos.
Indicador: Nivel de conocimiento
TIPO DE INVESTIGACIÓN ESTUDIO 1. Según su Finalidad Investigación Aplicada 2. Según su Alcance Temporal Transversal 3. Según su Carácter Cuantitativa NIVEL DE INVESTIGACIÓN Explicativa DISEÑO DE LA INVESTIGACIÓN No Experimental y de corte Transversal Población y Muestra La población informante del presente trabajo de investigación y estudio ha quedado definida por: Personal Militar y Civil del COPERE que tienen la responsabilidad de administrar y controlar las diferentes infraestructuras de TI; así mismo, dicha selección incluye al personal responsable de brindar seguridad de las redes y sistemas de Información las instalaciones del CGE., siendo 48 Personas. Técnicas e Instrumentos y Fuentes o Informantes. a) Encuestas. - Se aplicará con el fin de recabar información sobre los sistemas de seguridad que se utilizan para proteger la información en el COPERE, 2013 – 2014.
222
c. Identificar las causas o razones por las
cuales se observa desconocimiento o aplicación inadecuada de los procedimientos de seguridad informática; con el propósito de tener un adecuado nivel de conocimiento de los Conceptos y Principios básicos relacionados con Ciberdefensa; los cuales contribuirán a solucionar o mejorar la protección de la información en el Ejército del Perú.
d. Identificar las causas o razones por las cuales se presenta incumplimiento de las disposiciones normativas relacionadas a ciberdefensa; con el propósito de tener un adecuado grado de cumplimiento del Plan de Desarrollo de la Sociedad de la Información en el Perú. La Agenda Digital 2.0, el Plan de desarrollo Institucional “Bolognesi”, Directiva Única para el Funcionamiento del Sistema de Telemática y Estadística del Ejército (DUFSITELE) y la Directiva Nº 001 sobre los Lineamientos de seguridad de la información para la Ciberdefensa en el Ejército del Perú); los cuales contribuirán a solucionar o mejorar la protección de la información en el Ejército del Perú.
Hipótesis Especifica “c”: Se observa desconocimiento o aplicación inadecuada de los procedimientos de seguridad informática; por no contar con un adecuado nivel de conocimiento de los Conceptos y Principios básicos relacionados con Ciberdefensa. Hipótesis Especifica “d”: Se presenta incumplimientos de disposiciones normativos relacionados a ciberdefensa; por no tener un adecuado grado de cumplimiento del Plan de Desarrollo de la Sociedad de la Información en el Perú. La Agenda Digital 2.0, o el Plan de desarrollo Institucional “Bolognesi”, Directiva única para el Funcionamiento del Sistema de Telemática y Estadística del Ejército (DUFSITELE) y la Directiva Nº Directiva Nº 001 sobre los Lineamientos de seguridad de la información para la Ciberdefensa en el Ejército del Perú.
b) Variables del Entorno Nacional – Sector
Defensa: Personal Capacitado en Ciberseguridad y
Ciberdefensa Indicador: Nivel de Capacitación
c) Variables del Entorno Institucional Ejército del
Perú: Asignación Presupuestal
Indicador: Nivel disponibilidad
Infraestructura Estratégica Indicador: Nivel de funcionalidad
d) Variables sobre Disposiciones Externas e
Internas: Norma Técnica Peruana NTP- ISO/IEC 17799
Indicador: Nivel conocimiento.
Decreto Supremo N° 66-2011-PCM, Plan de Desarrollo de la Sociedad Indicador: Grado de cumplimiento
Plan Estratégico Institucional “Bolognesi”
Indicador: Grado de cumplimiento Directiva Única de Funcionamiento del
Sistema de Telemática del Ejército Indicador: Grado de cumplimiento
Directiva Nº 001/CGE/DITELE/SD SIDE
(Lineamientos de seguridad de la información para la Ciberdefensa en el Ejército del Perú) Indicador: Grado de cumplimiento
b) Indagación. - Esta técnica facilitará disponer de datos cuantitativos de cierto nivel de razonabilidad sobre nivel de Seguridad que seguridad que cuenta el COPERE c) Tabulación de cuadros con cantidades y porcentajes. - La información cuantitativa será ordenada en cuadros que indican conceptos, cantidades, porcentajes y otros detalles de utilidad relacionados con el presente trabajo de investigación. d) Comprensión de gráficos. - Se utilizará los gráficos para presentar información y para comprender la evolución de la información entre periodos, entre elementos y otros aspectos relacionados con el tema de investigación.
