Professional Documents
Culture Documents
Aninformation Security Approach in The Armed Forces of Ecuador
Aninformation Security Approach in The Armed Forces of Ecuador
Aninformation Security Approach in The Armed Forces of Ecuador
net/publication/322021139
CITATIONS READS
4 202
3 authors:
SEE PROFILE
Some of the authors of this publication are also working on these related projects:
Enfoque para mitigar los riesgos del entorno cibernético de una plataforma tecnológica View project
Proposal for a Security Model for a Popular Voting System Process in Latin America View project
All content following this page was uploaded by Moisés Toapanta on 27 November 2018.
Abstract: The problems of information security in the military institutions of the Joint Command of the
Armed Forces were analyzed. The objective is to carry out an information security approach in the Armed
Forces of Ecuador". The method that was used to carry out the exploratory research is the deductive. Data
collection was performed through direct observation and a survey directed to the personnel of the Armed
Forces according to their categories. The analysis and interpretation of the data according to the ISO /
IEC 27001: 2013 standard and the theoretical bases that supported the research resulted from this
investigation. It was concluded that the Joint Command of the Armed Forces of Ecuador does not have an
Information Security Management System to safeguard the information assets that the institution possesses,
which makes it difficult to maintain and protect the information. At the same time, corrective measures are
proposed in order to strengthen the security of the Information in this distinguished institution.
Key Words: Security Risks, Information Security, Military Security, Information Management, Database
Security.
Resumen: Se analizaron los problemas de seguridad de la información en las instituciones militares del
Comando Conjunto de las Fuerzas Armadas con el objetivo de verificar el enfoque de la seguridad de la
información. El método utilizado en esta investigación exploratoria fue el deductivo. La recopilación de
datos relevantes fue realizada mediante una encuesta dirigida al personal de Fuerzas Armadas según sus
categorías y también por observación directa. Resultó de esta investigación el análisis e interpretación de
los datos en función de la norma ISO/IEC 27001:2013 y las bases teóricas que sustentaron la investigación.
Se concluyó que el Comando Conjunto de las Fuerzas Armadas del Ecuador no dispone de un Sistema de
Gestión de Seguridad de la Información para resguardar los activos de información que posee la institución,
lo que dificulta mantener y proteger la información. A su vez, se proponen medidas correctivas alineadas a
robustecer la seguridad de la Información en esta insigne Institución.
1
Joseph Alexander Guamán Seis, Máster en Gestión de las Comunicaciones y Tecnologías de la Información, MSc., Jefe de las TIC
del C3I2-COMACO, Comando Conjunto de las Fuerzas Armadas del Ecuador, Postulante al Doctorado en Tecnologías de
Información Universidad de Guadalajara-México, jguaman@armada.mil.ec.
2
Segundo Moisés Toapanta Toapanta, Máster en Gestión de las Comunicaciones y Tecnologías de la Información, MSc, alumno del
Doctorado en Tecnologías de Información de la Universidad de Guadalajara-México, Profesor de la Carrera de Ingeniería de Sistemas
de la Universidad Politécnica Salesiana, Sede Guayaquil, Investigador Evaluador Senescyt, Investigador Acreditado y Categorizado
por la Senescyt REG-INV-16-0153, stoapanta@ups.edu.ec.
3
José Antonio Orizaga Trejo, Doctor en Tecnologías de Información IT Ph.D., Profesor Investigador, Departamento Sistemas de
Información, CUCEA Universidad de Guadalajara-México, jose.orizaga@academicos.udg.mx.
1
Copyright (c) 2017, Universidad Politécnica Salesiana, Ecuador
IV Congreso Internacional de Ciencia, Tecnología e Innovación para la Sociedad
Guayaquil, 29 noviembre al 1 diciembre de 2017
2
Copyright (c) 2017, Universidad Politécnica Salesiana, Ecuador
IV Congreso Internacional de Ciencia, Tecnología e Innovación para la Sociedad
Guayaquil, 29 noviembre al 1 diciembre de 2017
grupo piloto de 51 personas que laboran en las procedimientos validados y que están en proceso
FF.AA. tomados al azar como resultado de un de certificación, para garantizar una respuesta
muestreo aleatorio simple. rápida, efectiva y adecuada a los incidentes de
Los resultados obtenidos se procesaron seguridad de la información. Existen registros de
estadísticamente mediante el método Alpha de los incidentes de seguridad y se emiten reportes
Cronbach. Este índice de confiabilidad debe ser de debilidades sospechadas en los sistemas. Se
menor o igual a la unidad para que el valor lleva un registro de cómo se han abordado estas
indicativo del instrumento posea un alto grado de irregularidades, para replicar las buenas prácticas
consistencia interna [4]. en incidentes similares que pudieran ocurrir en el
Una vez que se ha obtenidos los resultados, futuro.
producto de la aplicación del instrumento se Respecto a la cláusula Cumplimiento, falta
procedió a su ordenación para analizarlos documentación de los sistemas de información,
mediante el uso de bases estadísticas de pero sí se cuenta con documentación técnica y
frecuencias y porcentajes, complementados con licencias de Software, a la vez que los archivos
cuadros y gráficos estadísticos con sus de información de cada una de las oficinas
respectivos análisis. presentan buena protección.
