1. Introducción
Las organizaciones utilizan la tecnología como medio para procesar, almacenar y resguardar su información (Miranda et al., 2016), aún más en tiempo de pandemia; la tecnología está jugando un rol fundamental dentro del funcionamiento de sus procesos, pero que, a la vez, estos están sometidos a un elevado número de riesgos y amenazas informáticas (Martínez, 2020).
Toda organización está expuesta cada vez más a amenazas y es vulnerable a cualquier ataque informático (Caamaño y Gil, 2020); es decir, la variedad de amenazas en contra de sus activos puede causar la pérdida, manipulación o la no disponibilidad de la información (Gil y Gil, 2017). Paralelamente, pueden ocasionar cuantiosas pérdidas económicas, tal como dicen Wiley et al. (2020), el Foro Económico Mundial, en 2018, reportó que el 65 % de organizaciones australianas fueron víctimas de ataques, una de cada diez sufrió pérdidas superiores a $ 1 millón.
La mayoría de los robos o pérdidas de información en Latinoamérica recaen sobre el sector empresarial, pues Aguilar-Antonio (2019) explica que estos incidentes se deben a las insuficientes medidas de protección, lo que causa pérdidas de productividad, credibilidad, competitividad y perjuicios financieros que comprometen la continuidad de la organización.
El uso de políticas basadas en la ISO 27001 mejoran la gestión de la seguridad de la información, pues como argumentan Angulo et al. (2018), ayudan a controlar los procesos de seguridad, garantizando la confidencialidad, integridad y disponibilidad de la información. Por ejemplo, tras el diseño e implantación de un modelo de políticas en las empresas proveedoras de internet en Ecuador se mostró mejoras significativas. Por esta razón, Cueva y Alvarado (2017) señalan que las organizaciones han adoptado nuevas formas de protección de sus activos de información. Para llegar a este punto, la solución óptima se basaría en incrementar los niveles de seguridad y protección de su información, con la implantación de políticas y/o controles de seguridad (Lux, 2018).
Santana y Aspilcueta (2016) dicen que los nuevos desafíos que enfrenta todo país emergente, tal como Perú, hacen que las organizaciones se apoyen en las tecnologías de información para suplir demandas de flexibilidad e incremento de productividad, lo que genera nuevos retos y desafíos de seguridad. Por su lado, Baca (2016) considera que la utilización de políticas y buenas prácticas repercuten significativamente en la gestión de seguridad de la información; como ejemplo menciona la implantación de un modelo de gestión de seguridad en la Unidad Educativa Local de Chiclayo, donde se mejoró el nivel de seguridad tanto en confidencialidad, integridad y disponibilidad de los datos.
Las PYMES peruanas son el foco más vulnerable. En un estudio Porras et al. (2018) afirman que un 41 % poseen probabilidades mínimas para detectar ataques sofisticados. Los principales motivos de dificultad son en un 100 % las limitaciones presupuestarias, y en un 89 % la falta de recursos especializados. Poma y Vargas (2019) informaron que, en un reporte publicado por Kaspersky, en 2019, Perú se encontraba en el puesto número 40, considerado como el país más vulnerable frente a ataques cibernéticos.
En ese contexto, el problema que hemos abordado trata sobre los mecanismos deficientes que tenía la Subgerencia de Recaudación y Fiscalización Tributaria de la Municipalidad Distrital de Morales para garantizar niveles adecuados de seguridad en la información de los dispositivos de cómputo y almacenamiento. Estos mecanismos afectaban el correcto desenvolvimiento y la efectividad en sus operaciones.
Al evaluar los mecanismos de seguridad deficientes, logramos identificar causas, tales como: i) la mínima formación del personal en seguridad de la información. Moreno et al. (2020) consideran que la poca formación del personal ocasiona peligros de gran magnitud; ii) manejo inadecuado de los protocolos destinados a la protección de los dispositivos tecnológicos, lo que causa las fugas de información, así lo afirman Sánchez et al. (2017), incluso afectan la imagen y estabilidad de las organizaciones, y iii) insuficientes medidas en el proceso de instalación de activos informáticos, considerando que estos, en cualquier momento, pueden ser destruidos de manera no autorizada (Valencia et al., 2016).