223
ANEXO Nº 03
INSTITUTO CIENTÍFICO Y TECNOLÓGICO DEL EJERCITO
ESCUELA DE POSGRADO
“GRAL DIV EDGARDO MERCADO JARRIN”
CUESTIONARIO Nº 01
Población: informante, censal universo 2 variables: 1 Dependientes, 1 independientes. Muestra estratificada, aleatoria,
Personal Militar y Civil del COPERE que tienen la responsabilidad de administrar y controlar las diferentes infraestructuras de ti. Así mismo, incluye al personal responsable de brindar seguridad de las redes y sistemas de información de las instalaciones del CGE.
Agradeceré a usted responder este breve y sencillo cuestionario, su aporte es muy importante para el logro del siguiente objetivo.
OBJETIVO: Determinar las dificultades que impiden el mejoramiento de la Ciberdefensa y su incidencia en la protección de la información del Ejército del Perú, con el propósito de identificar las causas que la generan y tener base para proponer el uso de nuevos conocimientos, que contribuyan a mejorar la protección de la información
GENERALIDADES:
Esta información será utilizada en forma confidencial, anónima y acumulativa; por lo que agradeceremos a las personas entrevistadas proporcionarnos informaciones veraces, solo así serán realmente útiles para la investigación.
INFORMANTES:
La presente encuesta está dirigida al Personal Militar y Civil del COPERE que tienen la responsabilidad de administrar y controlar las diferentes infraestructuras de TI; así mismo, incluye al personal responsable de brindar seguridad de las redes y sistemas de
información de las instalaciones del CGE.
1.1. DATOS DE LA INSTITUCION
1.1.1. Denominación:
1.1.3. Ubicación geográfica
1.1.4. Dependencia donde labora
1.2. DATOS DEL INFORMANTE
1.2.1. Nivel de Instrucción Alcanzado:
Sin Estudios ( ), Secundaria Completa ( ), Estudios Técnicos ( ).
Estudios Universitarios concluidos ( ) Especialización............................................................................
Grado académico...................................Título Profesional.............................Otros...........................................
1.2.2. Tiempo de Servicio en el cargo actual : 1.2.3. Tiempo de Servicio en la administración Pública :
1.2.3 Indique los últimos tres eventos de Capacitación en CIBERDEFENSA que Ud. asistido e
indique las fechas
a)…………………………………………………………………….…..Fecha
b)……………………………………………………………………….. Fecha
TESIS: “CIBERDEFENSA Y SU INCIDENCIA EN LA PROTECCION DE LA
INFORMACION DEL EJÉRCITO DEL PERÚ. CASO: COPERE 2013-2014”
224
2. PROGRAMAS DE CAPACITACION
2.1. De entre las siguientes Capacidades de Ciberdefensa, marqué los que a su entender
ud. ha sido capacitado y pude aplicar adecuadamente para lograr la mejora de la
ciberdefensa en la protección de la información del Ejército del Perú.
a) Capacidad de Prevención b) Capacidad de Defensa
c) Capacidad de Detección d) Capacidad de Respuesta
e) Capacidad de Explotación f) Otra, ¿Cuál?
2.2. ¿Considera Ud que el Personal Militar y Civil del COPERE encargadas administrar las infraestructuras de TI, está capacitado en Ciberdefensa para la protección de la Información?
a) Totalmente Capacitado
b) Mayoritariamente Capacitado
c) Regularmente Capacitado
d) Minoritariamente Capacitado
e) No Capacitado
2.3. ¿Cuáles son las causas o razones que ud. considera por qué el Personal Militar y Civil del COPERE encargados de administrar las infraestructuras de TI, No están capacitadas en Ciberseguridad y Ciberdefensa para la protección de la Información?
a) Falta planificación b) Falta de infraestructuras de
TI
c) Falta de interés de las autoridades d) Falta de personal
especialista
e) Otra, ¿Cuál?
2.4. De entre los siguientes conceptos que teóricamente deben conocerse y aplicarse en la
gestión de la seguridad de las informaciones y que se encuentran plasmados en la
Norma Técnica Peruana NTP/ISO/IEC 17799, mencioné las que ud. conoce y aplica
para lograr la mejora de la ciberdefensa en la protección de la información del Ejército
del Perú.