La información recopilada fue tabulada según En función de los resultados anteriores, los
las categorías de respuestas: S = Siempre, CS = autores proponen las siguientes medidas:
Casi Siempre, AV = Algunas Veces, CN = Casi 1. Realizar un documento oficial que acoja las
Nunca y N = Nunca, según una escala tipo Likert, políticas de seguridad de la información, las
donde el valor uno (1) es asignado a N (Nunca) y mismas que deberán ser revisadas y
el máximo valor de cinco (5) a S (Siempre) [5]. conocidas por el personal de las FF.AA.
Con el objeto de visualizar en forma rápida 2. Llevar un registro de la verificación de los
los resultados se agruparon con relación a las antecedentes de todos los candidatos que
dimensiones señaladas en la definición van a ingresar a laborar en la institución, a
operacional de los aspectos a investigar y fin de realizar un proceso disciplinario
representados gráficamente de acuerdo a las formal para los empleados que cometan un
alternativas seleccionadas de los 25 objetivos de incumplimiento de seguridad.
control y cada una de las dimensiones. 3. Revisar periódicamente la política de
Posteriormente, se completó este proceso con control de acceso, a traves de un
un análisis e interpretación de los datos en procedimiento formal para restringir el uso
función de la norma ISO/IEC 27001:2013 y las de programas utilitarios.
bases teóricas que sustentaron la investigación. 4. Supervisar el desarrollo y mantenimiento
del sistema verificando los requisitos de
3. RESULTADOS Y DISCUSIÓN control de seguridad en los sistemas de
información.
Tomando en consideración los objetivos de la 5. Supervisar los procedimientos para
investigación y el análisis e interpretación de las garantizar una respuesta rápida, efectiva y
respuestas dadas por los sujetos de estudio en el adecuada a los incidentes de seguridad de la
instrumento aplicado y las observaciones hechas información, mediante los registros de los
directamente en relación a los requerimientos de incidentes de seguridad y los reportes de
la institución, los resultados del estudio son las debilidades sospechadas a los sistemas a fin
siguientes: de precautelar la seguridad.
En la cláusula Políticas de seguridad de la
información, en las FF.AA. existe una Directiva 4. CONCLUSIONES
de Seguridad de la Información, con políticas
emitidas y socializado por el Comando de Esta investigación buscó verificar el estado
Ciberdefensa a las Direcciones de Tecnologías de la seguridad de la información en las FF.AA.
de la Información y Comunicaciones del Para ello se realizó una encuesta en función de
COMACO, para su implementación y los objetivos definidos en el estudio, aplicando
cumplimiento. un cuestionario estructurado con preguntas
En la cláusula Seguridad de los recursos cerradas que cubren todos los aspectos de
humanos, se lleva a cabo la verificación de los riesgos, incluso las amenazas a la confiabilidad,
antecedentes de todos los candidatos al empleo integridad y disponibilidad (CID) de los datos
por el departamento correspondiente, pero no basada en los objetivos de control de la ISO
existe un proceso disciplinario formal para los 27001:2013.
empleados que cometan un incumplimiento de Una vez concluido el estudio, se identificó
seguridad. que las FF.AA. necesitan implementar un
En la cláusula Gestión de los incidentes de Sistema de Gestión de Seguridad de la
seguridad de la información, existen Información para resguardar los activos de
3
Copyright (c) 2017, Universidad Politécnica Salesiana, Ecuador
IV Congreso Internacional de Ciencia, Tecnología e Innovación para la Sociedad
Guayaquil, 29 noviembre al 1 diciembre de 2017
AGRADECIMIENTOS
REFERENCIAS
[1] P. Grupa, “ISO27000.es - El portal de ISO 27001
en español. Gestión de Seguridad de la
Información,” Copyright © 2012, 2015. [Online].
Available: ttp://www.iso27000.es/iso27000.html.
[2] L. Ramos, “SEGURIDAD DE LA
INFORMACION,” Gerenc. Gen. Tecnol. la Inf.
Recaud. la Prov. Buenos Aires, pp. 1–16, 2009.
[3] A. B. Salamanca Castro and C. Martin-Crespo
Blanco, “El Diseño En La Investigación
Cualitativa,” NURE Investig., no. 26, pp. 1–6,
2007.
[4] R. Hernandez Sampieri, C. Fernandez Collado,
and M. del P. Baptista Lucio, Metodología de la
investigación. 2010.
[5] S. Gomez Bastar, Metodologia de la investigacion.
2012.
[6] C. A. Dussan Clavijo, “Políticas de seguridad
informática,” Entramado, 2006.
4
Copyright (c) 2017, Universidad Politécnica Salesiana, Ecuador