Aparte de tener procedimientos de protección de la información inadecuadamente definidos, a esto se suma el incumplimiento de algunas políticas implantadas. Castillejos et al. (2016) explican que el incumplimiento de políticas conlleva a exponer información confidencial; asimismo, Tundidor et al. (2018) resaltan la importancia de implantar políticas, normas y procedimientos a fin de prevenir y disminuir los riesgos de pérdida de datos de la organización, ofreciendo información oportuna, clara y veraz.
La poca asignación de presupuesto para proteger los datos en la organización es uno de los principales obstáculos para garantizar un adecuado nivel de seguridad de la información. El limitado presupuesto impide ejecutar medidas orientadas a adoptar controles de seguridad que minimicen el riesgo en el manejo de la información (Diéguez y Cares, 2019).
Las organizaciones públicas, en general, están inmersas en un entorno de riesgos, lo que podría causar pérdidas debido a eventos originados por procesos, personas o tecnología (Crespo, 2017). Las políticas basadas en la Norma ISO 27001 disminuyen estos riesgos, e influyen significativamente en la gestión de seguridad de la información. En ese sentido, con la finalidad de comprobar esta hipótesis, realizamos esta investigación aplicando un modelo cuantitativo por conveniencia.
Nos plantemos como objetivo mejorar la gestión de seguridad de la información en la Subgerencia de Recaudación y Fiscalización Tributaria de la Municipalidad Distrital de Morales, de manera que i) se logró aumentar el nivel confianza de los trabajadores; ii) se garantizó la confidencialidad, integridad y disponibilidad de la información; y se generó la sensibilización del personal sobre la correcta manipulación y resguardo los distintos activos de información.
2. Metodología
En este estudio se empleó un diseño preexperimental y de corte cuantitativo. La población estuvo conformada por todos los trabajadores de la Municipalidad Distrital de Morales que a noviembre de 2020 era un total de 90 trabajadores. La muestra fue de 30 individuos y el muestreo se hizo mediante muestreo no probabilístico aplicando el tipo por conveniencia.
Para cumplir nuestro objetivo de implantación de políticas, el estudio se realizó en pleno acuerdo con el jefe de la Unidad de Informática y Sistemas y demás servidores públicos, quienes se comprometieron de manera responsable a cumplirlas y darles seguimiento.
Se aplicó la técnica de observación directa, mediante visitas programadas y entrevistas con los profesionales encargados de la administración del área informática y usuarios de los sistemas, para el proceso de identificación de los indicadores de gestión de seguridad de la información. Paralelamente, se revisaron los componentes y/o activos de información con los que cuenta la Municipalidad.
La información se recopiló a través de un instrumento para la seguridad de la información, este cuenta con 3 dimensiones y 15 indicadores en escala de Likert, con validez mediante el juicio de expertos igual a 4.73, en la escala del 1 a 5.
El diseño del instrumento se desarrolló con base en las afirmaciones de Valencia-Duque y Orozco-Alzate (2017). Los autores conciben la gestión de seguridad de la información de la siguiente manera: confidencialidad, integridad y disponibilidad. También se tuvo en cuenta el estudio de Peña y Anías (2019), en el que considera prioritaria la incorporación de políticas de seguridad de la información en las organizaciones; asimismo, la investigación de Aguilera et al. (2017), quienes, de manera interesante, aseguran que para garantizar niveles óptimos de seguridad de la información se depende de la implantación de un conjunto de medidas administrativas, operativas y técnicas.
Los datos fueron procesados mediante SPSS v.24, para su posterior tabulación, y obtención de gráficos y datos estadísticos. Del mismo modo, se realizó el análisis de datos y la verificación de la normalidad de los mismos, considerando que los datos tuvieron distribución normal, se aplicó la prueba estadística T de Student, ya que los censados fueron un total de 30 individuos, esto a fin de determinar el grado de variación del modelo de políticas de seguridad implantadas sobre la gestión de seguridad de la información.
3. Resultados y discusión
Políticas de seguridad de la información
La implantación de políticas se realizó mediante la creación de directivas de grupos (los GPO), por lo que se utilizó en el sistema operativo Windows Server 2016; las directivas fueron ejecutadas bajo un entorno de virtualización, teniendo como cliente Windows 10 para así probar su funcionalidad.