a) Seguridad ligada al personal b) Seguridad Física y del
Entorno
c) Gestión de comunicaciones y operaciones
d) Administración y Control de
acceso
e) Desarrollo y Mantenimiento de Sistemas
f) Aspectos Organizativos de la
Seguridad
2.5. Marque con una (X) el nivel de conocimiento que ud. posee sobre la Norma Técnica Peruana NTP/ISO/IEC 17799 – “Código de buenas prácticas para la gestión de la seguridad de la información”
a) Total Conocimiento
b) Mayor Conocimiento
c) Regular Conocimiento
d) Menor Conocimiento
e) No tiene Conocimiento
225
2.6. ¿Cuáles son las razones o causas de no conocer o aplicar la Norma Técnica Peruana NTP/ISO/IEC 17799 – “Código de buenas prácticas para la gestión de la seguridad de la información”?
a) Por desconocimiento parcial o total de sus lineamientos
b) No he sido Capacitado
c) Sus lineamientos son difíciles de aplicar en la realidad
d) Sus dispositivos no se
adecuan con la realidad de la institución
e) Otra, ¿Cuál?
2.7. ¿Cómo califica el nivel de los
programas de capacitación
relacionados con la ciberdefensa y
su incidencia en la protección de la
información del Ejército del Perú?
a) Sumamente Satisfecho
b) Muy Satisfecho
c) Satisfecho
d) Poco satisfecho
e) Nada satisfecho
2.8. ¿Cuáles son las causas o razones que Ud. considera por qué no se da sumamente satisfecho con los programas de capacitación en relación a la ciberdefensa y su incidencia en la protección de la información del Ejército del Perú?
a) Mala planificación b) Falta de Instalaciones
c) Mala designación de alumnos d) Falta de docentes
especialistas
e) Otra, ¿Cuál?
3. RECURSOS DISPOBIBLES PARA CIBERDEFESA
3.1. De entre las siguientes maneras o formas de obtener asignación presupuestal,
mencioné las que ud. conoce para lograr la mejora de la ciberdefensa en la protección
de la información del Ejército del Perú.
a) Confeccionar un Proyecto de Inversión Publica
b) Demanda adicional al MEF
ante una amenaza potencial
c) Convenios con Instituciones Privadas d) Considerarlo en el Programa
Presupuestal anual
e) Otra, ¿Cuál?
3.2. ¿Cómo califica el nivel de asignación Presupuestal asignado al uso de Ciberdefensa para proteger la información del Ejército del Perú?
a) Muy Favorable b) Favorable
c) Medianamente Favorable d) Desfavorable
e) Adversa
226
3.3. ¿Cuáles son las causas o razones por las que Ud. considera que las autoridades no
asignan presupuestos para ciberdefensa en favor de la protección de la información
del Ejército del Perú?
a) Falta de Planificación b) Otras Prioridades del estado
c) Falta de interés de las autoridades d) Falta de Recursos
Disponibles
e) Otra, ¿Cuál?
3.4. De entre las siguientes Infraestructuras Estratégicas, que deben conocerse y
administrarse en la seguridad de las informaciones, mencioné las que ud. conoce.
a) Personal b) Instalaciones
c) Equipos d) Servicios
e) Redes f) Sistemas de Información
3.5. ¿Cómo califica el nivel de funcionalidad de las infraestructuras estratégicas para el uso de ciberdefensa?
a) Muy Favorable
b) Favorable
c) Medianamente Favorable
d) Desfavorable
e) Adversa
3.6. ¿Cuáles son las razones o causas que ud considera por qué no se dispone de un nivel
adecuado de funcionalidad en infraestructuras estratégicas para su uso en
ciberdefensa?
a) Falta de interés de las autoridades. b) Falta de Equipamiento.
c) Falta de asignación presupuestal. d) Falta de personal capacitado
e) Otra, ¿Cuál?
3.7. ¿Cómo califica el nivel de recursos disponibles relacionados con la ciberdefensa y su incidencia en la protección de la información del Ejército del Perú?
a) Muy Favorable
b) Favorable
c) Medianamente Favorable
d) Desfavorable
e) Adversa
3.8. ¿Cuáles son las razones o causas de No contar con suficientes recursos disponibles
relacionados con la ciberdefensa y su incidencia en la protección de la información del
Ejército del Perú?
a) Falta de Planificación b) Otras Prioridades
c) Falta de interés de las autoridades d) Falta de Conocimiento
e) Otra, ¿Cuál?
