See discussions, stats, and author profiles for this publication at: https://www.researchgate.

net/publication/322021139

An information security approach in the Armed Forces of Ecuador

Conference Paper · December 2017

CITATIONS READS

4 202

3 authors:

Joseph Guamán Moisés Toapanta

University of Guadalajara Tecnológico Universitario Rumiñahui "ISU-ISTER"
3 PUBLICATIONS   4 CITATIONS    131 PUBLICATIONS   267 CITATIONS   

SEE PROFILE SEE PROFILE

Jose Antonio Orizaga Trejo

University of Guadalajara
39 PUBLICATIONS   110 CITATIONS   

SEE PROFILE

Some of the authors of this publication are also working on these related projects:

Enfoque para mitigar los riesgos del entorno cibernético de una plataforma tecnológica View project

Proposal for a Security Model for a Popular Voting System Process in Latin America View project

All content following this page was uploaded by Moisés Toapanta on 27 November 2018.

The user has requested enhancement of the downloaded file.

 IV Congreso Internacional de Ciencia, Tecnología e Innovación para la Sociedad
Guayaquil, 29 noviembre al 1 diciembre de 2017

An information security approach in the Armed Forces

of Ecuador

Un enfoque de la seguridad de la información en las Fuerzas Armadas

del Ecuador
J. Guamán1, M. Toapanta2, J. Orizaga3

Abstract: The problems of information security in the military institutions of the Joint Command of the
Armed Forces were analyzed. The objective is to carry out an information security approach in the Armed
Forces of Ecuador". The method that was used to carry out the exploratory research is the deductive. Data
collection was performed through direct observation and a survey directed to the personnel of the Armed
Forces according to their categories. The analysis and interpretation of the data according to the ISO /
IEC 27001: 2013 standard and the theoretical bases that supported the research resulted from this
investigation. It was concluded that the Joint Command of the Armed Forces of Ecuador does not have an
Information Security Management System to safeguard the information assets that the institution possesses,
which makes it difficult to maintain and protect the information. At the same time, corrective measures are
proposed in order to strengthen the security of the Information in this distinguished institution.

Key Words: Security Risks, Information Security, Military Security, Information Management, Database
Security.

Resumen: Se analizaron los problemas de seguridad de la información en las instituciones militares del
Comando Conjunto de las Fuerzas Armadas con el objetivo de verificar el enfoque de la seguridad de la
información. El método utilizado en esta investigación exploratoria fue el deductivo. La recopilación de
datos relevantes fue realizada mediante una encuesta dirigida al personal de Fuerzas Armadas según sus
categorías y también por observación directa. Resultó de esta investigación el análisis e interpretación de
los datos en función de la norma ISO/IEC 27001:2013 y las bases teóricas que sustentaron la investigación.
Se concluyó que el Comando Conjunto de las Fuerzas Armadas del Ecuador no dispone de un Sistema de
Gestión de Seguridad de la Información para resguardar los activos de información que posee la institución,
lo que dificulta mantener y proteger la información. A su vez, se proponen medidas correctivas alineadas a
robustecer la seguridad de la Información en esta insigne Institución.

Palabras Clave: Riesgos de Seguridad, Seguridad de la Información, Seguridad Militar, Gestión de

Información, Seguridad de base de datos.

1
Joseph Alexander Guamán Seis, Máster en Gestión de las Comunicaciones y Tecnologías de la Información, MSc., Jefe de las TIC
del C3I2-COMACO, Comando Conjunto de las Fuerzas Armadas del Ecuador, Postulante al Doctorado en Tecnologías de
Información Universidad de Guadalajara-México, jguaman@armada.mil.ec.
2
Segundo Moisés Toapanta Toapanta, Máster en Gestión de las Comunicaciones y Tecnologías de la Información, MSc, alumno del
Doctorado en Tecnologías de Información de la Universidad de Guadalajara-México, Profesor de la Carrera de Ingeniería de Sistemas
de la Universidad Politécnica Salesiana, Sede Guayaquil, Investigador Evaluador Senescyt, Investigador Acreditado y Categorizado
por la Senescyt REG-INV-16-0153, stoapanta@ups.edu.ec.
3
José Antonio Orizaga Trejo, Doctor en Tecnologías de Información IT Ph.D., Profesor Investigador, Departamento Sistemas de
Información, CUCEA Universidad de Guadalajara-México, jose.orizaga@academicos.udg.mx.