Además, el óptimo funcionamiento de la propuesta, en cuanto al funcionamiento de los dispositivos de cómputo, se garantizó gracias al desarrollo de nuestro Manual de mantenimiento preventivo de servicios tecnológicos, además de la reubicación de algunos expuestos a amenazas naturales, conjuntamente con compromisos firmados por el jefe de la Unidad de Informática y Sistemas para garantizar su cumplimiento.
Para lograr mejor comprensión por parte del usuario, y hacer de este pieza fundamental de la gestión de seguridad, se hizo una sensibilización por áreas. Se visitó a los usuarios en sus puestos de trabajo para brindarles información de primera fuente y lograr interactuar, resolver dudas y hacer aclaraciones, a modo de hacer que ellos sean receptivo a las políticas de seguridad de la información; pues, con base en Proaño y Gavilanes (2018), es una de las estrategias fundamentales para el cumplimiento de medidas de seguridad.
La estructura de descomposición, que a continuación se ve en la Figura 1, representa la forma en que se han operado y organizado nuestras Políticas de Grupo (GPO), teniendo como dominio a proyecto.tesis y Unidad Organizativa a Municipalidad Distrital de Morales, dentro del cual se encuentra la muestra o ámbito de aplicación a la Subgerencia de Recaudación y Fiscalización Tributaria, dividida en Usuarios y Equipos, considerando que para crear cada GPO se ha mantenido un estricta inclinación hacia la ISO 27001: 2013 y, por sobre todo, los criterios utilizados se basaron en garantizar la integridad, confidencialidad y disponibilidad de la información.
Martelo et al. (2018) afirman que se debe controlar ciertas acciones para evitar ocasionar agujeros en la seguridad de la información y así controlar los flujos de entrada/salida de datos. Estas acciones son, por ejemplo, acceso a Panel de Control, a servicios iterativos o mensajería instantánea, al símbolo del sistema (CMD) y al menú EJECUTAR del menú inicio. Además, el uso de dispositivos extraíbles, la caducidad y longitud de contraseñas, e instalación no controlada de software puede introducir vulnerabilidades que pueden provocar fugas de información, pérdida de integridad u otros incidentes de seguridad (Hernández y Porven, 2016). Gonzáles et al. (2016) también explican que restringir conexiones a cualquier tipo de red, permite garantizar un nivel aceptable de seguridad de datos que se genera y se transmite.
Gestión de la seguridad de la información
En la Tabla 1, se observa la normalidad del test, para ello se utilizó la prueba de normalidad Shapiro-Wilk, debido a que la muestra fue un total de 30 individuos. Se concluyó que los datos siguen una distribución normal, dado a que el valor de p es mayor a 0.05.
Para evaluar la influencia de las políticas sobre la gestión de seguridad de la información, se consideraron tres pilares o dimensiones fundamentales: la disponibilidad, confidencialidad e integridad, a fin de garantizar un adecuado resguardo de los datos (Figura 2).
Se aprecia que, en general, existe un resultado favorable luego de implantar las políticas de seguridad, porque, en promedio, más del 90 % de los encuestados reconoció las mejoras exitosas en la municipalidad. Se debe considerar que el análisis de los datos se hizo mediante prueba estadística t de student, tal como se muestra en la Tabla 2.
Con base en la Tabla 2, se puede decir que hay una mejor protección de la información, porque el valor que obtiene p para disponibilidad, confidencialidad e integridad es menor a 0.05, tal como señalan Angulo et al. (2018) en su investigación, así como Cordoví et al. (2019), donde p obtuvo los mismo valores en estas dimensiones luego de haber implantado un modelo de políticas.
En la Figura 3 se muestra la diferencia significativa entre el pre-test y el post-test, pues Flores-Ruiz et al. (2017) sostienen que para comprobar las mejoras en investigaciones preexperimentales, se debe obtener cierta variación entre la evaluación inicial y la evaluación final.