227
4. PROCEDIMIENTOS DE SEGURIDAD INFORMATICA:
4.1. De entre los siguientes conceptos básicos, marque los que a su entender conoce y son aplicados adecuadamente para mejorar de la ciberdefensa en la protección de la información del Ejército del Perú.
a) Seguridad de las informaciones b) Ciberseguridad
c) Ciberdefensa d) Ciberguerra
e) Protección de las informaciones f) Ciberespacio
4.2. Marque con una (X) en nivel de conocimiento y aplicación que tiene Ud. sobre los Conceptos Básicos descritos anteriormente.
a) Muy bueno b) Bueno
c) Regular e) Malo
e) Pésimo
4.3. ¿Cuáles son las razones o causas de no aplicar o conocer los Conceptos Básicos descritos anteriormente?
a) Falta de capacitación b) Falta de Recursos
Económicos
c) Por desconocimiento d) Difícil de entender
e) Otra, ¿Cuál?
4.4. Marque con una “X” los principios básicos que ud conoce y aplica en relación a la ciberdefensa y su incidencia en la protección de la información del Ejército del Perú.
a) Principios de la Seguridad de las Informaciones
b) Principios de la Ciberseguridad
c) Principios de una conciencia en ciberseguridad
d) Principios de la Ciberdefensa
e) Principios de la Ciberguerra
4.5. Marque con una (X) en nivel de conocimiento y aplicación que tiene Ud. sobre los Principios Básicos descritos anteriormente.
a) Muy Bueno b) Bueno
c) Regular e) Malo
e) Pésimo
4.6. ¿Cuáles son las Razones o causas de no aplicar o conocer los Principios relacionados con la ciberdefensa y su incidencia en la protección de la información del Ejército del Perú?
a) Falta de capacitación b) Falta de recursos
económicos
c) Por desconocimiento d) Difícil de aplicar
e) Otra, ¿Cuál?
228
4.7. A su criterio ¿Cómo califica el nivel
de conocimiento de los
procedimientos de seguridad
informática relacionados con la
ciberdefensa y su incidencia en la
protección de la información del
Ejército del Perú?
a) Muy bueno
b) Bueno
c) Regular
d) Malo
e) Pésimo
4.8. ¿Cuáles son las Razones o causas de no aplicar o conocer los procedimientos de
seguridad informática relacionados con la ciberdefensa y su incidencia en la protección de
la información del Ejército del Perú?
a) Falta de Capacitación b) Falta de Recursos Económicos
c) Por Desconocimiento d) Difícil de entender
e) Otra, ¿Cuál?
5. Disposiciones Normativas relacionadas con Ciberdefensa
5.1. De entre las siguientes disposiciones normativas que se deben cumplir en el Plan de Desarrollo de la sociedad de la Información en el Perú, mencioné las que ud. conoce y cumple para lograr la mejora de la ciberdefensa en la protección de la información del Ejército del Perú.
a) Fortalecer los recursos humanos para investigación, desarrollo e innovación en las TIC
b) Promover los centros de
excelencia en TIC
c) Promover la producción científica en las TIC
d) Implementar mecanismos
para mejorar la seguridad de la información.
e) Impulsar la Interoperabilidad entre las instituciones del Estado
f) implementar mecanismos
para asegurar el acceso oportuno a la información
5.2. A su criterio ¿Cómo califica el grado de cumplimiento del Plan de Desarrollo de la sociedad de la Información en el Perú- La agenda Digital 2.0?
a) Total cumplimiento
b) Mayor cumplimiento
c) Regular cumplimiento
d) Menor cumplimiento
e) No se cumple
5.3. ¿Cuáles son las razones o causas de no dar cumplimiento al Plan de Desarrollo de la sociedad de la Información en el Perú? La agenda Digital 2.0?
a) Por desconocimiento parcial o total de sus lineamientos
b) No he sido Capacitado
c) Sus lineamientos son difíciles de aplicar en la realidad
d) Sus dispositivos no se
adecuan con la realidad de la institución
e) Otra, ¿Cuál?
229
5.4. De entre las siguientes disposiciones normativas que se deben cumplir en el Plan de Desarrollo institucional Bolognesi , mencioné las que ud. conoce y cumple para lograr la mejora de la ciberdefensa en la protección de la información del Ejército del Perú.
a) Potenciamiento de la Educación y el Entrenamiento del Personal.
b) Implementación de la Base de
Datos del Ejército (BDU)
c) Implementación del Centro de entrenamiento
d) Modernización de las Escuelas
de formación y capacitación
e) Actualización y creación de doctrina técnica, táctica y administrativa.
f) Implementación del Sistema
de comando y control.