1
Copyright (c) 2017, Universidad Politécnica Salesiana, Ecuador
 IV Congreso Internacional de Ciencia, Tecnología e Innovación para la Sociedad
Guayaquil, 29 noviembre al 1 diciembre de 2017
1. INTRODUCCIÓN
Los bajos controles de seguridad de la
información en las instituciones militares del
Ecuador, son la causa principal para que se
detecten errores y serios problemas de seguridad,
esto facilita el aumento desmesurado de los
índices de delitos informáticos.
Hoy en día, uno de los temas de mayor
importancia es la seguridad de la información,
más aun en las Fuerzas Armadas del Ecuador
(FF.AA.), Institución que maneja información
militar secreta y clasificada.
Debido a que las amenazas provienen de
diversos orígenes, algunos sin poder ser
anticipados, se tiene la necesidad de realizar un
análisis de seguridad de la información para
precautelar los datos tan sensibles que maneja la
Institución Armada.
Las FF.AA., posee el Sistema de
Comunicaciones Militares, que es una
infraestructura informática que interconecta a los
repartos navales y militares de las Fuerzas
Armadas, que es utilizada para transmitir
información (voz, datos y video), servicios
automatizados y sistemas corporativos [1].
La utilización de los servicios y sistemas
corporativos a través del Sistema de
Comunicaciones Militares y el acceso indebido a
la información en determinadas redes locales,
requieren la implementación de diferentes
mecanismos de seguridades para el uso de estos
servicios por los usuarios de los repartos navales
y militares.
En ocasiones se han detectado accesos
indebidos a las redes administrativas debido a los
diferentes puntos de internet que existen, la falta
de implementación de políticas de seguridad y
mecanismos para ejecutar estas políticas, la
inobservancia de los riesgos y la falta de
controles apropiados para preservar la
confidencialidad, la integridad y la
disponibilidad (CID) de la información; así,
como el limitado personal especializado
existente para implementar tales políticas.
Es necesario realizar un análisis de seguridad,
para mitigar los riesgos físicos y lógicos de la
información que se transmite, procesa, almacena
y distribuye a través del Sistema de
Comunicaciones Militares, para la utilización de
los servicios y sistemas por los usuarios de los
repartos militares y navales.
La definición de un enfoque de seguridad de
la información que maneja las FF.AA. a través de
sus sistemas, permitirá que los riesgos de la
seguridad de la información sean asumidos,
gestionados y minimizados de forma objetiva,
documentada y estructurada, con la finalidad de
garantizar la confidencialidad, integridad y
disponibilidad de la información [2]. Además se
Copyright (c) 2017, Universidad Politécnica Salesiana, Ecuador
facilitaría la aplicación de controles, el
establecimiento de nuevas políticas de seguridad,
reglas, planes y acciones para asegurar la
información y mejorar la gestión de la seguridad.
El objetivo de este trabajo es realizar una
revisión del enfoque de la seguridad de la
información en FF.AA. del Ecuador, que permita
definir estándares internacionales adecuados al
campo militar y nuevas tecnologías de la
información y comunicaciones.
2. MÉTODOS
La investigación parte desde un enfoque
predominantemente cuantitativo bajo
modalidades de investigación de campo y
bibliográfica-documental, con un tipo de
investigación exploratoria-descriptiva que será
aplicada en el Comando Conjunto de las Fuerzas
Armadas (COMACO).
La técnica utilizada para obtener la
información fue la encuesta, la misma permitió la
recolección de información en forma directa a fin
de diagnosticar como se encuentra la seguridad
de la información en las FF.AA. [3].
Las preguntas de la encuesta cubrieron todos
los aspectos de riesgos y amenazas a la
confiabilidad, integridad y la disponibilidad de la
información y están basadas en los
requerimientos de las FF.AA. y los objetivos de
control de la ISO 27001: 2013 [1] que son:
1. Políticas de seguridad de la Información
2. Organización de la Seguridad de la
Información
3. Seguridad de los Recursos Humanos
4. Gestión de los Activos
5. Control de Acceso
6. Criptografía
7. Seguridad Física y Medioambiental
8. Seguridad de las Operaciones
9. Seguridad de las Comunicaciones
10. Adquisición, desarrollo y mantenimiento
del sistema
11. Relación con los proveedores
12. Gestión de los incidentes de Seguridad de la
Información
13. Gestión de los aspectos de Seguridad de la
Información para la continuidad del
negocio
14. Cumplimiento
Para determinar la validez del instrumento se
utilizó la técnica de juicio de expertos en el área
de conocimiento, quienes a través de un formato
de validación pudieron modificar la redacción de
los ítems buscando obtener mayor claridad,
congruencia y pertinencia antes de ser aplicado
definitivamente a los sujetos de la muestra.
La confiabilidad del instrumento se
determinó mediante su aplicación previa a un
2
 IV Congreso Internacional de Ciencia, Tecnología e Innovación para la Sociedad