Lo anterior se debe interpretar de manera muy cuidadosa, porque, en términos generales, significa que la implantación de políticas cumplió un rol fundamental mejorando el nivel de seguridad de la información, tal como en una investigación Baca (2016) llevada a cabo en Chiclayo, donde la implantación de políticas repercutió significativamente en la gestión de la información, luego de obtener una gran diferencia entre la pre y postevaluación.
Los datos de la Tabla 3 permiten corroborar que se ha cumplido con nuestro objetivo planteado, porque las políticas de seguridad implantadas mejoraron la gestión de seguridad de la información dentro de la Subgerencia de Recaudación y Fiscalización Tributaria. Esto se debe eventualmente a que el valor que obtiene p es menor a 0.05, por lo cual se presenta el Modelo de políticas a partir de una visión estratégica y teniendo en cuenta las teorías de Szczepaniuk et al. (2020) y Gibert, et al. (2020).
Modelo de políticas de Seguridad de la Información según ISO 27001: 2013
La Municipalidad Distrital de Morales tiene una enorme responsabilidad de brindar a sus ciudadanos una atención de calidad, donde la información que se maneje y que se requiera esté siempre a su alcance. Esta tarea está íntimamente ligada a la protección de la información, puesto que las organizaciones de hoy están tratando de encontrar nuevas formas de abordar adecuadamente las cuestiones de seguridad (Gil y Gil, 2017).
En ese sentido, Paananen et al. (2020) manifiestan la necesidad de implantar políticas de seguridad de la información en toda organización, pues es uno de los mecanismos eficaces para preservar la integridad, confidencialidad y disponibilidad, para birndar confianza a las personas que se benefician de los servicios. Peña y Anías (2019) creen que la implantación de políticas de seguridad de la información en las organizaciones trae mejoras considerables en el proceso del negocio, reduciendo costos y garantizando un adecuado resguardo de datos.
En la Figura 4 se plantea el Modelo de Políticas de Seguridad de la Información que, aplicando una visión estratégica, se cumplió con los objetivos de la municipalidad. Además, se considera que estos elementos permitieron, entre otras cosas, resguardar la información y mejorar la gestión de seguridad de la institución.
El modelo anterior fue creado para mejorar los deficientes mecanismos y garantizar niveles adecuados de seguridad en la información de los dispositivos de cómputo y almacenamiento, cuyas vulnerabilidades fueron detectadas en la fase diagnóstica de esta investigación. En ese sentido, la implantación de políticas para afrontar los posibles problemas de seguridad ayuda a proteger la integridad, confidencialidad y disponibilidad de la información Kaleem et al. (2016).
4. Conclusiones y recomendaciones
En función de los resultados de la prueba estadística t de Student, mostrada en la Tabla 2, se concluye que el estudio ha logrado mejorar la gestión de seguridad de la información, basándose en los tres pilares fundamentales que son i) confidencialidad, que busca garantizar que la información no sea divulgada a personas o sistemas no autorizados; ii) integridad, mantener inalterable la información ante accidentes o intentos maliciosos; y iii) disponibilidad, brindar accesibilidad a la información en el momento y en la forma en que los usuarios autorizados lo requieran.
La implantación del modelo de Políticas de Seguridad de la Información basadas en las Norma ISO 27001: 2013 se llevó a cabo de manera satisfactoria. Estas políticas se encuentran alojadas en un entorno de virtualización en Windows Server 16 y documentadas en manuales y compromisos que fueron entregados directamente al jefe de Informática y Sistemas para garantizar el cumplimiento de cada política.
Se identificaron los indicadores que repercuten directamente en la gestión de seguridad de la información; además, las políticas fueron estructuradas adecuadamente con la descomposición de las Políticas de Grupo (GPO), en dominio, Unidad Organizativa y ámbito de aplicación, tal como se muestra en la Figura 1.
En consecuencia, podemos afirmar que el Modelo de Políticas de Seguridad de la Información implantado influenció positivamente en la gestión de seguridad de la información dentro de la Subgerencia de Recaudación y Fiscalización Tributaria de la Municipalidad Distrital de Morales.
El modelo se ha diseñado de tal manera que pueda ser replicado en cualquier municipalidad por lo que, en función de los resultados auspiciosos encontrados, recomendamos su aplicación tomando en cuenta las características y realidades de las instituciones donde se pretende implantar.