5.5. A su criterio ¿Cómo califica el grado de cumplimiento del Plan de Desarrollo institucional Bolognesi?
a) Total cumplimiento
b) Mayor cumplimiento
c) Regular cumplimiento
d) Menor cumplimiento
e) No se cumple
5.6. ¿Cuáles son las razones o causas del No cumplimiento del Plan de Desarrollo institucional Bolognesi?
a) Por desconocimiento parcial o total de sus lineamientos
b) No he sido Capacitado
c) Sus lineamientos son difíciles de aplicar en la realidad
d) Sus dispositivos no se
adecuan con la realidad de la institución
e) Otra, ¿Cuál?
5.7. De entre las siguientes disposiciones normativas que se deben cumplir en la Directiva Única de Funcionamiento del Sistema de Telemática y Estadifica del Ejercito (DUFSITELE), mencioné las que ud. conoce y cumple para lograr la mejora de la ciberdefensa en la protección de la información del Ejército del Perú.
a) Políticas Institucionales de Telemática
b) Componentes del Sub
Sistema cibernético
c) Presupuesto y Proyectos de Inversión Publica
d) Factores del diseño del
Sistema de Telemática
e) Implementación de las capacidades del sistema de Comando y control
f) Componentes del sub
Sistema Informático
5.8. A su criterio ¿Cómo califica el grado de cumplimiento de la Directiva Única de Funcionamiento del Sistema de Telemática y Estadifica del Ejercito (DUFSITELE) ?
a) Total cumplimiento
b) Mayor cumplimiento
c) Regular cumplimiento
d) Menor cumplimiento
e) No se cumple
230
5.9. ¿Cuáles son las causas o razones que Ud. considera por qué no se da el total cumplimiento de la Directiva Única de Funcionamiento del Sistema de Telemática y Estadifica del Ejercito (DUFSITELE)?
a) Por desconocimiento parcial o total de sus lineamientos
b) No he sido Capacitado
c) Sus lineamientos son difíciles de aplicar en la realidad
d) Sus dispositivos no se
adecuan con la realidad de la institución
e) Otra, ¿Cuál?
5.10. De entre las siguientes disposiciones normativas que se deben cumplir en la Directiva Nº 001/CGE/DITELE/SD SIDE (Lineamientos de seguridad de la información para la Ciberdefensa en el Ejército del Perú), mencioné las que ud. conoce y cumple para lograr la mejora de la ciberdefensa en la protección de la información del Ejército del Perú.
a) Desarrollo del Programa Nacional de Ciberdefensa en el Ejército del Perú
b) Gestión homogénea de las
redes en el Ejército del Perú
c) Uso de estándares y certificaciones de seguridad de los productos TIC en el Ejercito del Perú
d) Programa de concientización
y Formación para la cultura en seguridad
e) Mejorar los mecanismos de coordinación y respuesta a incidentes cibernéticos
f) Despliegue de sistemas de
alerta, protección y sus interconexiones
5.11. A su criterio ¿Cómo califica el grado de cumplimiento de la Directiva Nº 001/CGE/DITELE/SD SIDE (Lineamientos de seguridad de la información para la Ciberdefensa en el Ejército del Perú)
a) Total cumplimiento
b) Mayor cumplimiento
c) Regular cumplimiento
d) Menor cumplimiento
e) No se cumple
5.12. ¿Cuáles son las causas o razones que Ud. considera por qué no se da el total cumplimiento de la Directiva Nº 001/CGE/DITELE/SD SIDE (Lineamientos de seguridad de la información para la Ciberdefensa en el Ejército del Perú)?
a) Por desconocimiento parcial o total de sus lineamientos
b) No he sido Capacitado
c) Sus lineamientos son difíciles de aplicar en la realidad
d) Sus dispositivos no se
adecuan con la realidad de la institución
e) Otra, ¿Cuál?
5.13. A su criterio ¿Cómo califica el grado de cumplimiento de los dispositivos normativos relacionados con la ciberdefensa y su incidencia en la protección de la información del Ejército del Perú?
a) Total cumplimiento
b) Mayor cumplimiento
c) Regular cumplimiento
d) Menor cumplimiento
e) No se cumple
231
5.14. ¿Cuáles son las razones o causas del No cumplimiento de los dispositivos normativos relacionados con la ciberdefensa y su incidencia en la protección de la información del Ejército del Perú?
a) Por desconocimiento parcial o total de sus lineamientos
b) No he sido Capacitado
c) Sus lineamientos son difíciles de aplicar en la realidad
d) Sus dispositivos no se
adecuan con la realidad de la institución
e) Otra, ¿Cuál?