Guayaquil, 29 noviembre al 1 diciembre de 2017
grupo piloto de 51 personas que laboran en las
FF.AA. tomados al azar como resultado de un
muestreo aleatorio simple.
Los resultados obtenidos se procesaron
estadísticamente mediante el método Alpha de
Cronbach. Este índice de confiabilidad debe ser
menor o igual a la unidad para que el valor
indicativo del instrumento posea un alto grado de
consistencia interna [4].
Una vez que se ha obtenidos los resultados,
producto de la aplicación del instrumento se
procedió a su ordenación para analizarlos
mediante el uso de bases estadísticas de
frecuencias y porcentajes, complementados con
cuadros y gráficos estadísticos con sus
respectivos análisis.
La información recopilada fue tabulada según
las categorías de respuestas: S = Siempre, CS =
Casi Siempre, AV = Algunas Veces, CN = Casi
Nunca y N = Nunca, según una escala tipo Likert,
donde el valor uno (1) es asignado a N (Nunca) y
el máximo valor de cinco (5) a S (Siempre) [5].
Con el objeto de visualizar en forma rápida
los resultados se agruparon con relación a las
dimensiones señaladas en la definición
operacional de los aspectos a investigar y
representados gráficamente de acuerdo a las
alternativas seleccionadas de los 25 objetivos de
control y cada una de las dimensiones.
Posteriormente, se completó este proceso con
un análisis e interpretación de los datos en
función de la norma ISO/IEC 27001:2013 y las
bases teóricas que sustentaron la investigación.
3. RESULTADOS Y DISCUSIÓN
Tomando en consideración los objetivos de la
investigación y el análisis e interpretación de las
respuestas dadas por los sujetos de estudio en el
instrumento aplicado y las observaciones hechas
directamente en relación a los requerimientos de
la institución, los resultados del estudio son las
siguientes:
En la cláusula Políticas de seguridad de la
información, en las FF.AA. existe una Directiva
de Seguridad de la Información, con políticas
emitidas y socializado por el Comando de
Ciberdefensa a las Direcciones de Tecnologías
de la Información y Comunicaciones del
COMACO, para su implementación y
cumplimiento.
En la cláusula Seguridad de los recursos
humanos, se lleva a cabo la verificación de los
antecedentes de todos los candidatos al empleo
por el departamento correspondiente, pero no
existe un proceso disciplinario formal para los
empleados que cometan un incumplimiento de
seguridad.
En la cláusula Gestión de los incidentes de
seguridad de la información, existen
Copyright (c) 2017, Universidad Politécnica Salesiana, Ecuador
procedimientos validados y que están en proceso
de certificación, para garantizar una respuesta
rápida, efectiva y adecuada a los incidentes de
seguridad de la información. Existen registros de
los incidentes de seguridad y se emiten reportes
de debilidades sospechadas en los sistemas. Se
lleva un registro de cómo se han abordado estas
irregularidades, para replicar las buenas prácticas
en incidentes similares que pudieran ocurrir en el
futuro.
Respecto a la cláusula Cumplimiento, falta
documentación de los sistemas de información,
pero sí se cuenta con documentación técnica y
licencias de Software, a la vez que los archivos
de información de cada una de las oficinas
presentan buena protección.
En función de los resultados anteriores, los
autores proponen las siguientes medidas:
1. Realizar un documento oficial que acoja las
políticas de seguridad de la información, las
mismas que deberán ser revisadas y
conocidas por el personal de las FF.AA.
2. Llevar un registro de la verificación de los
antecedentes de todos los candidatos que
van a ingresar a laborar en la institución, a
fin de realizar un proceso disciplinario
formal para los empleados que cometan un
incumplimiento de seguridad.
3. Revisar periódicamente la política de
control de acceso, a traves de un
procedimiento formal para restringir el uso
de programas utilitarios.
4. Supervisar el desarrollo y mantenimiento
del sistema verificando los requisitos de
control de seguridad en los sistemas de
información.
5. Supervisar los procedimientos para
garantizar una respuesta rápida, efectiva y
adecuada a los incidentes de seguridad de la
información, mediante los registros de los
incidentes de seguridad y los reportes de
debilidades sospechadas a los sistemas a fin
de precautelar la seguridad.
4. CONCLUSIONES
Esta investigación buscó verificar el estado
de la seguridad de la información en las FF.AA.
Para ello se realizó una encuesta en función de
los objetivos definidos en el estudio, aplicando
un cuestionario estructurado con preguntas
cerradas que cubren todos los aspectos de
riesgos, incluso las amenazas a la confiabilidad,
integridad y disponibilidad (CID) de los datos
basada en los objetivos de control de la ISO
27001:2013.
Una vez concluido el estudio, se identificó
que las FF.AA. necesitan implementar un
Sistema de Gestión de Seguridad de la
Información para resguardar los activos de
3
 IV Congreso Internacional de Ciencia, Tecnología e Innovación para la Sociedad
Guayaquil, 29 noviembre al 1 diciembre de 2017