232
Anexo Nº 04
CONFIABILIDAD Y FIABILIDAD DEL INSTRUMENTO DE RECOLECCIÓN DE DATOS
El método para determinar la confiabilidad según R. Hernández Sanpieri, será el
coeficiente Alfa de Crombach a través del cual se estimará la consistencia interna
de la prueba. Para evaluar la confiabilidad se tomará, por ejemplo, un porcentaje
(%) como muestra de ítems para obtener un nivel de confiabilidad del instrumento.
El coeficiente Alpha de Cronbach, es un coeficiente que estima la coincidencia
interna del instrumento de medición: cuestionario, guía de entrevista, escala de
actitud, etc. Para medir su confiabilidad, es decir, si el instrumento se puede aplicar
para casos similares en otras latitudes, dando resultados confiables; se procede
tomando una muestra de los ítems o índices del instrumento aplicando la fórmula
que proporciona en Coeficiente Alfa Cronbach. El resultado debe aproximarse a
0.100, pero nunca bajar de .050, ya que sería un instrumento sin confiabilidad.
Coeficiente Alfa Cronbach
En donde:
K = El número de ítems
∑Si2 = Sumatoria de Varianzas de los ítems
St2 = Varianza de la suma de los ítems
ɶ = Coeficiente de Alfa de Cronbach
Criterio de confiabilidad valores:
• No es confiable -1 a 0
• Baja confiabilidad 0.01 a 0. 49
• Moderada confiabilidad 0.5 a 0.75
• Fuerte confiabilidad 0.76 a 0.89
• Alta confiabilidad 0.9 a 1
K 1-- ∑Si2
K-1 St 2
α =
233
En el presente trabajo de investigación, para poder medir la viabilidad y
confiabilidad del instrumento de recolección de datos, que en este caso es el
cuestionario me he valido de tres componentes que determinan su validación:
• Validez de Contenido.
• Validez de Criterio
• Validez de Constructo
Por tanto:
• Validez del contenido se valida por medio de un juicio de expertos) lo
• Validez de Criterio por medio del alfa de Cronbach
• Validez de Constructo por medio del análisis factorial
Como tenemos dos tipos de preguntas (uno con escala Likert y el otro con escala
dicotómica) separamos dichos datos para analizarlos por separado.
Expertos en materia de Seguridad de las Informaciones, que realizaron la validación del contenido del instrumento:
Experto 1
Nombre LINDO CLAUDET, ELLIOT HANS
Cargo Especialista en Redes II
Institución Ministerio de Economía y Finanzas – MEF
Área Oficina General de Tecnologías de la Información OGTI
Experto 2
Nombre RUIZ SANCHEZ, FELIX
Cargo Analista de Operaciones Seguros Masivos
Institución Chubb SegurosBR
Área Tecnología de Información
Experto 3
Nombre CHAVEZ ZUÑIGA, JEAN PEARE
Cargo Analista de Procesos DWH
Institución Banco de Crédito del Perú
Área Gestión de Procesos e informática
Validez del Cuestionario = Promedio (Validez de contenido + Validez de Criterio + Validez de Constructo)
234
Operación
• Preguntas Dicotómicas: Validez del Contenido (Juicio de expertos).
Expertos PREGUNTAS
Pg 2.1 Pg 2.4 Pg 3.1 Pg 3.4 Pg 4.1 Pg 4.4 Pg 5.1 Pg 5.4 Pg 5.7 Pg 5.10
Experto 1 4 3 4 3 4 4 3 4 4 4 Experto 2 3 3 3 3 3 4 4 3 3 3
Experto 3 3 4 4 4 3 4 3 4 3 4
Estadísticos de fiabilidad
Alfa de Cronbach N de elementos
.635 10
• Preguntas Dicotómicas: Validez del Criterio (alfa de Cronbach)
Estadísticos de fiabilidad
Alfa de Cronbach N de elementos
.677 10
Estadísticos total-elemento
Media de la escala si se elimina el elemento
Varianza de la escala si se elimina el elemento
Correlación elemento-total
corregida
Alfa de Cronbach si se elimina el
elemento
CANTIDAD DE CAPACIDADES DE CIBERDEFENSA QUE CONOCE Y APLICA 14.133 8.124 0.741 0.574
CANTIDAD DE CONCEPTOS QUE CONOCE Y APLICA DE LA NORMA TECNICA PERUANA 13.933 10.210 0.076 0.712
CANTIDAD DE MAMERAS O FORMAS QUE CONOCE PARA OBTENER ASIGNACION PRESUPUESTAL
14.200 11.029 -0.017 0.704
CANTIDAD DE INFRAESTRUCTURAS ESTRATEGICAS QUE CONOCE Y ADMINISTRA 14.067 7.924 0.668 0.579
CANTIDAD DE CONCEPTOS BASICOS RELACIONACOS CON CIBERDEFENSA QUE CONOCE Y APLICA
14.133 9.838 0.247 0.670
CANTIDAD DE PRINCIPIOS BASICOS RELACIONACOS CON CIBERDEFENSA QUE CONOCE Y APLICA
14.000 10.286 0.228 0.671
CANTIDAD DE DISPOSICIONES NORMATIVAS DEL PLAN DE DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN EN EL PERÚ QUE DA CUMPLIMIENTO Y APLICA
14.133 9.552 0.323 0.656
CANTIDAD DE DISPOSICIONES NORMATIVAS DEL PLAN DE DESARROLLO INSTITUCIONAL BOLOGNESI QUE DA CUMPLIMIENTO Y APLICA
14.133 8.124 0.741 0.574
CANTIDAD DE DISPOSICIONES NORMATIVAS DE LA DUFSITELE QUE DA CUMPLIMIENTO Y APLICA 14.267 9.495 0.345 0.652
CANTIDAD DE DISPOSICIONES NORMATIVAS DE LA DIRECTIVA Nº 001/CGE/DITELE/SD SIDE (LINEAMIENTOS DE SEGURIDAD DE LA INFORMACIÓN PARA LA CIBERDEFENSA EN EL EJÉRCITO DEL PERÚ) QUE DA CUMPLIMIENTO Y APLICA
14.000 9.714 0.168 0.694
235
• Preguntas Dicotómicas: Validez del Constructo (análisis factorial)
Comunalidades
Inicial Extracción
CANTIDAD DE CAPACIDADES DE CIBERDEFENSA QUE CONOCE Y APLICA 1.000 0.972
CANTIDAD DE CONCEPTOS QUE CONOCE Y APLICA DE LA NORMA TECNICA PERUANA 1.000 0.561
MAMERAS O FORMAS QUE CONOCE PARA OBTENER ASIGNACION PRESUPUESTAL 1.000 0.844
CANTIDAD DE INFRAESTRUCTURAS ESTRATEGICAS QUE CONOCE Y ADMINISTRA 1.000 0.885
CANTIDAD DE CONCEPTOS BASICOS RELACIONACOS CON CIBERDEFENSA QUE CONOCE Y APLICA
1.000 0.775
CANTIDAD DE PRINCIPIOS BASICOS RELACIONACOS CON CIBERDEFENSA QUE CONOCE Y APLICA
1.000 0.891
CANTIDAD DE DISPOSICIONES NORMATIVAS DEL PLAN DE DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN EN EL PERÚ QUE DA CUMPLIMIENTO Y APLICA
1.000 0.758
CANTIDAD DE DISPOSICIONES NORMATIVAS DEL PLAN DE DESARROLLO INSTITUCIONAL BOLOGNESI QUE DA CUMPLIMIENTO Y APLICA
1.000 0.972
CANTIDAD DE DISPOSICIONES NORMATIVAS DE LA DUFSITELE QUE DA CUMPLIMIENTO Y APLICA 1.000 0.651
CANTIDAD DE DISPOSICIONES NORMATIVAS DE LA DIRECTIVA Nº 001/CGE/DITELE/SD SIDE (LINEAMIENTOS DE SEGURIDAD DE LA INFORMACIÓN PARA LA CIBERDEFENSA EN EL EJÉRCITO DEL PERÚ) QUE DA CUMPLIMIENTO Y APLICA
1.000 0.778
Análisis Factorial 0.809
Por lo tanto, Validez del Cuestionario = Promedio (Validez de contenido + Validez de Criterio +
Validez de Constructo) Validez del Cuestionario = Promedio (.635+ .677 + .809)
Validez del Cuestionario = 0.707 por lo tanto el instrumento tiene Fuerte confiabilidad
236
Operación
• Preguntas Likert: Validez del Contenido (Juicio de expertos).