información que posee la institución, para

mantener y proteger la información.
Como parte de este trabajo se sugieren una
serie de medidas que están alineadas al
robustecimiento de la seguridad de la
información en las FF.AA.
La Institución armada debe desarrollar un
modelo conceptual de seguridad de la
información para identificar las vulnerabilidades,
riesgos de la información y definir políticas y
mecanismo de seguridad a nivel estratégico,
táctico y operativo con Identidad, Autenticación,
Autorización, Auditoria (IAAA) y
Confidencialidad, Integridad, Disponibilidad
(CID) para mitigar la seguridad de la
información de las Fuerzas Armadas del
Ecuador.

AGRADECIMIENTOS

Los autores agradecen al grupo de investigación

de la Universidad Politécnica Salesiana, Sede
Guayaquil "Computing, Security and
Information Technology for a globalized World"
(CSITGW) creado según resolución 142-06-
2017-07-19, CUCEA-Universidad de
Guadalajara, Jalisco, México, Programa IT Ph.D
Information Technologies, Comando Conjunto
de las Fuerzas Armadas del Ecuador, Armada del
Ecuador, C3I2-COMACO, Comando de
Ciberdefensa del COMACO y Secretaría de
Educación Superior, Ciencia, Tecnología e
Innovación (Senescyt).

REFERENCIAS
[1] P. Grupa, “ISO27000.es - El portal de ISO 27001
en español. Gestión de Seguridad de la
Información,” Copyright © 2012, 2015. [Online].
Available: ttp://www.iso27000.es/iso27000.html.
[2] L. Ramos, “SEGURIDAD DE LA
INFORMACION,” Gerenc. Gen. Tecnol. la Inf.
Recaud. la Prov. Buenos Aires, pp. 1–16, 2009.
[3] A. B. Salamanca Castro and C. Martin-Crespo
Blanco, “El Diseño En La Investigación
Cualitativa,” NURE Investig., no. 26, pp. 1–6,
2007.
[4] R. Hernandez Sampieri, C. Fernandez Collado,
and M. del P. Baptista Lucio, Metodología de la
investigación. 2010.
[5] S. Gomez Bastar, Metodologia de la investigacion.
2012.
[6] C. A. Dussan Clavijo, “Políticas de seguridad
informática,” Entramado, 2006.

4
Copyright (c) 2017, Universidad Politécnica Salesiana, Ecuador

View publication stats