Expertos PREGUNTAS
Pg 2.2 Pg 2.3 Pg 2.5 Pg 2.6 Pg 2.7 Pg 2.8 Pg 3.2 Pg 3.3 Pg 3.5 Pg 3.6
Experto 1 5 4 5 5 3 4 4 4 4 4 Experto 2 3 5 3 4 4 3 4 3 3 3 Experto 3 4 4 4 4 3 4 4 4 4 3
Expertos PREGUNTAS
Pg 3.7 Pg 3.8 Pg 4.2 Pg 4.3 Pg 4.5 Pg 4.6 Pg 4.7 Pg 4.8 Pg 5.2 Pg 5.3
Experto 1 4 4 3 4 3 3 4 3 4 3 Experto 2 3 3 3 3 3 3 3 3 3 3 Experto 3 4 4 4 4 4 4 4 4 4 4
Expertos PREGUNTAS
Pg 5.5 Pg 5.6 Pg 5.8 Pg 5.9 Pg 5.11 Pg 5.12 Pg 5.13 Pg 5.14
Experto 1 3 4 4 3 4 4 3 4 Experto 2 3 4 3 4 4 3 4 3 Experto 3 4 4 4 4 3 4 3 4
Estadísticos de fiabilidad
Alfa de Cronbach N de elementos
.881 28
• Preguntas Likert: Validez del Criterio (alfa de Cronbach)
Estadísticos de fiabilidad
Alfa de Cronbach N de elementos
.558 28
Estadísticos total-elemento
Media de la escala si se elimina el elemento
Varianza de la escala si se elimina el elemento
Correlación elemento-total
corregida
Alfa de Cronbach si se elimina el
elemento
Pg.2.2 78.000 57.857 0.133 0.552
Pg.2.3 79.600 52.686 0.238 0.536
Pg.2.5 79.067 66.352 -0.535 0.618
Pg.2.6 80.200 52.743 0.438 0.513
Pg.2.7 77.867 55.981 0.388 0.533
Pg.2.8 79.800 48.314 0.702 0.470
Pg.3.2 78.000 59.286 0.041 0.559
Pg.3.3 80.067 53.067 0.397 0.518
Pg.3.5 77.733 60.924 -0.152 0.576
Pg.3.6 79.133 62.267 -0.227 0.593
Pg.3.7 77.667 61.810 -0.311 0.578
237
Pg.3.8 78.733 56.495 0.028 0.579
Pg.4.2 78.933 60.352 -0.101 0.581
Pg.4.3 79.800 58.314 -0.011 0.577
Pg.4.5 78.667 58.381 0.046 0.562
Pg.4.6 79.600 52.257 0.218 0.540
Pg.4.7 78.533 55.124 0.283 0.534
Pg.4.8 79.867 55.410 0.130 0.555
Pg.5.2 78.733 57.067 0.221 0.545
Pg.5.3 79.867 47.838 0.550 0.478
Pg.5.5 78.133 57.410 0.242 0.545
Pg.5.6 79.800 48.314 0.702 0.470
Pg.5.8 79.067 56.210 0.174 0.547
Pg.5.9 79.933 57.924 0.143 0.552
Pg.5.11 77.667 59.667 -0.042 0.569
Pg.5.12 79.800 48.314 0.702 0.470
Pg.5.13 77.467 59.838 -0.047 0.567
Pg.5.14 80.467 61.695 -0.199 0.586
• Preguntas Likert: Validez del Constructo (análisis factorial)
Comunalidades
Inicial Extracción
Pg.2.2 1.000 0.889
Pg.2.3 1.000 0.887
Pg.2.5 1.000 0.907
Pg.2.6 1.000 0.985
Pg.2.7 1.000 0.907
Pg.2.8 1.000 0.995
Pg.3.2 1.000 0.811
Pg.3.3 1.000 0.968
Pg.3.5 1.000 0.737
Pg.3.6 1.000 0.858
Pg.3.7 1.000 0.761
Pg.3.8 1.000 0.928
Pg.4.2 1.000 0.951
Pg.4.3 1.000 0.968
Pg.4.5 1.000 0.933
Pg.4.6 1.000 0.834
Pg.4.7 1.000 0.886
Pg.4.8 1.000 0.980
Pg.5.2 1.000 0.918
Pg.5.3 1.000 0.917
Pg.5.5 1.000 0.946
Pg.5.6 1.000 0.995
Pg.5.8 1.000 0.930
Pg.5.9 1.000 0.950
Pg.5.11 1.000 0.986
238
Pg.5.12 1.000 0.995
Pg.5.13 1.000 0.935
Pg.5.14 1.000 0.940
Análisis Factorial 0.918
Por lo tanto, Validez del Cuestionario = Promedio (Validez de contenido + Validez de Criterio +
Validez de Constructo) Validez del Cuestionario = Promedio (.881+ .558 + .918)
Validez del Cuestionario = 0.786 por lo tanto el instrumento tiene Fuerte confiabilidad
Resultado:
Validez dicotómica = 0.707 Validez Likert = 0.786
Validez total = 0.746 Iinstrumentó tiene Fuerte
confiabilidad